torsdag 26 februari 2009

Säkerhetsarkitektur mha SABSA

Jag och en kollega genomförde i veckan en tvådagars workshop om säkerhetsarkitektur. Syftet var att arbeta fram kundens affärskritiska säkerhetsmål, identifiera vad som karaktäriserar de målen och sen börja mejsla ut krav på teknik och process för att nå målen.

Vi arbetade utifrån SABSA - Sherwood Applied Business Security Architecture. Ett affärsdrivet sätt att angripa säkerhet på arkitekturnivå. För er som är intresserade så finns SABSA-materialet fullt tillgängligt på SABSA.org.

Är materialet fritt? Njae. Vem som helst får använda det men SABSA Limited har upphovsrätt.

"Any organisation, in its drive to improve its Security Architecture or Security Service Management processes and practices, may use the framework described in these publicly available resources, on condition that proper credit is listed and trademarks are reproduced."

Vi tycker att SABSA fungerar väl och tilltalar även en mixad grupp av ledning, verksamhet och IT.

söndag 22 februari 2009

Applikationerna är slagfältet

Ännu en gång är det en applikation som skjuter säkerheten i sank och inte något operativsystem eller nätverksprotokoll. Acrobats läsare version 7 till 9 har en buffer overflow-bugg som kan utnyttjas genom specialkonstruerade pdf:er. Svenska Sitic skriver om det, liksom IDG och SvD.

Det är bara ännu ett av exemplen på att applikationslagret växer i betydelse när det gäller säkerhet. Antalet företag och organisationer som skriver applikationer är magnituder fler än antalet som skriver operativsystem eller länkningsbibliotek. I det här fallet var det Acrobat, en stor väletablerad leverantör som skrev osäker kod.

Hur ska vi kunna hjälpa alla dessa små och stora applikationsleverantörer? Jag tror en öppen community som OWASP är del av svaret. En global organisation som erbjuder kunskap, verktyg och mötesplatser för alla dem som behöver lära sig skriva säker kod. Det känns skönt att vara del av ett sånt initiativ. Hoppas alla medlemmar i chaptret känner likadant.

Kanske får vi snart se Acrobat bland OWASP-sponsorerna?