Grunden lades med lite statistik om att applikationer fortfarande används i många intrång och är orsak till en klar majoritet av stulna kortnummer och personuppgifter. Han gick sedan in på hotbilder och konstaterade att vi vet väl vilka som angriper vad, varför och hur. Vi har också tack vare OWASP en bra kunskapsnivå om hur man skriver säker kod och vilka sårbarheter som finns. Men...
Efter 10 år med OWASP (woo!) så har vi fortfarande inte svaren på några väldigt viktiga frågor. Var är...
- Metrics-projektet?
- Developer outreach projektet (not: det var betydligt fler utvecklare på konferensen det här året än förra)
- C-Level blueprints för att implementera appsec?
- Budgetargumenten?
Ytterligare en intressant slutsats som Arian drog från det var dock att den genomsnittliga kunskapsnivån är på väg neråt. Inte för att vi som är inne på området blir dummare eller omsprungna av ny teknik, utan för att området växer så starkt att det inte finns tillräckligt antal kompetenta personer för att fylla behovet.
Mycket mer blev sagt under presentation än vad som får plats i det här redan långa blogginlägget. Så sammanfattningsvis, vilka var de sex metrics som presentationen "egentligen" skulle handla om?
Data Quality Bucket
- Exposure (Discoverability)
- Threat (Exploitability)
- Risk (Impact severity)
- Pulse (Vulnerability~Input, vulnerability per input)
- Frequency (Window of exposure) (< 20 dagar sällan intrång, > 200 dagar får oftast intrång)
- Cost & Savings (remediation cost)
.. ja, kanske inga silverkulor, men som Arian sa är det en startpunkt. Jag är själv fullt övertygad om att vi absolut måste skaffa fram metrics för att kunna nå fram till ledningsnivån. Finfint att fler driver den utvecklingen framåt!
Inga kommentarer:
Skicka en kommentar