lördag 11 juni 2011

Keynote 5: Six Key Application Security Program Metrics

Keynote 5 skulle ursprungligen hållas av Ivan Ristic, men han hade tappat rösten så istället flyttades Arian Evans presentation om "Six Key Application Security Program Metrics" till att bli en sista keynote. Väldigt lyckat då Arian visade sig vara duktig på att underhålla samt hade en relevant och intressant presentation som alla deltagare säkerligen hade nytta av.

Grunden lades med lite statistik om att applikationer fortfarande används i många intrång och är orsak till en klar majoritet av stulna kortnummer och personuppgifter. Han gick sedan in på hotbilder och konstaterade att vi vet väl vilka som angriper vad, varför och hur. Vi har också tack vare OWASP en bra kunskapsnivå om hur man skriver säker kod och vilka sårbarheter som finns. Men...

Efter 10 år med OWASP (woo!) så har vi fortfarande inte svaren på några väldigt viktiga frågor. Var är...
  • Metrics-projektet?
  • Developer outreach projektet (not: det var betydligt fler utvecklare på konferensen det här året än förra)
  • C-Level blueprints för att implementera appsec?
  • Budgetargumenten?
Arian presenterade också siffror från WhiteHat på hur många nya sårbarheter per år som introduceras i applikationer och vilka sektorer som är de värsta skurkarna. Siffrorna var klart oväntade för mig; i snitt så introduceras 230 nya sårbarheter per år och applikation, där retail (400+) och finans (266) ligger i topp. Snittiden för att åtgärda sårbarheterna ligger på 60 dagar, och vi förstår ju alla vad det här betyder i form av sårbarhet och utnyttjande...

Ytterligare en intressant slutsats som Arian drog från det var dock att den genomsnittliga kunskapsnivån är på väg neråt. Inte för att vi som är inne på området blir dummare eller omsprungna av ny teknik, utan för att området växer så starkt att det inte finns tillräckligt antal kompetenta personer för att fylla behovet.

Mycket mer blev sagt under presentation än vad som får plats i det här redan långa blogginlägget. Så sammanfattningsvis, vilka var de sex metrics som presentationen "egentligen" skulle handla om?

Data Quality Bucket
  1. Exposure (Discoverability)
  2. Threat (Exploitability)
  3. Risk (Impact severity)
Program Quality Bucket
  1. Pulse (Vulnerability~Input, vulnerability per input)
  2. Frequency (Window of exposure) (< 20 dagar sällan intrång, > 200 dagar får oftast intrång)
  3. Cost & Savings (remediation cost)

.. ja, kanske inga silverkulor, men som Arian sa är det en startpunkt. Jag är själv fullt övertygad om att vi absolut måste skaffa fram metrics för att kunna nå fram till ledningsnivån. Finfint att fler driver den utvecklingen framåt!

1 kommentar:

Trekking in Nepal sa...

Acute Trek Pvt. Ltd. an indoor outdoor trekking and tours operative company takes you that further way to guarantee you has an unforgettable adventure Trekking in Nepal that you have been dream with Acute trek is part of your choice. We have your choose of trekking for 3 days or 30 or more days it depending of your timetable, sleep under lodges or tent. We always respect our duty to constantly your holiday satisfaction in Nepal. Whether you are looking for a quiet gateway, a memorable Hiking in Nepal outing with a family or an exciting nature adventure. We offer you with the best progressive information and itinerary leading focused and modified as per your requirements. It is significant to memorize, though, it necessitate an enough level of physical homework and must remembers that there is also a psychosomatic assurance in walking in mountains. Acute trek is an attempt to encourage Nepal to the exterior world while striving to defend an aged tradition as well as conserve the surroundings for generation to come. Acute Trek specialize in organize Nepal travel activities excursion such as:- Nepal trekking, Helicopter tour, peak climbing, rafting, mountain flight, Kayaking, Cannoning, Bird watching Tour, Honeymoon Tour, sightseeing, jungle safari, rock climbing, Pilgrim's Tour, Hotel Reservation, Air ticket, Tibet Tour, Bhutan Tour, Paragliding, Bungee Jump, Eco Tour, local village tour and many more information visit here http://www.trekshimalaya.com