I detta tämligen dåliga föredrag försökte Joe White beskriva något slags plan för hur man ska bedriva webbapplikationssäkerhetsarbete i en organisation. Vad målen för planen var och varför var ganska otydligt, men som jag förstod det så var planen nyttig för att få chefer att förstå vad man kan vänta sig i form av budget och aktiviteter. Jag tyckte att planen var alldeles för teknisk. Joe verkar vara mest fokuserad på WAFs (Web Application Firewalls) och det mesta handlade om hur man ska utvärdera och införa WAFs. Planen var också fokuserad på att snabbt hitta, blockera och fixa kodproblem. Jag tyckte att det inte lät speciellt proaktivt, men kanske har han en poäng, kanske är brandkårsutryckning det lättaste sättet att sälja in säkerhetsarbetet? Man kan ju också göra detta arbete i en Sprint innan en release för att inte förekommas i produktion. Att inte introducera sårbarheter överhuvudtaget borde väl ändå långsiktigt vara ett bättre alternativ?
Hur ska man då gå till väga enligt Joe?
- Hitta sårbarheter – Verktyg kan hjälpa (Numera finns det en uppsjö av kommersiella Webappskanners.), men manuellt arbete är nödvändigt, resultaten måste ju filtreras. ALLA externa webappar måste med. Hur har man råd med det? Måste man inte riskgradera i praktiken? För att gradera och hantera sårbarheterna bör man använda ett Hot-modelleringsramverk. OWASP och Microsoft kan hjälpa här.
- Stoppa sårbarheter med WAF. Detta köper dig tid. Utvärdera WAF och köp WAF. Detta tar minst 1-2 månader och räkna med en budget på ca 1milj kronor. Inför WAF. Se till att förankra WAFen i organisationen. Vem ska sköta? Hur ser processen ut? Systemadmins måste övertygas om nyttan med WAFs i förhållande till existerande IDS och brandväggar.
- Fixa koden. Verktyg kan hjälpa här, men detta är ett långt och mycket manuellt arbete.
- Utöka utvecklingsprocessen med säkerhetsaktiviteter. Kodreview, Statisk kodanalys etc.
Inga kommentarer:
Skicka en kommentar