OWASP - Lehetőségek Magyarországon Dr. Krasznay Csaba Rólam • Hivatásom, hogy IT biztonsági megmondóember vagyok, azaz – – – – számos szakmai szervezet motorja vagyok, konferenciákon gyakran előadóként szerepelek, próbálom.
Download ReportTranscript OWASP - Lehetőségek Magyarországon Dr. Krasznay Csaba Rólam • Hivatásom, hogy IT biztonsági megmondóember vagyok, azaz – – – – számos szakmai szervezet motorja vagyok, konferenciákon gyakran előadóként szerepelek, próbálom.
OWASP - Lehetőségek Magyarországon Dr. Krasznay Csaba Rólam • Hivatásom, hogy IT biztonsági megmondóember vagyok, azaz – – – – számos szakmai szervezet motorja vagyok, konferenciákon gyakran előadóként szerepelek, próbálom előrevinni a tudományt, főállásban tanácsot adok nagy és még nagyobb szervezeteknek. • Főbb érdeklődési terület: – alkalmazásbiztonság (Common Criteria) – kiberhadviselés IT sec erőtér ISACA Bankszövetség IVSZ Hétpecsét KIBEV ISC2 Az OWASP helye • Az OWASP szakosított szervezet, mely az alkalmazásbiztonság különböző aspektusaival foglalkozik. • Tevékenysége hasonló lehet a MELASZ-éhoz. • Véleményem szerint a következőkre van igény: – Oktatás, felvilágosítás egyetemeken, szakmai előadásokon! – Ajánlások, jógyakorlatok kiadása magyar nyelven. – Formális vagy informális részvétel a többi szervezetben. A probléma • Tisztelet azoknak a fejlesztőknek, akik legalább a biztonság alapjaival tisztában vannak! • Halleluja azoknak a szervezeteknek, ahol igény a biztonságos kód! • Köszönet azoknak az egyetemeknek, ahol oktatják a biztonságos kódolást! • Viszont nem ez a jellemző! OWASP a gyakorlatban • Ahol eddig én használtam: – webfejlesztés minőségbiztosítása a gyártószektorban – PCI DSS felkészítés pénzintézeti szektorban – alkalmazásfejlesztés minőségbiztosítása közigazgatásban • Ahol tudtommal még használják: – pentesztek során „beugró” tesztelés ASVS Verification Levels OWASP a közigazgatásban 1. biztonsági szint 2. biztonsági szint 3. biztonsági szint (C2G, G2C) (G2G) (minősített adatokat kezelő rendszerek Biztonsági tesztelés Biztonsági Biztonsági Biztonsági módja funkcionális funkcionális funkcionális tesztelés, tesztelés, sérülékenység- hackelés etikus tesztelés, teaming behatolás- vizsgálat Biztonsági tesztelés Kód és alkalmazás blue- tesztelés Kód és szervezet Kód és rendszer területei Támadói profil Alap-erősített Alap-erősített Mérsékelt Eltelt idő 2 hét 1 hét 1 hét Szakértelem szintje Profi Profi Szakértő Termékismeret Korlátozott Érzékeny Érzékeny információ Próbálkozási ablak Mérsékelt Egyszerű Egyszerű Eszköztár Szabványos Szabványos Speciális eszközök Biztonsági Level 1A Level 1B és Level 2A Level 2 Automatizált Alkalmazásra Alkalmazás eszközök koncentrálva infrastruktúra funkcionális tesztelés szintje (ASVS) használata és Alkalmazás infrastruktúra és Szerény javaslatok • Hass, alkoss, gyarapíts: s a haza fényre derűl! • Legyetek láthatók, legyetek motorok! • Szervezzetek tagságot, és ne hagyjátok szétszéledni őket! • Tegyetek le írásos anyagokat, amiket fel lehet használni! • Jelenjetek meg az egyetemeken! • Szervezzetek ingyenes szimpóziumokat! web: krasznay.hu e-mail: [email protected] twitter: twitter.com/csabika25 KÖSZÖNÖM A FIGYELMET!