Sikkerhetstesting i et «nøtteskall» DND Oslo, 8 mars 2016

Like dokumenter
Sikkerhetstesting i ISTQB(?) perspektiv Trondheim 14. november Innhold

Sikkerhetstesting i ISTQB(?) perspektiv Bergen 5. april Innhold

Kommende Trender Innenfor Test

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Sikkerhetstesting gjennom utviklingsløpet

Hva skjer i Open Web Application Security Project (OWASP)?

Innebygd personvern og personvern som standard. 27. februar 2019

Programvareutvikling (store systemer)

Livsløpstesting av IT-systemer

InfoRed Publisering. - produktbeskrivelse. TalkPool WebServices Postboks Åneby

NOVUG 3 februar 2009

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

Testplan (Software Test Plan)

Huldt & Lillevik Ansattportal. Installere systemet

Automatisering av datasenteret

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

Cyberspace og implikasjoner for sikkerhet

Modernisering av IKT i NAV

Erfaringer som pen- tester. Asbjørn Thorsen

Cross the Tech Bridge. Anette Valaker

Effektiv Systemadministrasjon

1. Intro om System Center

Testdekning og automatisering - Er 100% testdekning et mål?

Kravspesifikasjon. Høgskolen i Oslo, våren 2011 Sted og dato: Oslo, 9. februar Gruppemedlemmer

Bachelor E. Theodor Rove Nordgård, Chris Sonko HIST DRIFT AV DATASYSTEMER

IN2000 Software Engineering og prosjektarbeid Vår Sikker systemutvikling. Audun Jøsang Universitetet i Oslo

Software Development Plan. Software Development Plan. Forum / Nettverkssamfunn Team 2

Bilag til kjøpsavtalen for Transportadministrasjon K Bilag 3 - Kundens tekniske plattform

Målrettede angrep. CIO forum 6.mars Tore Terjesen Head of MSS & SOCs - Nordics tore.terjesen@secode.com

VEDLEGG 1 KRAVSPESIFIKASJON

System integration testing. Forelesning Systems Testing UiB Høst 2011, Ina M. Espås,

4.5 Kravspesifikasjon

PoC Duet. Oppfølging av sykefravær

KRAFTIG, SKALERBAR SÅRBARHETSADMINI- STRASJON. F-Secure Radar

Kravspesifikasjon Digital distribusjon av sakspapirer

Hva skjer i OWASP? OWASP. The OWASP Foundation. Kåre Presttun Chapter Lead mnemonic as kaare@mnemonic.no

BESKYTT VIRKSOMHETEN DIN UANSETT HVOR DU ER. Protection Service for Business

Jon Hammeren Nilsson, Anders Emil Rønning, Lars Grini og Erling Fjelstad

ISO-standarderfor informasjonssikkerhet

Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse

Oversikt over metodar og teknikkar for å beskrive truslar. Mass Soldal Lund SINTEF IKT

Hva skjer i OWASP? OWASP. The OWASP Foundation. Kåre Presttun Chapter Lead Mnemonic as kaare@mnemonic.no

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Frokostseminar om metoder for universell utforming av IKT

NESTE GENERASJON KUNDEOPPLEVELSE EIRIK NORMAN HANSEN

Evaluering av IT-systemer

Brukers Arbeidsflate. Tjeneste Katalog. Hva vi leverer... Presentasjon Administrasjon Automatisering

Konfigurasjonsstyring

License Management Morten A. Steien EDB Business Partner Industri

Verdien av god leverandørtesting i konstruksjonsfasen i smidige prosjekter

Symmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering.

BRUKERVEILEDNING. Oppsett av Activesync klient for Windows Smartphone og Pocket PC mot Exchange Customer Service Center

Mellom barken og veden Smidig testing i krevende terreng TTC 2015

Læringsmål og pensum. Utvikling av informasjonssystemer. Oversikt. Systemutvikling Systemutvikling i seks faser Femstegs prosedyre for programmering

Fungerer applikasjonene våre på Windows 7!? Microsoft Application Compatibility Toolkit

Fri programvare i helsesektoren en realitet! Presentasjon av Enkeltoppgjør

Aleksander Thanem Bjøru Seniorkonsulent MCSE og Citrix CCIA

Modellering IT konferanse

SAS IN A SOA WORLD MARIUS SOMMERSETH TEAM LEAD TECHNICAL ARCHITECTURE

K O N S U L E N T - I D : C U R R I C U L U M V I T A E

ITAS. Interaktive Tjenester ApplikasjonsServere v/per Kjetil Grotnes

En praktisk anvendelse av ITIL rammeverket

Hensikten med denne delen av kurset. Objektets egenskaper. Objektorientering hva er det? Best practises ved programvareutvikling. Kravspesifikasjonen

ISTQB. Foundation Level

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

INF329,HØST

Publisering av statiske og dynamiske websider til klasserom.net fra Dreamweaver og MySQL

Beskrivelse av informasjonssystemet

LEVER OFTERE TEST SMARTERE

Lykke til! Eksamen i fag TDT4140 Systemutvikling NTNU Norges teknisk-naturvitenskapelige universitet

Tekniske Krav Aditro Lønn

11 Planlegging og dokumentasjon

Måling av informasjonssikkerhet i norske virksomheter

P L A N I A 8 S Y S T E M K R A V PLANIA 8 SYSTEM KRAV. Plania 8 Systemkrav.docx av 8

6105 Windows Server og datanett

Følger sikkerhet med i digitaliseringen?

Tyrannosaurus Test Adapt or Die!

Hybrid Cloud and Datacenter Monitoring with Operations Management Suite (OMS)

Installasjon av HP ProLiant ML 350 G5 server

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Kontakt oss i Egroup for mer informasjon!

BlackBox, WhiteBox og andre testmetoder. Etter ønske fra studentene 26. november 2009

Presentasjon Bacheloroppgave 051E

IS Introduksjon til informasjonssystemer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Huldt & Lillevik Ansattportal. Installere systemet

FIRE EFFEKTIVE TILTAK MOT DATAANGREP

Referansearkitektur sikkerhet

Erlend Oftedal. Risiko og sikkerhet i IKT-systemer, Tekna

Inf1055 Modul B 26 april 2017:

altinn tjenester 3.0

Krav som bør stilles til leverandørens verifikasjon og test

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI)

IT Service Management

En bedre måte å håndtere prosjekt, team, oppgaver og innhold

DIPS Communicator 6.x. Installasjonsveiledning

Transkript:

Sikkerhetstesting i et «nøtteskall» DND Oslo, 8 mars 2016

Innhold Hva er sikkerhetstest Plassering av sikkerhetstest i utviklingssykelusen Verktøy Demo? 10.03.2016 2

Mitt navn: 10.03.2016 3

Om meg, Jobber siden 1987 med kvalitet, standardisering, kvalitetssikring og systemog akseptansetesting Fulltid siden 2004 med programvare testing Tester, testleder og testkonsulent Aug 2008 testleder i Brønnøysund (BRREG) Nov 2013 testkonsulent i SOC ISTQB Full Advanced, EC Council Certified Ethical Hacker, Scrum Master, CTFL Agile Tester, REQB Foundation 10.03.2016 4

og sikkerhetstest Ikke fulltid dessverre Første erfaring: sikkerhetserklæringer prosjekter i helsesektorn Gjennomføring sikkerhetsrevisjon basert på ISO 27002 Certified Ethical Hacking EC Council Forfatter ISTQB CTAL/CTEL Security Tester syllabus Noe småtesting / hacking underveis Og jeg mener at vi som tester bør kunne litt om sikkerhetstest 10.03.2016 5

Hva er informasjonssikkerhet? The protection of information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, and availablity (National Information Assurance Glossary). 10.03.2016 6

Hva er sikkerhetstesting? A process used to determine that the security features of a system are implemented as designed and that they are adequate for a proposed application environment (MDA Glossary). Men det er ikke alt! Sikkerhetstest = negativt testing! 10.03.2016 7

Hensikt med sikkerhetstesting Verifisere at sikkerhetstiltak (designet) fungerer (Sikkerhetstiltak) som beskytter mot kjente trusler og sårbarheter Verifisere at det ikke er blitt implementert nye sårbarheter i koden, infrastruktur eller rutiner Før systemet blir satt i drift Periodisk når systemet er i drift

Hvordan sikkerhetsteste? Statisk Review av arkitektur og design Statisk analyse Manuel code review Systemaudit (infrastruktur: nettverkskann asset management) Dynamisk Funksjonell (test cases scriptet) Teknisk (scenarier) Automatisert (sårbarhetsskann, webapplikasjon, WS, database) Manuelt (OWASP testing guide, OSSTMM, good practices)

Funksjonelle testtyper Funksjonell sikkerhetstest: Log inn / Autentisering Autorisering Inputvalidering Kryptering / Sertifikater Logging (bruker, administrator, system) Audit trial WebService (automatisert autentisering, inputvalidering, SQL, XSS)

Statiske testtyper Statisk Analyse Automatisert gjennomgang av koden for å finne avvik i koden med referanse til en kodestandard. Kodestandarden skal inneholde informasjonssikkerhet relaterte regler. Code review Strukturert (ofte manuell) gjennomgang av produsert kode med hensikt å avdekke informasjonssikkerhet relaterte sårbarheter. Nettverks- og portskann Kartlegging og verifisering av aktive servere, åpen porter og tjenester som er aktive og om de er i samsvar med arkitektur / designdokumentasjon.

Testtyper Teknisk Webapplikasjonstest Manuell og/eller automatisert verifisering av applikasjonen for å avdekke kjente trusler, slik de er publisert i siste versjon av OWASP top 10. Sårbarhetsskanning Automatisert verifisering av nettverkskomponenter for å se om disse er beskyttet mot de seneste sårbarhetene. Verifisering av «hardened» konfigurering. Penetrasjonstest Automatisert eller manuell verifisering hvor man prøver å utnytte kjente sårbarheter (exploits).

Sikkerhetstest i livssyklusen 10.03.2016 13

Utfordring: Strategi og testtilnærming Krav er ofte dårlig formulert (.. i samsvar med ISO27001, som er feil) Ingen åpne sikkerhetsstandarder brukt i utvikling og implementering Hver implementering er unik Forhåpentligvis likt i bedriften? Bestemme hva som skal testes Trusler > implementert tiltak «eksplorativt» for å introduserte sårbarheter Definer når og hvordan det kan testes 10.03.2016 14

Prosesser Sikkerhet testprosess (ISTQB): Sikkerhetstest planning Sikkerhetstest design Sikkerhetstest gjennomføring Sikkerhetstest evaluering og rapportering Sikkerhetstest vedlikehold System (programvare) utviklingsprosesser Sekvensiell Smidig 10.03.2016 15

Sammenheng mellom prosessene (ISTQB CTAL) 10.03.2016 16

Sikkerhet i livssyklusen - anbefaling Aktiviteter i alle livssyklusfaser Rettet på forebygging med statiske teknikker Rettet på verifisering av implementeringen med statiske og dynamiske teknikker Rettet på verifisering av vedlikehold med dynamiske / automatiske teknikker Trening! 10.03.2016 17

Microsoft Secure Development Lifecycle 10.03.2016 18

Sikkerhet i produksjon / vedlikehold Nye trusler og sårbarheter avdekkes kontinuerlig Nettverk, hardware og programvare endres kontinuerlig Arkitekturen endres. Så, skal vi teste kontinuerlig, periodisk (og planlagt)? Verktøy fri testing? 10.03.2016 19

Så, hva kan vi gjøre som testere? Lære Forbedre utviklingsprosessen Enhetstest = statisk analyse Manuell test funksjonell test Automatisert sikkerhetstest Verifiser at systemer og applikasjoner er up to date Velg noen verktøy, lær dem, tilpass dem, bruk dem Det er ikke nødvendig å teste alt 10.03.2016 20

Hvordan gå videre? Bygg et testlab (virtuelle maskiner) Vet statusen av (hvilke) data i systemet Lag en (egen) oversikt av trusler for ditt miljø / applikasjon Les OWASP testing guide Les How to Break Web Software (Andrews and Whittaker) Utforsk og velg tilgjegelige verktøyer (ikke for mange) Prøv og lær (Proxies / HTTP / HTML) Ikke vær overambisiøs, men prøv! 10.03.2016 21

Sikkerhetstestverktøy

Verktøy - utfordringer De fleste kommer fra Hacker-miljøet Open Source veldig rettet på en oppgave Lisensierte ofte en videreutvikling Ingen strukturert / felles måte å teste Ingen strukturert / felles måte å analysere testresultat Omfattende konfigureringsmuligheter 10.03.2016 23

Verktøy - utfordringer Fleste er rettet mot sikkerhetsspesialister / teknikere / utviklere Ikke til de funksjonelle testerne! Falsk tro på resultatene (false positives, false negatives) Design og logikk feil kan ikke (alltid) avdekkes 10.03.2016 24

Hvilke verktøy? Valg av testverktøy (www.sectools.org, www.webappsec.org) Open source versus lisensert Test av verktøyene Implementering via en pilot Testlab? 10.03.2016 25

Takk til: ww.indianz.ch 10.03.2016 26

Sikkerhetstestlab Ditt verktøy og en kopi av prod. miljøet Basert på virtuelle maskiner (VMware Player) Kali Linux Flere hosts (Windows / Unix) Web applikasjoner (OWASP Broken Web Applikasjoner 0.94, inkl. WebGoat) Hackable websites 10.03.2016 27

Anbefalt (og med GUI) Zenmap: standard network scan OpenVas: vulnerability Armitage: standard penetrationstest (vulnerability scan + exploit) Firefox: Cookie manipulation Burpsuite: webapplikajson Wireshark 10.03.2016 28

www.soco.no

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding