Secure Software Alliance

Vergelijkbare documenten
Grip op Secure Software Development de rol van de tester

Grip op Secure Software Development

DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps?

TFS als perfecte tool voor Scrum

Welkom bij parallellijn 1 On the Move uur

Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development

Continuous Requirements Engineering

Keuzedeel mbo. Veilig programmeren. gekoppeld aan één of meerdere kwalificaties mbo. Code

Zest Application Professionals Training &Workshops

Agile bij grote administratieve systemen. Omgaan met requirements

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18

Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper

End-to-End testen: de laatste horde

Auditen van Agile projecten

Back to the Future. Marinus Kuivenhoven Sogeti

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

IIBA NL Jaarcongres "Business Analyse in Scaled Agile"

Risicomanagement in Scrum. Al 25 jaar Testen PLUS Test & Acceptatie, Test Tool Services Business Analyse & Requirements High Performance Maintenance

Factsheet SECURITY SCANNING Managed Services

Agile with a smile. Dion Kotteman

Responsive web applicaties op Oracle

Overdracht van project naar beheer. Beheer is ook Agile!

ISSX, Experts in IT Security. Wat is een penetratietest?

Over Valori. Risicoanalyse in een agile setting. 25 jaar Testen PLUS. Top-200 klanten. 125 professionals

Scrum: Een Agile aanpak voor ontwikkeling van producten. Scrumteam rollen. Verder dan de vraag 2

Agile Risico Analyse en Management (AgRAM) in Scrum. 14:15 AgRAM case: breng concrete risico s in Scrum 15:15 Koffiepauze

B.Sc. Informatica Module 4: Data & Informatie

Factsheet SECURITY SCANNING Managed Services

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

UWV Security SSD Instructies

Security Pentest. 18 Januari Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Sebyde AppScan Reseller. 7 Januari 2014

Agile Testing isn t Risking IT! Bram Bronneberg Test Manager Logica - CGI

Continuous Requirements Engineering

Agile Testen in de praktijk

Security Assessment. Laat uw bedrijfsbeveiliging grondig testen

De sprinter of toch de noodrem? Agile testen bij de NS. 9 oktober 2012 De Sprinter of toch de noodrem? Agile testen bij de NS 1

Riskpoker - Confirmation - Planningpoker. Opfrissing TMap NEXT in scrum en toelichting op de opdracht Leo van der Aalst - Jos Punter - Hans Lantink

Strategie=> Agile. PIM strategie sessie Utrecht, 24 september 2015

Van testproces tot testvak... en verder

Sebyde Web Applicatie Security Scan. 7 Januari 2014

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

Leiderschap in een organisatie met technische professionals

SMART requirements en slim testen Hoe goede requirements en een slim testproces elkaar versterken

AERIUS II. Mark Wilmot Product Owner AERIUS. Ministerie van EL&I Programma Directie Natura 2000 Programma Stikstof (PAS)

STUDIEWIJZER WEB PENTESTING BACHELOR IN DE TOEGEPASTE INFORM ATICA SEMESTER 2 ACADEMIEJAAR LECTOR PARCIFAL AERTSSEN

Adding value to test tooling

Adding value to test tooling

Security. Awareness.

Training en workshops

Grip op Secure Software Development (SSD)

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni Arthur Donkers, 1Secure BV arthur@1secure.nl

PLANET AGILE 17E BPUG SEMINAR

AERIUS: Rekeninstrument voor de PAS

Performance Essentials

De juiste requirements juist

Accelerate? Automate!

Agile Testen van Business Intelligence. Assepoester 2.0

Het Sebyde aanbod. Secure By Design

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

SWAT PRODUCT BROCHURE

EEN INTRODUCTIE TOT SCRUM

Security assessments. het voor- en natraject. David Vaartjes

Optimale Performance bij de Rechtspraak. Froukje van der Wulp en Maarten Smeets Tech Experience 2017

Reports of my death are greatly exaggerated

Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur

Continuous testing in DevOps met Test Automation

Grip op. Secure Software Development

Definitief 1.0 Handreiking voor toepassen van Agile Scrum binnen Overheidsdiensten april 2012

Agile, Scrum en Kanban in de praktijk

Security, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst

Wie is Egbert Bouman? Risicomanagement en de PO. Risicomanagement en de product owner. Egbert Bouman (Valori) 17 juni 2014.

Norm ICT-beveiligingsassessments DigiD

TAM. Control Model for Effective Testing

Agile buiten de IT. Bent u al onbewust bekwaam met agile? Bert Leibbrand bert.leibbrand@itri.nl

Security Testing. Omdat elk systeem anderis

Agile Security De noodzaak tot herijken van informatiebeveiliging voor agile projecten.

Preventing Anti-Patterns for Agile Testing

Checklist beveiliging webapplicaties

Agile (Scrum) Werken Jeroen Hak

Risicomanagement in Scrum

Deny nothing. Doubt everything.

Wat te doen tegen ransomware

Van kreukelzone naar early feedback

Agile : Business & IT act as one

Introductie workshop Agile & Scrum

Kwaliteit in Agile: een gegeven?

Deep Code Visibility to Strengthen the. Software Your Business Depends On. Veilige software lukt nog niet. Wat nu?

De Agile Analist. Henk Jan Huizer

MSO Questions: Up & requirements

Testen van digitale leeromgevingen bij ThiemeMeulenhoff. Een Exploratory testaanpak in een veranderende wereld.

Requirements Management Werkgroep Traceability

Welkom. bij scrum. Zin in Onderwijs

Doel Vaststellen wat het doel is van aankomende sprint en een plan maken om dat doel te bereiken.

De kracht van de blueprint Het middelpunt van het Software Defined Data Center

Testen als continuous enabler

Poging 3: KEY001: SESID: Hiermee zijn we ingelogd als gebruiker DEMO2 :

TestNet Voorjaarsevenement 2010 Jurian van de Laar 12 mei 2010

Transcriptie:

Secure Software Alliance 6

SSD model SSDprocessen Organisatorische inrichting SSD Business impact analyse (BIA) Onderhoud standaard beveiligingseisen Risico attitude organisatie Sturen op maturity Standaard beveiligingseisen Wettelijke eisen, beleid en uitgangspunten Gap Verantwoording Intern (dashboard), extern (compliancy) Risicoanalyse Gap Risicobeheersing en risicoacceptatie Contactmomenten Beveiligingstestplan Eisen Acceptatie risico s Codereview Securitytesten Pentest Ontwikkelproces Intiatie Ontwerp Bouw Test Acceptatie Productie 7

Uitdaging: SDLC Scrum 8

Scrum in een notendop 9

Bring Security to Scrum 10

Van Waterval naar Agile 11

Agile Application Security Testing Bedrijfs / IT doelstelling Project Brief PID/ Release Plan PAT vrijgave Privacy Impact assessm ent Business Case Global Require ments Security Baseline MTP Wettelijke kaders en policies PSA User Story 1..n Epic 1..n Global Backlog Features Sprint Backlog Definition of Ready Feature nr(s) Artifacts (Functional Blocks) Definition of Done Sprint Demo Sprint Retro GAT vrijgave Keten test vrijgave In beheer name rapport Operatie Security Officer Architect Scrum Team(s) Test + release Product Owner(s) manager Product Owner(s) Kwaliteitsmanager Security Specialist 12

Security risico s 13

Gebruik een RAR lijst Require ments Acceptatie criteria Risico s één RAR lijst?! 14

Wat heb je hieraan? Expliciet en controleerbaar risicomanagement In een Scrum setting mogelijk Met borging van elk risicotype Elk risico is te mappen Zonder Scrum te frustreren Weinig extra s toevoegen 15

Application Security Life Cycle OPDRACHTGEVER Regievoering In productie nemen (keten) veilige applicaties Pentesten Periodieke check up Productie Veilig houden applicaties PIA 0-meting Acceptatie van beveiligingscriteria en risico s Acceptatie Initiatie Opstellen security acceptatie en testcriteria Uitvoeren van beveiligingstesten Testen Ontwerp Opstellen gedetailleerde beveiligingseisen o.b.v. bedreigingen Risicobeheersing OPDRACHTNEMER Vulnerability scan Bouw Code analyse Review ontwerp 16

Application Security Life Cycle OPDRACHTGEVER Regievoering In productie nemen (keten) veilige applicaties Pentesten Periodieke check up Productie Veilig houden applicaties PIA 0-meting Acceptatie van beveiligingscriteria en risico s Acceptatie Initiatie Opstellen security acceptatie en testcriteria Uitvoeren van beveiligingstesten Testen Ontwerp Opstellen gedetailleerde beveiligingseisen o.b.v. bedreigingen Risicobeheersing OPDRACHTNEMER Vulnerability scan Bouw Code analyse Review ontwerp 17

OWASP top 10 (2013) 18

Security by design Ontwikkelteam In alle fasen van de software levenscyclus Test: Aantonen defect / vulnerability Ontwikkelteam Belangrijke kwetsbaarheden en/of bedreigingen Onderdeel application life cycle en vrijgaveadvies Penetratietest Net voor of na in productiename Vinden en diepgaand onderzoeken van een vulnerability (forensics) Ethical hacker (extern) Verdieping en onderzoek naar specialistische aanvallen Separaat rapport Securitytest en penetratietest vervangen elkaar dus niet; > het vult elkaar aan < 19

Mogelijkheden securitytesten Mogelijk uit te voeren securitytesten: Authenticatie en autorisatie (SQL) Injectie Syntactisch / semantisch Parameters aanpassen Sessie overnemen HTTPS Encryptie Sensitieve data Cross site scripting (XSS) Cross site request forgery Redirects Met reguliere tools Tool, zoals Burp Suite nodig! Groeipad 20

SSD Beveiligingseisen Normalisatie en validatie van input SSD-18: Inregelen van HTTP validatie SSD-19: Normaliseren van invoer voor validatie SSD-22: Toepassen van invoervalidatie SSD-20: Controle op de codering van dynamische onderdelen SSD-21: Afdwingen van geparameteriseerde queries 21

Invoervalidatie Naam Naam Naam Naam Naam Naam Vul hier uw naam in 123456!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!@#$%^&*()_: <>?;,./\ {} ÁáÉéÍíÓóÚúÄäËëÏïÖöÜüÀàÈèÌìÒòÙù aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 22

Verdiepen vanuit invoervalidatie Naam Naam Naam Naam X X X x <b>test</b> <font size="6" color="#ff0000" face= comic sans>rood</f <a href="https://www.google.com">klik hier</a> SELECT naam FROM naam WHERE naam = naam AND 23

Checken invoervalidatie Op GUI zelf (respons) In bericht Middleware Back-end Logging Gekoppelde applicaties Database Is het bericht manipuleerbaar? Kan ik hiermee validaties op GUI omzeilen? <Name>Tim van Loon</Name> <Phone>0612123123</Phone> <Name><i>Pim van Loon</i></Name> <Phone>!@#$%^&*(</Phone> Oplossing Zorgen dat slechts een naam mogelijk is via veld en services. Beperking tot alfabetisch, beperkt non alfanumeriek, (min en) max van X aantal karakters. 24

Afsluiting 25

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback