100 likes | 262 Views
Sveučilište u Splitu Sveučilišni odjel za stručne studije. Upravljanje rizicima. Sigurnosni softverski inženjering. Joško Smolčić Sandra Antunović Terzić. Split, 05.2012. Sadržaj. Sigurnosni softverski inženjering Cilj sigurnosnog softverskog inženjeringa Zrelost i relevantnost iskustva
E N D
Sveučilište u SplituSveučilišni odjel za stručne studije Upravljanje rizicima Sigurnosni softverski inženjering Joško Smolčić Sandra Antunović Terzić Split, 05.2012
Sadržaj • Sigurnosni softverski inženjering • Cilj sigurnosnog softverskog inženjeringa • Zrelost i relevantnost iskustva • Zaključak
Sigurnosni softverski inženjering • Softver je sveprisutan. • Mnogi proizvodi, usluge i procesi koje organizacije koriste su često jako ovisni o softveru a pritom se radi s osjetljivim i visokovrijednim podacima o kojima ovise privatnost, i egzistencija ljudi. • Ranjivost softvera može ugroziti intelektualno vlasništvo, povjerenje potrošača, poslovne operacije i usluge.
Sigurnosni softverski inženjering Nacionalna sigurnost počiva na krajnje složenim, međusobno povezanim softverskim informacijskim sistemima koji u mnogim slučajevima koriste internet ili internetu izložene privatne mreže kao sredstvo komunikacije ili prenošenja podataka.
Sigurnosni softverski inženjering • Prema istraživanju 169 najvećih globalnih financijskih institucija, postojeće zaštite softvera nisu više adekvatne – sigurnost softvera je problem broj jedan za IT službe. • Nedostatak sigurnosne discipline u današnjim praksama softverskog razvoja često rezultira razvojem softvera sa iskoristivim slabostima. • U mnogim slučajevima, kada se odluka svede na "dostavi odmah" ili "poradi na sigurnosti i dostavi kasnije", trenutna dostava je gotovo uvijek izbor onih koji kontroliraju novac.
Cilj sigurnosnog softverskog inženjeringa • Cilj softverskog sigurnosnog inženjeringa je izgraditi bolje, savršenije softvere bez nedostataka • Softver koji se razvija i sastavlja poštujući pravila o sigurnosti softvera trebao bi imati značajno manji broj iskoristivih nedostataka. • Softverski sigurnosni inženjering je korištenje iskustva, procesa, alata i tehnika za rješavanje problema u svakoj fazi životnog ciklusa izrade softvera.
Cilj sigurnosnog softverskog inženjeringa Softverski intenzivni sistemi koji su osmišljeni uz korištenje sigurnijih softvera su bolji jer: • Nastavljaju pravilno raditi u prisustvu većine napada bilo pružajući otpor iskorištavanju nedostataka samog softvera bilo tolerirajući kvarove koje su rezultat takvih iskorištavanja. • Ograničavaju štetu nastalu zbog kvarova nastalih zbog napada kojima se softver nije mogao oduprijeti ili toleriraju i brzo se oporavljaju od tih kvarova.
Zrelost i relevantnost prakse • Uočeno je kako su neka softverska sigurnosna iskustva u široj upotrebi i time više testirana i zrelija nego druga kao npr. praksa sigurnosnog kodiranja i testiranja povredljivosti. • Prilikom odabira određene prakse kojom ćemo se služiti u poboljšavanju sigurnosti aplikacija koristimo dva praktična načina: • Određivanje relativne zrelosti prakse. • Određivanje tipova korisnika.
Zrelost i relevantnost prakse • Kod određivanja relativne zrelosti prakse razlikujemo četiri stupnja zrelosti: • 1. stupanj zrelosti (L1): sadržaj pruža vodič za razmišljanje o temi za koju nema dokazanog ili široko prihvaćenog pristupa • 2. stupanj zrelosti (L2): sadržaj opisuje prakse koje su u ranoj "pilot" upotrebi i koje demonstriraju neke uspješne rezultate. • 3. stupanj zrelosti (L3): sadržaj opisuje prakse koje su u ograničenoj upotrebi u industriji ili vladinim organizacijama, možda za određeni sektor tržišta. • 4. stupanj zrelosti (L4): sadržaj opisuje prakse koje su uspješno razvijene i u širokoj su upotrebi. Ove se prakse mogu koristiti sa sigurnošću. • Kod određivanja tipova korisnika razabiremo tri klase korisnika E,M,L • E: za glavne i iskusnije menadžere • M: za projektne i srednje iskusne menadžere • L: za tehničke voditelje, inženjerske menadžere, menadžere iz "prve ruke" i nadzornike.
Zaključak Kao softverski i sigurnosni profesionalci, nikada nećemo preći u vodstvo ukoliko budemo pristupali sigurnosti kao isključivo operacionom problemu. Napadači su kreativni, genijalni i jako motivirani financijskom dobiti. Oni već desetljećima proučavaju kako iskoristiti softver, nažalost se to ne može reći za softverske inženjere, a to se treba promijeniti.