今回の内容:
1. Outreach Activities + α
2. Hardening Project
3. ざっくりわかるインシデントレスポンス
4. アプリケーションセキュリテイ検査・検証の標準化
OWASP JAPAN 18th
7/29(Wed) 19:00 - 20:30
1. Outreach Activities + α
https://speakerdeck.com/owaspjapan/outreach-activities-number-owaspnight18th
・OWASP Japan blog 始めました。
http://blog.owaspjapan.org/
・Mini hardening project
・July Tech Festa に参加。
・OWASP のドキュメントをいかに活用するか。
- 要件定義
Webシステム・Webアプリケーション要件書
- 設計・開発
OWASP Proactive Controls
https://www.owasp.org/index.php/OWASP_Proactive_Controls
OWASP ASVS https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
OWASP Cheat Sheet Series
https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series
- テスト
OWASP ZAP
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
OWASP Testing Guide
https://www.owasp.org/index.php/OWASP_Testing_Project
OWASP OWTF
https://www.owasp.org/index.php/OWASP_OWTF
- 運用・保守
OWASP ModSecurity Core Rule Set Project
https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project
OWASP AppSensor
https://www.owasp.org/index.php/OWASP_AppSensor_Project
OWASP Dependency Check
https://www.owasp.org/index.php/OWASP_Dependency_Check
- その他
OWASP TOP10
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Mobile TOP 10
https://www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Project_-_Top_Ten_Mobile_Risks
loT 10
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project
OWASP Snakes and Ladders
https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders
OpenSAMM (Software Assurance Marturity Model)
http://www.opensamm.org
・まとめ
Promotion Teamは常時ご協力いただける方を募集中。
OWASPが協力可能なイベントがあればご紹介ください。
某社とOWASPのコラボをお楽しみにしてください。
OWASP night で話したいことがあれば気軽にご連絡ください。
OWASPのツール・ドキュメントを積極的にご活用ください。
Proactive Controls 日本語版の公開をお楽しみください。
2. Hardening Project
・ITシステムの総合運用能力を競うセキュリティイベント
Builders, Defenders のスキルを測るもの
・マーケットプレイスの活用
・マーケットプレイスでの商品
プラットフォームサービス
プロテクト
アウトソーシングサービス
コンサルティング などなど
・応募者選考-> 想定以上に応募があった。。
・参加者の人たちは Injection の対策があまかったです。
・Mini Hardening Project を8月にやります。
3. ざっくりわかるインシデントレスポンス
・最近のWebサイトに対する脅威
攻撃インフラとして利用
利用者情報の窃取
決算情報の窃取
ー>直接の被害者はWebサイトの利用者
- 脆弱性対策の実際
そもそもパッチが提供されていない
脆弱性が公開されてから攻撃までの時間が短すぎる
- インシデントレスポンスの必要性
攻撃される前提で対処しないといけない
・Wevアプリケーションエンジニアから見たインシデントレスポンス
Webアプリケーションに対するエンジニアの役割
アプリケーション開発者
サイト管理者
既存の組織とインシデントレスポンス体制の関係
WebアプリケーションエンジニアはWebサイトに対するインシデントの調査・対応・復旧を行う実働主体
NIST Incident Response Life Cycle
Webアプリケーションエンジニアが担う役割
準備ー検知・分析ー封じ込め・根絶・復旧ー事後活動
有事における役割(検知・分析/インシデントの初期調査)
時間をかけすぎす、落ち着いて対処しましょー
チェック箇所・手順を事前に決めておくとよいよ
検知・分析/調査結果の報告
非VoIPで連絡しない。メールの暗号化
操作時にログが汚染されるかもなので、履歴をとっておこう。
セキュリテイ専門家とのやりとりにおける検討事項
封じ込め・根絶・復旧/初動対処
自サイトにおける売上。アクセスパターンなどを事前に把握し、対処しないといけない
機会損失につながる
封じ込め・根絶・復旧/対策の根絶
バックアップ、履歴の管理
封じ込め・根絶・復旧/サイトの復旧
・まとめ
インシデントレスポンスが重要になっているが難しい
・参考
4. アプリケーションセキュリテイ検査・検証の標準化
https://speakerdeck.com/owaspjapan/owasp-asvs-project-review?utm_content=buffere2692&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer
OWASP TOP 10 はそこに記載内容を対策しても充分でない。
ASVS を活用しましょう。
ver1.0 ではマニュアル・ツールで実施する部分を明確に分けすぎたため、やりづらい。
ver2.0 ではテスト項目をもっとざっくり定義。
この資料は対象サイトが level をいかに満たすかを考えている。
Aサイトなら level.1 は満たさないといけない、など。
以下で検討している
https://github.com/OWASP/ASVS
5. 備忘録
Security Ninjas AppSec
https://www.owasp.org/index.php/Category:OWASP_Security_Ninjas_AppSec_Training_Program
0 件のコメント:
コメントを投稿