Sichere Softwareentwicklung

Transkript

1 Sichere Sftwareentwicklung Die CSSLP Zertifizierung als Kmpetenznachweis für Sftware Praktiker

2 Agenda Mtivatin für sichere Sftware Die 8 CSSLP Bereiche im Überblick Infrmatinen zur Zertifizierung(svrbereitung)

3 Evlutin der (Cyber) Risiken Hch Kmplexität Knw-Hw zu erlangen Man in the middle Angriffe DDS Clud Angriffe Spear Phishing Staatlich unterstütze Malware & Überwachungs- Sftware Watering Hle Angriffe Mbile Malware APTs Spam Denial f Service Angriffe über Lieferanten & Partner Untergrund Märkte & CaaS Hacking IT & Schiffe, Auts, Flugzeuge, medizinische Geräte, kritische Infrastruktur, Smart* Kmplexität der Angriffe Niedrig Würmer SBA Research ggmbh physische Einbrüche Brute Passwrt Frce raten Phishing Backdrs Explit Kits & Angriffs Tls

4 Warum sichere Sftwareentwicklung? Grundprblem ist unsichere Sftware Sicherheit abhängig vn Entwicklern, aber auch abhängig vn Abläufen, Przessen, Tls Der CSSLP Kurs baut umfassendes Wissen über den sicheren Sftware Entwicklungsprzess auf Die CSSLP Zertifizierung dient als Kmpetenznachweis für Sftware-Führungskräfte

5 Finanzielle Mtivatin

6 Sftware wird auf viele Arten entwickelt SCRUM extreme Prgramming (XP) Wasserfallmdell iterative Mdelle

7 Die 8 Bereiche des CSSLP Secure Sftware Cncepts Secure Sftware Requirements Secure Sftware Design Secure Sftware Implementatin/Cding Secure Sftware Testing Sftware Acceptance Sftware Deplyment, Operatins, Maintenance and Dispsal Supply Chain and Sftware Acquisitin

8 CSSLP Die 8 CSSLP Bereiche im Überblick

9 (1) Secure Sftware Cncepts Knzepte und Elemente sicherer Sftware Risikmanagement Standards, Vrgaben, Nrmen

10 (2) Secure Sftware Requirements Frmulierung vn Security Requirements z.b. Abuse Cases ( negative User Stries) Datenklassifizierung z.b. persnenbezgene Daten Plicy Decmpsitin Ableiten knkreter Anfrderungen aus (abstrakten) Richtlinien

11 (3) Secure Sftware Design Sichere Designprinzipien Bedrhungsanalyse (Threat Mdeling) Sftwarearchitekturen Architektur/Design Reviews

12 (3) Werkzeuggestützte Bedrhungsanalyse

13 (4) Secure Sftware Implementatin/Cding Grundlegendes Wissen über Prgrammierung Entwicklungsmdelle Häufige Angriffe Defensive Entwicklung Cdeanalyse DAST (Dynamic Applicatin Security Testing) SAST (Static Applicatin Security Testing) Manuelle Surce Cde Analyse

14 (5) Secure Sftware Testing Qualität und Sicherheit Security Testing Testdaten Management

15 (6) Sftware Acceptance Sftware Zertifizierung & Akkreditierung Auswirkungen vn Sicherheit auf den Releaseprzess

16 (7) Sftware Deplyment, Operatins, Maintenance and Dispsal Sicherheit beim Release und Deplyment Mnitring Change Management Incident Management Sicherheitsaspekte bei der Ablöse (End-f-Life)

17 (8) Supply Chain and Sftware Acquisitin Risikanalyse vn Lieferanten Sicherheit in SLAs Sicherheitsaudit vn Fremdsftware Sicherheit beim Anbieterwechsel

18 CSSLP Infrmatinen zur Zertifizierung(svrbereitung)

19 Kursinhalte Teilnehmer werden auf die CSSLP Zertifizierung vrbereitet Inhalt rientiert sich an 8 Kapiteln des CSSLPs Viele prüfungsähnliche Fragen zur Prüfungsvrbereitung Offizielles Kursbuch ist inkludiert

20 Abgrenzung - Nichtziele Tiefgehende technische Erklärungen zu derzeit aktuellen Schwachstellen Wir prgrammieren keine Buffer Overflws Umfassende Infrmatin, wie man Sftware auf Schwachstellen testet Wir hacken keine Anwendungen Infrmatin über generelle Sftwareentwicklung Wir setzen auf Standardwissen auf

21 Infrmatinen zum Kurs Zielgruppe Sftwarearchitekten Entwickler Sftware Tester Prjektmanager Security Manager IT Leiter Dauer: 5 Tage Teilnehmer: max. 10

22 Zertifzierungsprzess Berufserfahrung sammeln 4 Jahre Erfahrung mit (sicherer) Sftwareentwicklung 3 Jahre Erfahrung + universitärer Abschluss Für Prüfung lernen Training, Bücher, WebCasts, Online-Tls Zertifizierung In Wien nur bei OeAD möglich, 480 (je Antritt) 4 Stunden, 175 Fragen, 70% Mindestpunkte Endrsement Przess abschließen Vraussetzungen werden vn ISC2 geprüft Aufrechterhaltung des Zertifikats $ 100 Gebühr p.a. Weiterbildung ist Pflicht (Punktesystem)

23 Zusammenfassung Sftware Sicherheit wird wichtiger Smart Hme, Smart Cars, Smart Devices Nch immer zu wenig Wissen über den sicheren Sftwareentwicklungsprzess vrhanden. Die CSSLP Zertifizierung als Kmpetenznachweis für Persnen die sichere Sftware entwickeln wllen.

24 Stefan Jakubi Head f Infrmatin Security Services SBA Research ggmbh Favritenstraße 16, 1040 Wien sjakubi@sba-research.rg