Creazione di un team mirato alla sicurezza dell'applicazione Web

3

Lavoro come architetto di applicazioni presso società più grandi che costruiscono applicazioni web che utilizzano entrambe le tecnologie .Net e Java. Questi sono venduti e accessibili da altre aziende (non i consumatori). Abbiamo diversi team di sviluppo di applicazioni che lavorano su questi, tra cui vari livelli di abilità di dipendenti, appaltatori / consulenti e team in outsourcing.

Abbiamo un gruppo per la sicurezza delle informazioni maturo, operazioni di data center, networking. ecc. Abbiamo anche corsi obbligatori sulla sicurezza delle applicazioni, scansioni del codice sorgente con software di terze parti e guida tramite politiche e procedure di sicurezza.

Sto cercando di difendere un team più piccolo (3-4 persone) che potrebbe concentrarsi sull'implementazione dettagliata a livello di codice e sugli elementi di correzione da audit e scansioni. Queste persone capirebbero come il OWASP Top 10 si presenta come nel codice e sulla rete, e non visto come una checklist di gestione.

Domanda: sto cercando informazioni sul giusto mix di abilità nella costruzione di questo team, preferendo un caso di studio documentato, ma anche le opinioni hanno valore. Voglio evitare una lista generica come: sviluppatore Java, sviluppatore .Net, tester, DBA, ecc.

Inoltre, cercando di non rendere questa domanda soggettiva e aperta, apprezzeremmo qualsiasi modifica consigliata.

    
posta Kevin Hakanson 27.01.2014 - 06:25
fonte

2 risposte

1

Il modello di sicurezza degli edifici in maturità (BSIMM) di Cigital è uno studio dettagliato delle iniziative di sicurezza del software in 67 organizzazioni. Tutti i partecipanti a BSIMM hanno un gruppo interno dedicato alla sicurezza del software chiamato Software Security Group (SSG). Le domande frequenti di BSIMM descrivono il ruolo delle caratteristiche del gruppo di sicurezza del software (SSG) nel link .

Secondo le FAQ di BSIMM, la dimensione "SSG in media è di 14.78 persone (la più piccola 1, la più grande 100, la mediana 7) con un" satellite "di altre (sviluppatori, architetti e persone dell'organizzazione direttamente impegnate nella promozione della sicurezza del software di 29,6 persone (il più piccolo 0, il più grande 400, il mediano 4). Il numero medio di sviluppatori tra i nostri obiettivi era di 4.100 persone (il più piccolo 11, il più grande 30.000, il numero medio 1.600), con una percentuale media di SSG fino a poco più dell'1,4% ".

Gary McGraw, Sammy Migues e Jacob West discutono la logica e i benefici dell'SSG, in particolare nel contesto di un programma di sicurezza software completo che copre il ciclo di vita dello sviluppo del software. Hanno trovato la "percentuale di SSG per lo sviluppo dell'1,4% nelle sessantasette organizzazioni che abbiamo studiato.Questo significa un membro SSG per ogni 71 sviluppatori.Il più grande SSG era 27,27% e il più piccolo era 0,03%."

Though none of the sixty-seven SSGs we examined had exactly the same structure (suggesting that there is no one set way to structure an SSG), there are some commonalities we observed that are worth mentioning. At the highest level of organization, SSGs come in three major flavors: those organized according to technical SDLC duties, those organized by operational duties, and those organized according to internal business units. Some SSGs are highly distributed across a firm, and others are very centralized and policy-oriented. If we look across all of the SSGs in our study, there are several common "subgroups" that are often observed. They are: people dedicated to policy/strategy and metrics; internal 'services' groups that (often separately) cover tools, pen testing, and middleware development/shepherding; incidence response groups; groups responsible for training development and delivery; externally-facing marketing/communications groups; and, vendor-control groups.

Per ulteriori informazioni su questo problema, consulta l'articolo di Gary McGraw "Hai davvero bisogno di un SSG" all'indirizzo link

    
risposta data 06.03.2014 - 22:37
fonte
0

Penso che tu voglia costruire un blueteam che possa rimediare dopo il pentesting. Quindi dovrebbero sapere su codifica sicura, analisi del codice, reverse engineering. Devono capire profondamente come il codice è stato elaborato su piattaforme diffirenti. Posso dire che è molto difficile.
Poiché hai già un gruppo IS, puoi sceglierne alcuni da loro. Supponiamo che non sia facile costruire questa squadra da ingegneri di codifica.

    
risposta data 19.02.2014 - 04:50
fonte

Leggi altre domande sui tag