Викладаю відео та слайди мого виступу “Threat Modeling Gamification” (in English) на зустрічі OWASP Kyiv минулої суботи. У доповіді йдеться про те, як команда BSG здійснює моделювання загроз в проєктах з тестування безпеки програмного забезпечення. В пентестах програмних додатків є одна велика проблема: показати клієнту, що була зроблена вся можлива робота, а не лише те, про що OWASP не забув написати у відповідному стандарті. Наш підхід цю проблему розв’язує і досить оптимально.
Тест-драйв виявився успішним, з аудиторії поступили цікаві питання, і я вже доповнив слайди відповідями на них. Наступний раз цей матеріал презентуватиму на якійсь конференції, але ще не вирішив куди саме подам заявку.
Моделювання загроз це, напевно, єдина справді необхідна практика в процесі безпечної розробки програм. Без цього етапу немає звідки взятися вимогам безпеки, а тому й імплементувати їх ніхто не стане, й тестувати також. Але на жаль займаються моделюванням загроз одиничні, дуже зрілі команди розробки, і в цьому, я думаю, основна причина того, що навколо нас так багато дірявого програмного забезпечення.
Дякую команді OWASP Kyiv за організацію. Для мене це був перший мітап київського відділення, в підготовці якого я не брав жодної участі. Дуже приємно спостерігати, як створене тобою стає самостійним та успішним без твоєї допомоги.
Окрема подяка моїм колегам: Сергій Короленко, Толік Березюк та Аня Жмурко оновили колоду карт Elevation of Privilege та помістили в неї актуальні загрози програмних додатків. Причому зробили це в рекордні терміни, дуже дякую. Бо грати в оригінальні карти від Microsoft деколи буває смішно: вони досить архаїчні та часто вимагають неабиякої креативності у застосуванні загроз з дев’яностих до сучасних технологій.
Під час виступу я анонсував воркшоп на аналогічну тему, і щойно на нього назбирається достатньо учасників, я із задоволенням його запланую та проведу. Ось посилання на реєстрацію: http://bit.ly/threatmodelingworkshop. Під час воркшопу я нагадаю учасникам, як користуватися OWASP Threat Dragon, а далі ми просто пограємо. Тому що саме ігровий підхід до моделювання загроз робить його менш нудним та довготривалим, ніж звичайні сесії Threat Modeling.