Oppstartspakke

Hva er en Security Champion?

Det er ganske enkelt, du er en Security Champion om du har bestemt deg for å bli det. For å lese mer om hva en Security Champion er anbefales følgende kilder:

• Bouvet "Min side" - Security Champion (krever innlogging og er vår egen beskrivelse)
• Security Champion i NAV
• Security Champion i Equinor

Hjelp, jeg har definert meg selv som security champion!

Gratulerer du har nå blitt en av de som jobber for å skape en bedre verden! Det vanskeligste er nå gjort, så nå skal vi bare å begynne med å ta små skritt i riktig retning.

Uavhengig av din bakgrunn (utvikler, tester, prosjektleder osv) kan punkt 1, 2 og 3 gjøres av alle.

1. Skap bevissthet

Du kan gjerne begynne med å stille deg selv noen spørsmål?

• Hva gjør dette prosjektet jeg jobber med egentlig?
• Hva er kritisk for at systemet skal fungerer?
• Hvordan kan dette systemet misbrukes, hvilke angrepsflater eksisterer i systemet?
• Eksisterer det en oppdatert trusselmodell med dertil tiltak for å forhindre utnyttelse av svakhetene?

Når du begynner å skape deg en bevissthet så kan vi gå videre å finne ut av mer. Nå kan du begynne å ta litt initiativ i teamet ditt.

• Et godt startsted er å organisere en trusselmodellerings-øvelse. Du trenger ikke kunne noe om trusselmodellering, men du kan få litt støtte her Threatmodeling manifesto. Målet med denne trusselmodelleringen er at du og teamet skal få et bevisst forhold til trusler og kanskje få i gang tankeprosessen rundt mottiltak.

• Vurder å etablere et bug bounty program (premiering for å finne bugs) eller noe som får teamet ditt med på å aktive finne utfordringer som bør/må løses.

Vær litt kreativ og forsøk å få med teamet, en Security Champion som ikke får med seg teamet får ofte ikke gjort så mye som han/hun ønsker.

2. Har vi kontroll på hele prosjektet vårt?

Hvis svaret er ja, så retter vi på det til nei. Det er alltid mer som kan gjøres. Kollegaene våre i Nord (teknisk sett midt) har laget en fantastisk liste som bør sjekkes ut for hvert eneste prosjekt vi er involvert i. Listen finner du her.

Går man gjennom den listen får man støtte til å få kontroll på blant annet:

• Ansvar og rutiner
• Tredjepartsprogramvare
• Bygg og deploy av løsninger
• Disaster recovery
• Business Continuity
• Infrastruktur
• Kildekode

Husk du trenger ikke ta alt på en gang få med deg teamet og gjør del for del til dere har enda bedre kontroll på prosjektet. Du trenger ikke kunne alt om dette her men sammen i teamet ditt bør dere klare å finne ut av det.

3. Beskytte brukere og bedriftens rykte

Basert på etikken som læres bort i forsvaret får vi noen lure spørsmål vi kan bruke som utgangspunkt.

• Er det lov?
  • Er løsningen vår lovlig, eller risikerer vi f.eks bøter fra datatilsynet? Burde vi utbedre dette?
• Er det taktisk lurt?
  • Vi stryker taktisk her og endrer til lurt. Er det lurt å lage denne featuren eller er det lurt å sette det opp slik?
• Kan jeg leve med det?
  • Eksempel tåler vi å lage en løsning som kan brukes til trakasering? ref => Lett å trakassere via vipps
• Tåler vi at dette havner øverst på VG?
  • Russland stod bak Nortura Hacking

4. Teknisk gjennomgang av løsninger

Her er det på tide å se på en klassiker som heter OWASP Top 10 og sørge for at vi har unngått disse tabbene, men dette er basic. Skal vi virkelig har kontroll på koden og løsningene må vi gå løs på

• OWASP Secure Coding Practices Quick Reference Guide
• OWASP ASVS