agile secure software · agile secure lifecycle management 1. because we have to! 2. developers...
TRANSCRIPT
![Page 1: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/1.jpg)
Agile Secure SoftwareSecure by Agile Design
SPREKERS:
dr. lec. Barry Derksen MSc. MMC CISA CGEIT
drs. Monique Neggers CISA CGEIT CISM CRISC
![Page 2: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/2.jpg)
Barry
Monique
STUUR Coaching en Consultancy
![Page 3: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/3.jpg)
4. AfsluitingVersterk het vertrouwen in je product of idee door
minimaal een van de volgende dia's toe te voegen:
➔ Mijlpalen
Wat is er bereikt en wat moet er mogelijk nog
worden aangepakt?
➔ Testimonials
Wie steunt je idee (of niet)?
➔ Wat nu?Hoe kan het publiek meedoen of meer
ontdekken?
Zoom in at Cyber Security controls: What is your status?
1. Do we know all URLs &
are those OWASP proof?
2 Abuse cases created?
8 When was your last physical
security testing?
7 ISO27001?
By obligation or by heart?
6 Prioritized Risk Backlog?
For software?
5 How many systems are
pentested?
4 Is your testdata scrambled?
3 Are our big data analysts
screened?
12 How good is our SOC
compared to peers?
11 Developer staff trained in
security practices?
10 How many data leakages
reported?
9 Analysis?GDPR compliant?
Security laws?
1. Take picture
2. Set goals
3. Implement
4. Monitor progress
5. Evaluate
![Page 4: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/4.jpg)
Agile Secure
lifecycle management
1. Because we have to!
2. Developers meets hacker
3. Agile beats structure
4. Software Security Fundamentals
5. Introducing Agile secure Software Development
6. Agile Secure Software Framework
7. Maturing Agile Secure Software Life Cycle
8. Ren je Rot
8 Sprints
![Page 5: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/5.jpg)
❏ Agile Secure Software
Development is a
contradiction in terms
❏ Security is a challenge
❏ Agile Secure Development
needs professionals
❏ Software is everywhere
Sprint 1. Because we have to! B
![Page 6: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/6.jpg)
Sprint 2: Developer meets Hacker
❏ Just one flaw is enough
❏ Every step needs to be checked on abuse cases
❏ Risk based, using CIA
![Page 7: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/7.jpg)
❏ Example #1 "As a hacker, I can send bad data in
URLs, so I can access data and functions for
which I'm not authorized"
❏ Example #2 "As a hacker, I can send bad data in
the content of requests, so I can access data and
functions for which I'm not authorized"
❏ Example #3 "As a hacker, I can read and even
modify all data that is input and output by your
application"
EVIL User Stories
![Page 8: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/8.jpg)
4. AfsluitingVersterk het vertrouwen in je product of idee door
minimaal een van de volgende dia's toe te voegen:
➔ Mijlpalen
Wat is er bereikt en wat moet er mogelijk nog
worden aangepakt?
➔ Testimonials
Wie steunt je idee (of niet)?
➔ Wat nu?Hoe kan het publiek meedoen of meer
ontdekken?
Call for Agile:
❏ Social media
❏ Mobile living❏ Analytics & Big Data❏ Cloud
❏ IoT❏ Chain trends
❏ Risks changes
Sprint 3: Agile beats structureB
![Page 9: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/9.jpg)
Sprint 4: Software Security
Fundamentals
Security measures in SDLC,
Source: Gary McGraw, Software Security in ,2006
![Page 10: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/10.jpg)
4. AfsluitingVersterk het vertrouwen in je product of idee door
minimaal een van de volgende dia's toe te voegen:
➔ Mijlpalen
Wat is er bereikt en wat moet er mogelijk nog
worden aangepakt?
➔ Testimonials
Wie steunt je idee (of niet)?
➔ Wat nu?Hoe kan het publiek meedoen of meer
ontdekken?
Sprint 5: Agile Secure
Software Development
❏ Stakeholders part of risk assessment
❏ Stakeholders security tests during
product review
❏ Acceptance criteria security user stories
❏ Use Agile retrospectives
❏ Group to minimize security damage
Risk in Waterfall and Agile software development,
Source: Cirdam Group
B
![Page 11: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/11.jpg)
Sprint 5.1: Adopting security
focused stories
❏ Develop Security user stories
❏ Prioritize risk based
❏ decrease risk acceptance level in time
❏ (you’re never finished)
Figure 15: Security Focused story, Source: Safecode.org
B
![Page 12: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/12.jpg)
Sprint 6: Agile SECURE Software
Development Framework
THREATS● Functional threats
● Architectural threats
○ architecture
inventory
○ threat library
● Mitigations
IMPLEMENTATION● Secure coding principles
● Secure coding standards
● Code Audit
VERIFICATION● Verification method
○ code review
○ penetration test
○ vulnerability scan
○ fuzzing
○ abuse tests
● Verification process
CONTEXT● Functions & Environment
● Application assets
● Security requirements
● Security assumptions
B
![Page 13: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/13.jpg)
Control Testing example
❏Conduct control testing on software releases
❏Derive test cases from known control requirements
❏Employ software specific control testing automation
❏Integrate control testing into development process
❏Utilize automated control testing tools
Source: ISACA
![Page 14: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/14.jpg)
4. AfsluitingVersterk het vertrouwen in je product of idee door
minimaal een van de volgende dia's toe te voegen:
➔ Mijlpalen
Wat is er bereikt en wat moet er mogelijk nog
worden aangepakt?
➔ Testimonials
Wie steunt je idee (of niet)?
➔ Wat nu?Hoe kan het publiek meedoen of meer
ontdekken?
Sprint 7: Maturing Agile Secure Software
Development Life Cycle
Risk
Epics
B
![Page 15: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/15.jpg)
Measure yourself & your supplier
Source: SAMM v1.5
B
![Page 16: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/16.jpg)
≈17 beleidsstukken
≈ 13 processes
≈ 20 procedures
≈ 45 Standaards with > 250 controls
Make it part of
Integrated© IT Control Framework
B
![Page 17: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/17.jpg)
❏ Software is everywhere!
❏ Agile Secure Software Development is a contradiction in terms
❏ Security (by design) is a challenge!
❏ Just one flaw is enough
❏ Evil user stories are a must have
❏ Integrating Agile Risk Management is essential
❏ Agile Secure Software Development needs professionals
Summary
B
![Page 18: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/18.jpg)
![Page 19: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/19.jpg)
4. AfsluitingVersterk het vertrouwen in je product of idee door
minimaal een van de volgende dia's toe te voegen:
➔ Mijlpalen
Wat is er bereikt en wat moet er mogelijk nog
worden aangepakt?
➔ Testimonials
Wie steunt je idee (of niet)?
➔ Wat nu?Hoe kan het publiek meedoen of meer
ontdekken?
Agile = AIRgile
![Page 20: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/20.jpg)
4. AfsluitingVersterk het vertrouwen in je product of idee door
minimaal een van de volgende dia's toe te voegen:
➔ Mijlpalen
Wat is er bereikt en wat moet er mogelijk nog
worden aangepakt?
➔ Testimonials
Wie steunt je idee (of niet)?
➔ Wat nu?Hoe kan het publiek meedoen of meer
ontdekken?
De huidige IT controls bij
Agile werken niet
![Page 21: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/21.jpg)
4. AfsluitingVersterk het vertrouwen in je product of idee door
minimaal een van de volgende dia's toe te voegen:
➔ Mijlpalen
Wat is er bereikt en wat moet er mogelijk nog
worden aangepakt?
➔ Testimonials
Wie steunt je idee (of niet)?
➔ Wat nu?Hoe kan het publiek meedoen of meer
ontdekken?
Agile is de zilveren kogel
die (eindelijk) IT projecten
succesvol maakt.
![Page 22: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/22.jpg)
4. AfsluitingVersterk het vertrouwen in je product of idee door
minimaal een van de volgende dia's toe te voegen:
➔ Mijlpalen
Wat is er bereikt en wat moet er mogelijk nog
worden aangepakt?
➔ Testimonials
Wie steunt je idee (of niet)?
➔ Wat nu?Hoe kan het publiek meedoen of meer
ontdekken?
De product owner
moet van IT komen
![Page 23: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/23.jpg)
4. AfsluitingVersterk het vertrouwen in je product of idee door
minimaal een van de volgende dia's toe te voegen:
➔ Mijlpalen
Wat is er bereikt en wat moet er mogelijk nog
worden aangepakt?
➔ Testimonials
Wie steunt je idee (of niet)?
➔ Wat nu?Hoe kan het publiek meedoen of meer
ontdekken?
ERP kan niet agile
worden aangepakt
![Page 24: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/24.jpg)
4. AfsluitingVersterk het vertrouwen in je product of idee door
minimaal een van de volgende dia's toe te voegen:
➔ Mijlpalen
Wat is er bereikt en wat moet er mogelijk nog
worden aangepakt?
➔ Testimonials
Wie steunt je idee (of niet)?
➔ Wat nu?Hoe kan het publiek meedoen of meer
ontdekken?
Internal audit werk
kan agile worden
ingericht
![Page 25: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/25.jpg)
4. AfsluitingVersterk het vertrouwen in je product of idee door
minimaal een van de volgende dia's toe te voegen:
➔ Mijlpalen
Wat is er bereikt en wat moet er mogelijk nog
worden aangepakt?
➔ Testimonials
Wie steunt je idee (of niet)?
➔ Wat nu?Hoe kan het publiek meedoen of meer
ontdekken?
Risk backlog?
Dat werkt niet
![Page 26: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/26.jpg)
4. AfsluitingVersterk het vertrouwen in je product of idee door
minimaal een van de volgende dia's toe te voegen:
➔ Mijlpalen
Wat is er bereikt en wat moet er mogelijk nog
worden aangepakt?
➔ Testimonials
Wie steunt je idee (of niet)?
➔ Wat nu?Hoe kan het publiek meedoen of meer
ontdekken?
Security in retrospective,
dat is een goed start
![Page 27: Agile Secure Software · Agile Secure lifecycle management 1. Because we have to! 2. Developers meets hacker 3. Agile beats structure 4. Software Security Fundamentals 5. Introducing](https://reader033.vdocuments.net/reader033/viewer/2022042805/5f68ac8e5f5e7a6135131ef0/html5/thumbnails/27.jpg)
4. AfsluitingVersterk het vertrouwen in je product of idee door
minimaal een van de volgende dia's toe te voegen:
➔ Mijlpalen
Wat is er bereikt en wat moet er mogelijk nog
worden aangepakt?
➔ Testimonials
Wie steunt je idee (of niet)?
➔ Wat nu?Hoe kan het publiek meedoen of meer
ontdekken?