Die Nachrichten über Cyberangriffe, Datenverluste und Sicherheitslücken werden täglich mehr. Und davon sind nicht nur Server, Clients, Netze, Smartphones und Router betroffen: Mit dem Einzug des „Internet of Things“ ist jedes internetfähige Gerät ein potenzielles Ziel krimineller Aktivitäten. Vom Eisschrank bis zum kompletten Stahlwerk, von der Webseite bis zu Webserver-Farmen – jedes an das Internet angeschlossene System bietet aufgrund von Sicherheitslücken in Software Kriminellen ein Einfallstor für illegale Aktivitäten. Unverzichtbar sind daher Sicherheitsmaßnahmen während der Softwareentwicklung.
Der Tagesworkshop zum Thema Entwicklung sicherer Software – Sicherheit von Anfang an – nicht nur Penetration Testing, findet am Donnerstag, den 1. Oktober 2015 in Bonn statt. Der Workshop wendet sich an Führungskräfte im Bereich Entwicklung, Test und generell im Bereich Sicherheit sowie an CIO, CISO und IT-Leiter, Sicherheitsbeauftragte und Datenschutzbeauftragte.
Das Tagesprogramm umfasst folgende Punkte:
- IT-Sicherheitsgesetz: Haftungsrisiken für Management und IT-Leitung bei der Softwareentwicklung
- Einführung in den Security Testing Prozess, Anforderungen der ISO 27034
- Application Security Management nach ISO 27034 und Integrationsmöglichkeiten in die Softwareentwicklung
- Security Requirements Analysis: Identifizierung, Bewertung und Prüfung von Security Requirements
- Security by Design – Threat Modeling: Identifizierung, Bewertung und Behebung von Bedrohungen im Software-Design
- Static Source Code Analysis: Semi-automatisierte Quellcode-Prüfung, Auswahlkriterien von Tools, Auswertung
- Penetration Testing: Vorgehensweise bei Information Gathering, Port-/Vulnerability-Scanning, Exploitation und Behebung der Sicherheitslücken, Durchführungskonzepte
- Dynamic Analysis – Fuzzing: Generieren der Angriffsdaten, Monitoring, Exploitation, Prüfmethoden, Durchführungskonzepte, Auswertung Wirtschaftlichkeitsbetrachtung von Security Tests
- Zertifizierungsmöglichkeiten von Security Tests
In diesem Workshop wird der gesamte ISO 27034 – ‚Application Security‘ basierte Entwicklungsprozess sicherer Software dargestellt, wie er innerhalb kurzer Zeit implementiert bzw. in vorhandene Entwicklungsprozesse integriert werden kann.
Dieser Prozess lässt sich unabhängig vom jeweiligen Entwicklungsmodel in jedes Unternehmen integrieren. Ebenso wird der Prozess auf lokal, verteilt oder auch in der Cloud angesiedelte Entwicklungsumgebungen angewandt.
Lernziele:
Die in der Praxis wirkungsvolle ISO 27034 und die darin empfohlenen Methoden des Security Development Lifecycle (SDL) werden im Workshop behandelt.
Nach den Sicherheitsprüfungen in jeder Phase der Softwareentwicklung dürfte die Software weitgehend frei von Sicherheitslücken sein. Dies kann auch durch eine TÜV-Zertifizierung bestätigt und damit das resultierende hohe Sicherheitsniveau Kunden kommuniziert werden.
- Einführung in den Security Testing Prozess und beispielhafte Integration der ISO 27034 in Entwicklungsprozesse.
- Darüber hinaus werden die Vorgehensweise und die Ziele der 5 Security Testing Methoden erläutert.
- An praxisnahen Beispielen wird deutlich, wie bekannte Sicherheitslücken und insbesondere bisher nicht bekannte Zero-Day-Vulnerabilities identifiziert werden
Der Beitrag enthält Unternehmenswerbung.
