Wojciech Dworakowski

Testowanie bezpieczeństwa Jak to się robi

2

Wsparcie procesoacutew związanych z utrzymaniem

bezpieczeństwa IT

Od identyfikacji zagrożeń i tworzenia założeńhellip

hellippo testy odbiorcze i okresowe testy podczas eksploatacji

+ specjalizowane szkolenia

Niezależność od dostawcoacutew rozwiązań

Nie sprzedajemy produktoacutew zabezpieczających

Wyłącznie usługi dotyczącyce bezpieczeństwa IT

Doświadczenie

Działamy od 2003 roku

Zbadaliśmy bezpieczeństwo ponad 200 systemoacutew i aplikacji

3

Agenda

Przygotowanie testu

Wykonanie testu

Raportowanie

Przygotowanie testoacutew

bezpieczeństwa

5

Przykład Kontrola dostępu

Aplikacja mobilna

Testy przed wdrożeniem

Testy penetracyjne Całkowity brak kontroli

dostępu do danych

Dev Kontrola dostępu jest ale bdquonie włączonardquo

Po bdquowłączeniurdquo ndash znalezione kolejne przypadki

Koszt Opoacuteźnienie kary umowne wizerunek

6

Rosnące koszty usuwania

podatności

Definiowanie

Projektowanie

Wytwarzanie

Wdrażanie

Utrzymanie

Testowanie koncepcji

(modelowanie zagrożeń)

Testy jednostkowe mechanizmoacutew

zabezpieczających

Testy odbiorcze

Testy w trakcie

eksploatacji

7

Intruz vs Tester

Nieograniczony czas

Wiele grup

Duża motywacja

Ograniczony czas

Jeden zespoacuteł

8

Syndrom bdquogumowegordquo czasu

Testy funkcjonalne Testy

bezpieczeństwa Pilotaż

Go live

Poprawki

Usunięte

podatności

Zależność bdquofinish to startrdquo

Testy

bezpieczeństwa

Poprawki

9

Właściwy zakres testoacutew

Zagrożenia Skutki Scenariusze

ataku

10

Przygotowanie testu

Blackbox

Whitebox

Dokumentacja

Scenariusze testoacutew funkcjonalnych

Możliwość konsultacji

Wgląd do kodu

hellip

Wykonanie testu

12

Skanery automatyczne ndash

istnieją alehellip

False negatives

Wykrywają tylko bdquoczubek goacutery

lodowejrdquo

False positives

Wynik musi być zinterpretowany

przez specjalistę

13

Skaner kodu źroacutedłowego -

- Studium przypadku

15 mln linii kodu

Skaner uruchomiony metodą bdquofire and forgetrdquo

100+ podatności o znaczeniu critical high

Weryfikacja false positives

kilka podatności

o znaczeniu bdquomediumrdquo

Koszt weryfikacji 20 man-days

14

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

2

Wsparcie procesoacutew związanych z utrzymaniem

bezpieczeństwa IT

Od identyfikacji zagrożeń i tworzenia założeńhellip

hellippo testy odbiorcze i okresowe testy podczas eksploatacji

+ specjalizowane szkolenia

Niezależność od dostawcoacutew rozwiązań

Nie sprzedajemy produktoacutew zabezpieczających

Wyłącznie usługi dotyczącyce bezpieczeństwa IT

Doświadczenie

Działamy od 2003 roku

Zbadaliśmy bezpieczeństwo ponad 200 systemoacutew i aplikacji

3

Agenda

Przygotowanie testu

Wykonanie testu

Raportowanie

Przygotowanie testoacutew

bezpieczeństwa

5

Przykład Kontrola dostępu

Aplikacja mobilna

Testy przed wdrożeniem

Testy penetracyjne Całkowity brak kontroli

dostępu do danych

Dev Kontrola dostępu jest ale bdquonie włączonardquo

Po bdquowłączeniurdquo ndash znalezione kolejne przypadki

Koszt Opoacuteźnienie kary umowne wizerunek

6

Rosnące koszty usuwania

podatności

Definiowanie

Projektowanie

Wytwarzanie

Wdrażanie

Utrzymanie

Testowanie koncepcji

(modelowanie zagrożeń)

Testy jednostkowe mechanizmoacutew

zabezpieczających

Testy odbiorcze

Testy w trakcie

eksploatacji

7

Intruz vs Tester

Nieograniczony czas

Wiele grup

Duża motywacja

Ograniczony czas

Jeden zespoacuteł

8

Syndrom bdquogumowegordquo czasu

Testy funkcjonalne Testy

bezpieczeństwa Pilotaż

Go live

Poprawki

Usunięte

podatności

Zależność bdquofinish to startrdquo

Testy

bezpieczeństwa

Poprawki

9

Właściwy zakres testoacutew

Zagrożenia Skutki Scenariusze

ataku

10

Przygotowanie testu

Blackbox

Whitebox

Dokumentacja

Scenariusze testoacutew funkcjonalnych

Możliwość konsultacji

Wgląd do kodu

hellip

Wykonanie testu

12

Skanery automatyczne ndash

istnieją alehellip

False negatives

Wykrywają tylko bdquoczubek goacutery

lodowejrdquo

False positives

Wynik musi być zinterpretowany

przez specjalistę

13

Skaner kodu źroacutedłowego -

- Studium przypadku

15 mln linii kodu

Skaner uruchomiony metodą bdquofire and forgetrdquo

100+ podatności o znaczeniu critical high

Weryfikacja false positives

kilka podatności

o znaczeniu bdquomediumrdquo

Koszt weryfikacji 20 man-days

14

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

3

Agenda

Przygotowanie testu

Wykonanie testu

Raportowanie

Przygotowanie testoacutew

bezpieczeństwa

5

Przykład Kontrola dostępu

Aplikacja mobilna

Testy przed wdrożeniem

Testy penetracyjne Całkowity brak kontroli

dostępu do danych

Dev Kontrola dostępu jest ale bdquonie włączonardquo

Po bdquowłączeniurdquo ndash znalezione kolejne przypadki

Koszt Opoacuteźnienie kary umowne wizerunek

6

Rosnące koszty usuwania

podatności

Definiowanie

Projektowanie

Wytwarzanie

Wdrażanie

Utrzymanie

Testowanie koncepcji

(modelowanie zagrożeń)

Testy jednostkowe mechanizmoacutew

zabezpieczających

Testy odbiorcze

Testy w trakcie

eksploatacji

7

Intruz vs Tester

Nieograniczony czas

Wiele grup

Duża motywacja

Ograniczony czas

Jeden zespoacuteł

8

Syndrom bdquogumowegordquo czasu

Testy funkcjonalne Testy

bezpieczeństwa Pilotaż

Go live

Poprawki

Usunięte

podatności

Zależność bdquofinish to startrdquo

Testy

bezpieczeństwa

Poprawki

9

Właściwy zakres testoacutew

Zagrożenia Skutki Scenariusze

ataku

10

Przygotowanie testu

Blackbox

Whitebox

Dokumentacja

Scenariusze testoacutew funkcjonalnych

Możliwość konsultacji

Wgląd do kodu

hellip

Wykonanie testu

12

Skanery automatyczne ndash

istnieją alehellip

False negatives

Wykrywają tylko bdquoczubek goacutery

lodowejrdquo

False positives

Wynik musi być zinterpretowany

przez specjalistę

13

Skaner kodu źroacutedłowego -

- Studium przypadku

15 mln linii kodu

Skaner uruchomiony metodą bdquofire and forgetrdquo

100+ podatności o znaczeniu critical high

Weryfikacja false positives

kilka podatności

o znaczeniu bdquomediumrdquo

Koszt weryfikacji 20 man-days

14

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

Przygotowanie testoacutew

bezpieczeństwa

5

Przykład Kontrola dostępu

Aplikacja mobilna

Testy przed wdrożeniem

Testy penetracyjne Całkowity brak kontroli

dostępu do danych

Dev Kontrola dostępu jest ale bdquonie włączonardquo

Po bdquowłączeniurdquo ndash znalezione kolejne przypadki

Koszt Opoacuteźnienie kary umowne wizerunek

6

Rosnące koszty usuwania

podatności

Definiowanie

Projektowanie

Wytwarzanie

Wdrażanie

Utrzymanie

Testowanie koncepcji

(modelowanie zagrożeń)

Testy jednostkowe mechanizmoacutew

zabezpieczających

Testy odbiorcze

Testy w trakcie

eksploatacji

7

Intruz vs Tester

Nieograniczony czas

Wiele grup

Duża motywacja

Ograniczony czas

Jeden zespoacuteł

8

Syndrom bdquogumowegordquo czasu

Testy funkcjonalne Testy

bezpieczeństwa Pilotaż

Go live

Poprawki

Usunięte

podatności

Zależność bdquofinish to startrdquo

Testy

bezpieczeństwa

Poprawki

9

Właściwy zakres testoacutew

Zagrożenia Skutki Scenariusze

ataku

10

Przygotowanie testu

Blackbox

Whitebox

Dokumentacja

Scenariusze testoacutew funkcjonalnych

Możliwość konsultacji

Wgląd do kodu

hellip

Wykonanie testu

12

Skanery automatyczne ndash

istnieją alehellip

False negatives

Wykrywają tylko bdquoczubek goacutery

lodowejrdquo

False positives

Wynik musi być zinterpretowany

przez specjalistę

13

Skaner kodu źroacutedłowego -

- Studium przypadku

15 mln linii kodu

Skaner uruchomiony metodą bdquofire and forgetrdquo

100+ podatności o znaczeniu critical high

Weryfikacja false positives

kilka podatności

o znaczeniu bdquomediumrdquo

Koszt weryfikacji 20 man-days

14

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

5

Przykład Kontrola dostępu

Aplikacja mobilna

Testy przed wdrożeniem

Testy penetracyjne Całkowity brak kontroli

dostępu do danych

Dev Kontrola dostępu jest ale bdquonie włączonardquo

Po bdquowłączeniurdquo ndash znalezione kolejne przypadki

Koszt Opoacuteźnienie kary umowne wizerunek

6

Rosnące koszty usuwania

podatności

Definiowanie

Projektowanie

Wytwarzanie

Wdrażanie

Utrzymanie

Testowanie koncepcji

(modelowanie zagrożeń)

Testy jednostkowe mechanizmoacutew

zabezpieczających

Testy odbiorcze

Testy w trakcie

eksploatacji

7

Intruz vs Tester

Nieograniczony czas

Wiele grup

Duża motywacja

Ograniczony czas

Jeden zespoacuteł

8

Syndrom bdquogumowegordquo czasu

Testy funkcjonalne Testy

bezpieczeństwa Pilotaż

Go live

Poprawki

Usunięte

podatności

Zależność bdquofinish to startrdquo

Testy

bezpieczeństwa

Poprawki

9

Właściwy zakres testoacutew

Zagrożenia Skutki Scenariusze

ataku

10

Przygotowanie testu

Blackbox

Whitebox

Dokumentacja

Scenariusze testoacutew funkcjonalnych

Możliwość konsultacji

Wgląd do kodu

hellip

Wykonanie testu

12

Skanery automatyczne ndash

istnieją alehellip

False negatives

Wykrywają tylko bdquoczubek goacutery

lodowejrdquo

False positives

Wynik musi być zinterpretowany

przez specjalistę

13

Skaner kodu źroacutedłowego -

- Studium przypadku

15 mln linii kodu

Skaner uruchomiony metodą bdquofire and forgetrdquo

100+ podatności o znaczeniu critical high

Weryfikacja false positives

kilka podatności

o znaczeniu bdquomediumrdquo

Koszt weryfikacji 20 man-days

14

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

6

Rosnące koszty usuwania

podatności

Definiowanie

Projektowanie

Wytwarzanie

Wdrażanie

Utrzymanie

Testowanie koncepcji

(modelowanie zagrożeń)

Testy jednostkowe mechanizmoacutew

zabezpieczających

Testy odbiorcze

Testy w trakcie

eksploatacji

7

Intruz vs Tester

Nieograniczony czas

Wiele grup

Duża motywacja

Ograniczony czas

Jeden zespoacuteł

8

Syndrom bdquogumowegordquo czasu

Testy funkcjonalne Testy

bezpieczeństwa Pilotaż

Go live

Poprawki

Usunięte

podatności

Zależność bdquofinish to startrdquo

Testy

bezpieczeństwa

Poprawki

9

Właściwy zakres testoacutew

Zagrożenia Skutki Scenariusze

ataku

10

Przygotowanie testu

Blackbox

Whitebox

Dokumentacja

Scenariusze testoacutew funkcjonalnych

Możliwość konsultacji

Wgląd do kodu

hellip

Wykonanie testu

12

Skanery automatyczne ndash

istnieją alehellip

False negatives

Wykrywają tylko bdquoczubek goacutery

lodowejrdquo

False positives

Wynik musi być zinterpretowany

przez specjalistę

13

Skaner kodu źroacutedłowego -

- Studium przypadku

15 mln linii kodu

Skaner uruchomiony metodą bdquofire and forgetrdquo

100+ podatności o znaczeniu critical high

Weryfikacja false positives

kilka podatności

o znaczeniu bdquomediumrdquo

Koszt weryfikacji 20 man-days

14

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

7

Intruz vs Tester

Nieograniczony czas

Wiele grup

Duża motywacja

Ograniczony czas

Jeden zespoacuteł

8

Syndrom bdquogumowegordquo czasu

Testy funkcjonalne Testy

bezpieczeństwa Pilotaż

Go live

Poprawki

Usunięte

podatności

Zależność bdquofinish to startrdquo

Testy

bezpieczeństwa

Poprawki

9

Właściwy zakres testoacutew

Zagrożenia Skutki Scenariusze

ataku

10

Przygotowanie testu

Blackbox

Whitebox

Dokumentacja

Scenariusze testoacutew funkcjonalnych

Możliwość konsultacji

Wgląd do kodu

hellip

Wykonanie testu

12

Skanery automatyczne ndash

istnieją alehellip

False negatives

Wykrywają tylko bdquoczubek goacutery

lodowejrdquo

False positives

Wynik musi być zinterpretowany

przez specjalistę

13

Skaner kodu źroacutedłowego -

- Studium przypadku

15 mln linii kodu

Skaner uruchomiony metodą bdquofire and forgetrdquo

100+ podatności o znaczeniu critical high

Weryfikacja false positives

kilka podatności

o znaczeniu bdquomediumrdquo

Koszt weryfikacji 20 man-days

14

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

8

Syndrom bdquogumowegordquo czasu

Testy funkcjonalne Testy

bezpieczeństwa Pilotaż

Go live

Poprawki

Usunięte

podatności

Zależność bdquofinish to startrdquo

Testy

bezpieczeństwa

Poprawki

9

Właściwy zakres testoacutew

Zagrożenia Skutki Scenariusze

ataku

10

Przygotowanie testu

Blackbox

Whitebox

Dokumentacja

Scenariusze testoacutew funkcjonalnych

Możliwość konsultacji

Wgląd do kodu

hellip

Wykonanie testu

12

Skanery automatyczne ndash

istnieją alehellip

False negatives

Wykrywają tylko bdquoczubek goacutery

lodowejrdquo

False positives

Wynik musi być zinterpretowany

przez specjalistę

13

Skaner kodu źroacutedłowego -

- Studium przypadku

15 mln linii kodu

Skaner uruchomiony metodą bdquofire and forgetrdquo

100+ podatności o znaczeniu critical high

Weryfikacja false positives

kilka podatności

o znaczeniu bdquomediumrdquo

Koszt weryfikacji 20 man-days

14

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

9

Właściwy zakres testoacutew

Zagrożenia Skutki Scenariusze

ataku

10

Przygotowanie testu

Blackbox

Whitebox

Dokumentacja

Scenariusze testoacutew funkcjonalnych

Możliwość konsultacji

Wgląd do kodu

hellip

Wykonanie testu

12

Skanery automatyczne ndash

istnieją alehellip

False negatives

Wykrywają tylko bdquoczubek goacutery

lodowejrdquo

False positives

Wynik musi być zinterpretowany

przez specjalistę

13

Skaner kodu źroacutedłowego -

- Studium przypadku

15 mln linii kodu

Skaner uruchomiony metodą bdquofire and forgetrdquo

100+ podatności o znaczeniu critical high

Weryfikacja false positives

kilka podatności

o znaczeniu bdquomediumrdquo

Koszt weryfikacji 20 man-days

14

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

10

Przygotowanie testu

Blackbox

Whitebox

Dokumentacja

Scenariusze testoacutew funkcjonalnych

Możliwość konsultacji

Wgląd do kodu

hellip

Wykonanie testu

12

Skanery automatyczne ndash

istnieją alehellip

False negatives

Wykrywają tylko bdquoczubek goacutery

lodowejrdquo

False positives

Wynik musi być zinterpretowany

przez specjalistę

13

Skaner kodu źroacutedłowego -

- Studium przypadku

15 mln linii kodu

Skaner uruchomiony metodą bdquofire and forgetrdquo

100+ podatności o znaczeniu critical high

Weryfikacja false positives

kilka podatności

o znaczeniu bdquomediumrdquo

Koszt weryfikacji 20 man-days

14

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

Wykonanie testu

12

Skanery automatyczne ndash

istnieją alehellip

False negatives

Wykrywają tylko bdquoczubek goacutery

lodowejrdquo

False positives

Wynik musi być zinterpretowany

przez specjalistę

13

Skaner kodu źroacutedłowego -

- Studium przypadku

15 mln linii kodu

Skaner uruchomiony metodą bdquofire and forgetrdquo

100+ podatności o znaczeniu critical high

Weryfikacja false positives

kilka podatności

o znaczeniu bdquomediumrdquo

Koszt weryfikacji 20 man-days

14

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

12

Skanery automatyczne ndash

istnieją alehellip

False negatives

Wykrywają tylko bdquoczubek goacutery

lodowejrdquo

False positives

Wynik musi być zinterpretowany

przez specjalistę

13

Skaner kodu źroacutedłowego -

- Studium przypadku

15 mln linii kodu

Skaner uruchomiony metodą bdquofire and forgetrdquo

100+ podatności o znaczeniu critical high

Weryfikacja false positives

kilka podatności

o znaczeniu bdquomediumrdquo

Koszt weryfikacji 20 man-days

14

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

13

Skaner kodu źroacutedłowego -

- Studium przypadku

15 mln linii kodu

Skaner uruchomiony metodą bdquofire and forgetrdquo

100+ podatności o znaczeniu critical high

Weryfikacja false positives

kilka podatności

o znaczeniu bdquomediumrdquo

Koszt weryfikacji 20 man-days

14

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

14

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

15

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

16

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

Raportowanie

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

18

Po co wykonujemy testy

Testowany system Raport

Testy bezpieczeń

stwa

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

19

Raport

KOMPATYBILNOŚĆ

Właściwa forma

Wspoacutelny język

Dobre zrozumienie kontekstu

biznesowego

Właściwe szacowanie

podatności

Realne zalecenia

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

20

hellip ale hellip czy możemy mieć do nich zaufanie

hellip i czy da się z nimi dogadać

ph

oto

cre

dit m

afa

te6

9 v

ia p

ho

top

in c

c

21

Doświadczenie

Technika Kompaty-bilność

Komunikacja

Raport

Kontekst

Analiza

HTML5

JSON

jQuery

Mobile

22

Podsumowanie

Optymalizacja testu bezpieczeństwa

1Whitebox

2 Identyfikacja zagrożeń i celoacutew

Scenariusze testowe

3Właściwa ocena wpływu na ryzyko i

realne zalecenia

23

Dziękuję za uwagę

httpwwwsecuringpl

e-mail infosecuringpl

Jontkowa Goacuterka 14a

30-224 Krakoacutew

tel (12) 4252575

fax (12) 4252593

Wojciech Dworakowski

wojciechdworakowskisecuringpl

tel 506 184 550

22

Podsumowanie

Optymalizacja testu bezpieczeństwa

1Whitebox

2 Identyfikacja zagrożeń i celoacutew

Scenariusze testowe

3Właściwa ocena wpływu na ryzyko i

realne zalecenia

23

Dziękuję za uwagę

httpwwwsecuringpl

e-mail infosecuringpl

Jontkowa Goacuterka 14a

30-224 Krakoacutew

tel (12) 4252575

fax (12) 4252593

Wojciech Dworakowski

wojciechdworakowskisecuringpl

tel 506 184 550

23

Dziękuję za uwagę

httpwwwsecuringpl

e-mail infosecuringpl

Jontkowa Goacuterka 14a

30-224 Krakoacutew

tel (12) 4252575

fax (12) 4252593

Wojciech Dworakowski

wojciechdworakowskisecuringpl

tel 506 184 550