Kontra SecuritySikker utvikling & Kontra Security
Sikker utvikling
Informasjonssikkerhet og det å utvikle sikre systemer er av mange sett på som noe skummelt og vanskelig. Mange bedrifter omtaler sikkerhet og sikkerhetstesting separat fra systemutvikling. Ofte håndteres sikkerhet av eksperter og gjerne etter at systemet er “ferdig” - dette leder til konflikter og usikkerhet, samtidig som sikkerhet gjerne kommer i form av en rapport.
There is no such thing as a secure system, at least not in absolute terms. All security is relative to a perceived threat model. The goal of this book, and the reason its content has never been more urgent or relevant, is to demonstrate that security is first and foremost a design consideration.
- Daniel Terhorst-North, Forord Secure By Design
Hvordan man skriver koden og hvordan den samsvarer med businessens strategi og mål er et sikkerhetshensyn. Design av klasser og typer som flyter gjennom en applikasjon er en essensiell del av et sikkert system. På samme måte som sterk lås er ubrukelig om hengslene kan skrus av, blir brannmurer og kryptering redundant om man kan sende inn en vilkårlig verdi til web-tjenesten.
Sikkerhetstesting og brannmurer kan ikke erstatte sikkerhet i form av design og implementasjon, i hvert fall ikke om poenget er å faktisk unngå sikkerhetshendelser. Hvilke typer en applikasjon aksepterer, hvordan feil håndteres og hvordan data omtales er essensielt for at et system skal kunne være sikkert.
Kontra Security
ITverket skal bygge systemer våre kunder kan stole på, uten å måtte verifisere hver endring med andre. ITverkets konsulenter skal kjenne til de mest kjente sikkerhetsfeilene som gjøres og hvordan de utnyttes. Dette kommer i tillegg til alt annet en moderne konsulent må holde seg oppdatert på, vi har derfor tatt i bruk læringsplattformen Kontra Security.
Kontra Security er en interaktiv læringsplattform med oppgaver som demonstrerer kjente sårbarheter. Oppgavene er relatert til ulike rammeverk og teknologier slik at de kan relateres direkte til koden man jobber med til daglig.
Man blir guidet gjennom et system med en sårbarhet og hvordan den kan utnyttes. Deretter går man gjennom hvordan feilen oppstår og hvordan den kan fikses. Oppgavene er enkle å forstå og krever ikke mye tid. Poenget er at man skal kunne kjenne igjen mønsteret som leder til feilen, uten at man nødvendigvis er noen ekspert.
Vi oppfordrer alle våre ansatte til å bruke litt tid hver uke på Kontra - dette er en lite tidkrevende og forstyrrende måte å sørge for at alle har fokus på sikkerhet relatert til utvikling.