Upload
omegapoint-academy
View
188
Download
2
Embed Size (px)
Citation preview
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
Vulnerability in HTTP.sys Could Allow Remote Code Execution
(MS15-034)
A remote code execution vulnerability in the HTTP protocol stack (HTTP.sys) that is caused when HTTP.sys improperly
parses specially crafted HTTP requests.
An attacker who successfully exploited this vulnerability could execute arbitrary code in the context of the System
account.
Ex DOS-attack
”Blue screen of death”
risk
en sannolikhet för skada, ansvar, förlust eller annan negativ händelse
orsakad av
externa eller interna sårbarheter
och som kan
undvikas genom förebyggande åtgärder
risk
en sannolikhet för skada, ansvar, förlust eller annan negativ händelse
orsakad av
externa eller interna sårbarheter
och som kan
undvikas genom förebyggande åtgärder
vem äger en risk?
ägaren till den tillgång som hotas
ägaren tar beslut om vilka förebyggande åtgärder som ska göras
semi-kvantitativ
grova mått på sannolikhet och konsekvens
tex 1-5 eller exponentiell
ger mått på risker som bara funkar inom modellen
kvantitativ
”riktiga” värden
ofta statistik som underlag
ofta svårt att vara exakt
vanligt i tex processindustri
kostnader då?
kostnadsuppskatta konsekvenserna
x sannolikhet riskkostnader
väldigt lämpligt att ha med sig till
riskåtgärderna
riskåtgärder
förebygger framtida skada
åtgärda risker med högst riskvärde
förutsatt att
riskåtgärden inte kostar mer än
beräknad riskkostnad
jmfr med försäkring
exempel #1
vanligt scenario:
”affären” vill ha ny lösning för ny affär
asap!
(affärsrisker)
projektrisker
processrisker
teknikrisker
säkerhetsrisker
kompetensrisker
m.fl.
exempel #2
ny exploit blir känd(CVE-2015-1635)
patch finns
normalt patchfönster inom en månad
vilka risker har vi om vi väntar till dess?
Vulnerability in HTTP.sys Could Allow Remote Code Execution
(MS15-034)
A remote code execution vulnerability in the HTTP protocol stack (HTTP.sys) that is caused when HTTP.sys improperly
parses specially crafted HTTP requests.
An attacker who successfully exploited this vulnerability could execute arbitrary code in the context of the System
account.
Ex DOS-attack
”Blue screen of death”
exempel 3
webbapplikation ska hantera persondata
publikt åtkomlig
inloggning och sökning
hur säkerställer vi att resultatet uppfyller kraven?
riskanalys!
jag förväntas bygga det här
vilka hot finns det?
hur sannolikt är det?
vad händer om det händer?
vad kostar det att förebygga?
svårt?
ja om blankt papper,
men det går att minska dina möjliga hot med
bra metodik,
kravhantering,
tester,
kompetenta utvecklare m.m.