Viele Kanäle melden viel

Security auf Zuruf

Excel-Tabellen

Feature 903

Emails

SecRadar Erfassung

100%

 

SecRadar Verarbeitung

100%

 

SecRadar Ausgabe

100%

(von 95%)

SecRadar Solving

100%

(von 40%)


Workshops
mit den
Teams

 

Workshops
mit den
Teams

Use Case 3:

  • DefectDojo als Tracker-Referenz
    CTR linked to DD

 

Use Case 1:

  • DefectDojo als Proxy für Scan-Results
    DD -> CTR

 

Use Case 2:

  • SecRadar aka CTR zur Anreicherung (Confidence, Team, BK, KID, ...)
    CTR -> DD

 

Use Case 3:

  • DefectDojo als Tracker-Referenz
    CTR linked to DD

 

Use Case 1:

  • DefectDojo als Proxy für Scan-Results
    DD -> CTR

     
  • Vorteile:
    • ART-Übergrefeindes Datenquellen-Management
    • Scannerübergreifend einheitliche Strukturen (tbp)
    • Synergien beim Parser bauen
    • ART-Übergreifende KID wird gefördert
       
  • Nachteile:
    • SAFe Konfigurationsstrukturen müssen implementiert werden
    • für NeXt: Mapping muss neu gemacht werden​​​​​​​

 

Use Case 2:

  • SecRadar aka CTR zur Anreicherung (Confidence, Team, BK, KID, ...)
    CTR -> DD

 

Use Case 3:

  • DefectDojo als Tracker-Referenz
    CTR linked to DD

 

Use Case 1:

  • DefectDojo als Proxy für Scan-Results
    DD -> CTR

 

Use Case 2:

  • SecRadar aka CTR zur Anreicherung (Confidence, Team, BK, KID, ...)
    CTR -> DD

 

Use Case 3:

  • DefectDojo als Tracker-Referenz
    CTR linked to DD

 

Use Case 1:

  • DefectDojo als Proxy für Scan-Results
    DD -> CTR

 

Use Case 2:

  • SecRadar aka CTR zur Anreicherung (Confidence, Team, BK, KID, ...)
    CTR -> DD

     
  • Vorteile:
    • Wertschöpfung der CTR Klassifizierungsmatrix
    • Projektspezische KM Know-How fließt in Bewertung mit ein
    • Schnellere Fokusierung auf die wirklich wichtigen Issues
       
  • Nachteile:
    • Metadaten (Key-Value) gibts nicht in GUI nur via API
    • Tags nur ein Value, keine Sortierung, Filterung schwierig
    • Description oder Notes ähnliches Problem wie Tag

 

Use Case 3:

  • DefectDojo als Tracker-Referenz
    CTR linked to DD

 

Use Case 1:

  • DefectDojo als Proxy für Scan-Results
    DD -> CTR

 

Use Case 2:

  • SecRadar aka CTR zur Anreicherung (Confidence, Team, BK, KID, ...)
    CTR -> DD

 

Use Case 3:

  • DefectDojo als Tracker-Referenz
    CTR linked to DD
  • Done!

 

Use Case 1:

  • DefectDojo als Proxy für Scan-Results
    DD -> CTR

 

Use Case 2:

  • SecRadar aka CTR zur Anreicherung (Confidence, Team, BK, KID, ...)
    CTR -> DD

 

PoC / MvP:

  • Tracker-Link eingebaut
  • CTR -> DD per CURL durchgeführt
  • DD -> CTR Mapping vorbereitet

 

Links:

 

Kosteneinsparung durch Automatisierung:
 

  • Autom. Erstanalyse Issues
  • Autom. Erstanalyse Findings
  • Autom. ETL-Prozesse
  • Autom. Drainings (4 Wochen Kaskade)
  • Zusammenfassung von Teams & Scanner

 

A B
C D

CVE-Issues (NVD) insgesamt:

18.4.2023: 199.196

Findings.Critical:

11.4.2023: 2108

CVE-Issues (neXt):

11.4.2023: 286 Criticals

1371 High, 1420 Medium, 412 Low & Rest

 

Solvings:

11.4.23:
1073

Solving, Class  A:

17.4.2023: 118

Basis Kritikalität

KID's

Anhand von einzelnen Vektoren,

  • BkProc
  • BkSchutz
  • BkChange
  • BkProd
  • BkFanMedian

einem NFA-Dialog insgesamt über 70 neXt Assets mit KID zwischen 1 und 5 eingestuft.

Anhand von Security-Channel Characteristic und Location-Indicators bestimmen zu welchem Scope ein Finding gehört:

 

(1) Managed Service

(2) Host

(3) Docker

(4) OS-Libraries

(5) Language Libraries

(6) CustomCode

Anhand von derzeit 5 Vektoren eine Einschätzung ermitteln, wie sicher wir bei einem Issues bzw. Finding sein können.

Klassifizierungsmatrix

CRITICAL

HIGH

MEDIUM

LOW

Issue Kritikalität

CVSS

Sure? Or Not?

Confidence

Scope

Location

-3

+3

-2

-1

+2

+1

Klassifizierungsmatrix

Sure? Or Not?

Confidence

Confusion Matrix

Basis Kritikalität

KID's

Klassifizierungsmatrix

Basis Kritikalität

KID's

Issue Kritikalität

CVSS

Sure? Or Not?

Confidence

Scope

Location

1

2

3

4

Klassifizierungsmatrix

A-B-C-D Ranking:

plus

CWE-Ranking

gilt für alle vier Klassen

Four Last Things ...

Zutaten Technik

Fachliche BI Zutaten

Referenzen ...

Aufräumen & so

Four Last Things ...

Zutaten Technik

Fachliche BI Zutaten

Referenzen ...

Aufräumen & so

Zutaten Technik:

 

  • Python in Docker
  • AWS Lambda
  • AWS DynamoDB (NoSQL)
  • Groovy
    • Jenkins Pipelines für CI/CD
    • Weekly Retension / Scans
      > Besser in Camunda
  • Web
    • Plain Vanilla HTML
    • TabulatorJS
    • VueJS (Details & SolvingUX)
  • Timeseries in Elastic- / Opensearch

 

Four Last Things ...

Zutaten Technik

Fachliche BI Zutaten

Referenzen ...

Aufräumen & so

plus:
Tenant

Four Last Things ...

Zutaten Technik

Fachliche BI Zutaten

Referenzen ...

Aufräumen & so

Four Last Things ...

Zutaten Technik

Fachliche BI Zutaten

Referenzen ...

Aufräumen & so

Fachliche BI Zutaten:
 

Asset-Katalog minimal Attribut-Set

  • ID (max 9 Zeichen)
  • Titel, Beschreibung, Zweck
  • Basis-Krit
  • ECR-Pfad / Gitlab-Pfad
  • Team

 

Security-Channels:

  • Welche sollen wie verwendet werden?
  • Welche werden bereits verwendet?

 

Four Last Things ...

Zutaten Technik

Fachliche BI Zutaten

Referenzen ...

Aufräumen & so

Four Last Things ...

Zutaten Technik

Fachliche BI Zutaten

Referenzen ...

Aufräumen & so

Ein paar Dinge noch vorab:
 

  • Mandantenfähigkeit
    • Entität Tenant
    • einzelne Refactorings
    • vTenant als "Vertical"
  • Feature-Toggle Matrix
  • neXt-Lab Abhängigkeiten  ausbauen
    • ​​​​​​​EFS-Browser Proxy
    • Eigenständige URL
    • ​​​​​​​Eigene AD-Gruppen
  • Some Dashboards
  • NVD Api 2.0

 

Four Last Things ...

Zutaten Technik

Fachliche BI Zutaten

Referenzen ...

Aufräumen & so

Four Last Things ...

Zutaten Technik

Fachliche BI Zutaten

Referenzen ...

Aufräumen & so

Wiki-Home SysTeam/KM/Tools:
arija-confluence.jaas.service.deutschebahn.com/
display/neXtlab/neXt+Security+Radar

SecRadar URL (VPN & AD):
ctr.konbel.comp.db.de

Gitlab Repository:

git.tech.rz.db.de/next-all/System/tools/bots/secradar

Dank (nicht nur) an:

Kamel, Lars, Lars, Guido, Tyler, Andreas, Gabriel, Tobias, Dominik, Hendrik, Matthias & alle Workshop Teilnehmer im Art neXt

Four Last Things ...

Zutaten Technik

Fachliche BI Zutaten

Referenzen ...

Aufräumen & so

Made with Slides.com