Sesja modelowania zagrożeń — zespół przy ścianie z karteczkami (dithering C.1 Mono)
Case study · Bankowość

Modelowanie zagrożeń w banku

BNP Paribas Bank Polska — duży bank w międzynarodowej grupie. Setki zespołów wytwórczych w metodykach zwinnych, rozproszonych geograficznie. Branża: bankowość, regulacje KNF i wytyczne grupy.

Sektor: Bankowość · KNF Zakres: Projektowanie + pilotaż + seria szkoleń Temat: Modelowanie zagrożeń
01 — Punkt startowy

Bezpieczeństwo wchodziło po fakcie — a pentest przestał się skalować.

Bank miał dojrzałą funkcję bezpieczeństwa i rozbudowany pentesting wewnętrzny. Ale bezpieczeństwo wchodziło reaktywnie, po implementacji — brakowało procesu, który wyłapuje zagrożenia na etapie projektowania, zanim powstanie kod do poprawienia.

Przy ponad stu zespołach wytwórczych pentest jako jedyna kontrola jakości przestaje się skalować. Rozproszenie geograficzne wykluczało proces oparty o fizyczną tablicę — narzędzie domyślne w większości materiałów o threat modelingu.

Trigger złożył się z trzech rzeczy: wytycznych grupy wymuszających formalizację SDLC, świadomości zespołu, że „tylko pentest" nie nadąża za liczbą zespołów, oraz potrzeby procesu działającego w realiach pracy rozproszonej.

02 — Co zrobiliśmy

Zaprojektowaliśmy proces modelowania zagrożeń osadzony w SDLC — i przeprowadziliśmy jego pilotaż.

Nie pojedyncze sesje — zaprojektowaliśmy pełen proces (od reguł gry po priorytetyzację i mierzenie) i przeprowadziliśmy jego pilotaż. Równolegle przeszkoliliśmy 38 Security Championów w serii czterech szkoleń, tak by praktyka działała w realiach rozproszonych zespołów.

  • Dwa potoki modelowania — globalny i iteracyjny, z kryteriami wyzwalania re-użytymi z istniejącego procesu pentestowego.
  • Notacja czytelna dla wszystkich — dedykowany szablon DFD/PFD w Draw.io, po świadomym odrzuceniu drogiego narzędzia komercyjnego, które „nie robiło nic więcej niż pierwsze lepsze repozytorium na GitHubie".
  • Uznane biblioteki na właściwych poziomach — STRIDE do bezpieczeństwa i TRIM do prywatności, OWASP Top 10 i MITRE ATT&CK jako referencje; DREAD do priorytetyzacji, wybrany po porównaniu z macierzą ryzyka.
  • Mierzenie od pierwszego dnia — pokrycie i aktualność modeli globalnie, zagrożenia w backlogach iteracyjnie.
  • Najpierw kompetencje, potem narzędzia — świadoma rezygnacja z automatyzacji na starcie, żeby proces był zrozumiany, zanim zostanie zautomatyzowany.
03 — Co się zmieniło

Bezpieczeństwo przesunęło się z reakcji na projektowanie.

  • Modelowanie zagrożeń wbudowane w SDLC — istotne zmiany architektoniczne przechodzą przez TM, zanim trafią do kodu produkcyjnego.
  • Jeden język diagramów — programista, architekt i bezpiecznik czytają ten sam diagram bez tłumaczenia.
  • 38 Security Championów jako rozproszona sieć pierwszego kontaktu z bezpieczeństwem w zespołach wytwórczych.
  • Zespół bezpieczeństwa wspiera projektowanie zamiast gasić pożary po pentestach.
  • Rozwiązanie stało się wzorem rynkowym — inne firmy wskazały je jako inspirację dla własnych programów. Bank podzielił się doświadczeniem publicznie na CSO Council, a następnie na The Hack Summit 2024.
Słowami klienta

„Security Champion jest bardzo istotną rolą, wręcz pewnie dla niektórych procesów — tak jak dla nas — jest to must have, bo bez niego będzie bardzo ciężko ten proces kontrolować i będzie bardzo ciężko nim zarządzać..."

Filip Brandt
Architekt Bezpieczeństwa, BNP Paribas Bank Polska · The Hack Summit 2024

Twoja firma następna

Chcesz mieć modelowanie zagrożeń u siebie?

30 minut z ekspertem, nie z handlowcem. Przejdziemy przez to, gdzie taki proces miałby sens u Was. Bezpłatnie, bez NDA na wejściu.