Tässä videosarjassa asiantuntijat Suomen Ericssonilta kertovat ohjelmakehityksen tietoturvasta.

In this video series experts from Ericsson Finland talk about security aspects in software development.

Time to innovate, Ericsson.

Mitä on tietoturva kun #MimmitKoodaa?

 

Tässä sarjan ensimmäisessä osassa Salla Rantamäki ja Jussi Auvinen kertovat yleisellä tasolla, miten tietoturva liittyy ohjelmistokehitykseen softatuotteen elinkaaren aikana.

Esityksen sisältö:
– Koulutus
– Vaatimustenhallinta ja uhkamallinnus
– Suunnittelu
– Turvallinen ohjelmointi
– Testaus ja todentaminen
– Käyttöönotto ja ylläpito

Secure Coding

 

Jussi Auvinen talks about secure coding; how to avoid security pitfalls when coding. He talks also about best practices, programming standards and different tools. In the end of the presentation Jussi gives a demo!

Jussi Auvinen kertoo tietoturvallisesta ohjelmoinnista, eli miten koodista saadaan turvallista. Eri ohjelmointikielissä on erilaisia sudenkuoppia ja Jussi kertoo, miten välttää niitä parhaiden käytäntöjen, ohjelmointistandardien ja työkalujen avulla. Mukana myös demo!

Incident Response

 

Umair Bukhari talks about managing security incidents. Security incidents are happening all the time, and companies and software developers must constantly be prepared to respond to them to protect their own and their customers’ information from misuse. There must be a process and designated people in charge for managing security incidents for having prompt and planned operations in place.

Umair Bukhari kertoo tietoturvapoikkeamien hallinnasta. Tietoturvapoikkeamia eli insidenttejä tapahtuu jatkuvasti, ja yritysten ja ohjelmistokehittäjien täytyy olla jatkuvasti valmiina reagoimaan niihin suojatakseen omia sekä asiakkaidensa tietoja väärinkäytöltä. Jotta toiminta voi olla ripeää ja suunniteltua täytyy tätä varten olla olemassa prosessi ja nimetyt vastuuhenkilöt.

Vulnerability Management

 

Related to incident response, vulnerability management is discussed by Raquel Aguiar Santos and Sonny van Lingen. Today, most software consists of numerous open source and other third-party components. There may be vulnerabilities in all these components and, of course, in your own code. To keep your own software product secure, you need to keep track of vulnerabilities, make fixes, and publish updates on an ongoing basis.

Tietoturvapoikkeamien hallintaan liittyy haavoittuvuuksien hallinta, josta puhuvat Raquel Aguiar Santos ja Sonny van Lingen. Nykyään useimmat ohjelmistot koostuvat lukuisista avoimen lähdekoodin ja muiden kolmansien osapuolien komponenteista. Kaikissa näissä ja tietysti myös omassa koodissa voi olla haavoittuvuuksia. Jotta oma ohjelmistotuote pysyy turvallisena, täytyy haavoittuvuuksia pitää silmällä, tehdä korjauksia ja julkaista ohjelmistopäivityksiä jatkuvasti.

Security Architecture

 

Patrik Teppo talks about security architecture principles. ICT systems, as well asbuildings, cannot be built for long without proper design and architecture. In terms of security, there are a number of principles that are covered in this presentation, such as perimeter security model, defense in depth and zero trust architecture.

Patrik Teppo kertoo tietoturvallisesta arkkitehtuurista ja sen periaatteista. Ohjelmistoja kuten ei rakennuksiakaan voi tehdä pitemmän päälle ilman kunnollista suunnittelua ja arkkitehtuuria. Tietoturvan osalta tähän kuuluu joukko mallinnuksia, kuten kuorisuojaus, monikerroksinen suojaus ja Zero trust (”luottamattomuuden periaate”) toimintamalli, joita käydään läpi tässä esityksessä.

Threat Modeling

 

Heikki Mäki talks about threat modeling; how to recognize the security flaws. He explains what threat modeling is, why you should do it, and how to do it. Maybe you didn’t know, but most of us are already doing threat modeling in our daily lives!

Heikki Mäki puhuu uhkamallinnuksesta eli miten tunnistaa tietoturvapuutteita ennen kuin softa on edes valmis. Esityksessä Heikki kertoo uhkamallinnuksen perusteista ja esittelee muutamia menetelmiä. Et ehkä tiennyt, mutta sinäkin osaat jo tehdä uhkamallinnusta!

Vulnerability Assessment

 

Antti Kiuru talks about vulnerability assessments, in other words how to discover weaknesses in information systems. He goes through different methods and tools, such as web application scanners and network scanners, fuzz testing and how to automate testing.

Antti Kiuru kertoo haavoituvuuksien arviointimenetelmistä eli kuinka löytää ohjelmistosta haavoittuvuuksia. Esityksessä käydään läpi eri menetelmiä sekä työkaluja, kuten haavoittuvuusskanneraita ja fuzz-testausta sekä näiden automatisointia.

Penetration Testing

 

Antti Kiuru talks about penetration testing, also known as a pen test. Penetration test is a simulated cyber attack against your ICT systems to check for exploitable vulnerabilities. He talks also about pen test tools, white box and black box testing, red teams, and the ethical code. Finally, Antti gives a few tips how to become a pen tester.

Antti Kiuru kertoo penetraatiotestauksesta eli tunkeutumistestauksesta, joka on haavoittuvuuksien etsinnän erikoistoimintaa. Esityksessä puhutaan myös työkaluista, hyökkäysrajapinnasta, Red team-toiminnasta sekä testauksen etiikasta.

Ericsson Finland

 

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.