<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>For those who are wondering where this comes from, this was part of the press coverage we're drumming up for AppSec Europe. I'd wish that the conference was mentioned more prominently, but I guess we'll settle for it being in there at all :)</div>
<div><br></div><div>J<br><br><span class="Apple-style-span" style><div><span class="Apple-style-span" style><br></span></div>Sent from a mobile device</span></div><div><br>On 13 Jun 2014, at 18:43, Michael Coates <<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>> wrote:<br>
<br></div><blockquote type="cite"><div><div dir="ltr">Great article about OWASP interviewing Justin Clarke (OWASP London Chapter Lead)<br><br>Nice job!<br><div><div><div dir="ltr"><br><a href="http://www.computerweekly.com/news/2240222525/Boards-need-to-get-behind-application-security-says-Owasp">http://www.computerweekly.com/news/2240222525/Boards-need-to-get-behind-application-security-says-Owasp</a><br>

<br><br><div id="headline">
<h1>Boards need to get behind application security, says Owasp</h1>
</div>





<p>Chief information security officers (CISOs) are more concerned about web application security
than in the past, but this area of security is still immature, says the <a href="https://www.owasp.org/index.php/Main_Page">Open Web Application Security Project</a>
(Owasp).</p>

<p>“Application security as a concept has been around for little over 10 years and still has a long
way to go,” said Justin Clarke, Owasp London Chapter leader and director at Gotham Digital
Science.</p>

<div class=""></div><p>“CISOs are becoming more aware, and Owasp is focusing on providing guidance for them, but
application security still needs to be understood and tackled at the board level,” he told Computer
Weekly.</p>

<p>While network security is well-understood and well-funded, information security professionals
struggle to make a business case for web application security because it is difficult to quantify
the risk.</p>

<p>However, Owasp and a growing number of security industry specialists recognise that web
application exploits are relatively easy with readily available tools, making them a popular entry
point for attackers.</p>

<blockquote class="">
<div>
<div>
<div><span class="">Information security professionals struggle to make a business
case for web application security because it is difficult to quantify the risk</span></div>
</div>
</div>
</blockquote>

<p>Owasp is a non-profit, volunteer organisation that was set up in 2001 to help make web
applications secure by educating users, developers, governments and business leaders.</p>

<p>“Our mission is to make as many people as possible aware that there are tools and techniques
businesses can use to ensure they avoid common security pitfalls in web applications,” said
Clarke.</p>

<h3>Security must race to keep up with technology advances</h3>

<p>However, despite Owasp’s efforts, web application security remains a challenge in many
organisations for several reasons.</p>

<p>“The main problem is the fact that technology is moving so fast that most developers and
organisations struggle to keep up,” said Clarke.</p>

<p>“Since 2001, the web application market has grown exponentially and the security challenges have
been further increased with the move to mobile platforms and the advent of the cloud,” he said.</p>

<p>Clarke said an increasing number of web applications need to be able to accept HTML5 or rich
content, and to do that securely is “really difficult” which is why even large organisations
struggle to get it right.</p>

<p>Added to that is the constant commercial pressure to be first to market with new types of
web-based products and services.</p>

<p>Consequently, key performance indicators tend to be based on speed of innovation, with little or
no incentives linked to data security.</p>

<p>“Most organisations have also abandoned traditional waterfall models of software development for
agile approaches, but this makes involving security teams much more difficult,” said Clarke.</p>

<div class="">
<h4>More about web application security</h4>

<ul><li><a href="http://searchsecurity.techtarget.com/news/2240208775/Web-application-firewalls-may-not-fix-Web-application-security-issues">Web
application firewalls may not fix Web application security issues</a></li><li><a href="http://searchsecurity.techtarget.com/news/2240219379/Verizon-data-breach-report-Web-application-attacks-a-growing-concern">Verizon
data breach report: Web application attacks a growing concern</a></li><li><a href="http://searchsecurity.techtarget.com/feature/Tackling-Web-application-security-through-secure-software-development">Tackling
Web application security through secure software development</a></li><li><a href="http://searchcloudsecurity.techtarget.com/tip/Cloud-based-application-security-Preventing-security-breaches">Cloud-based
application security: Preventing security breaches</a></li></ul>
</div>

<p>While the largest of organisations typically have enough security experts to draw upon, smaller
organisations struggle to get the required expertise within their agile development teams.</p>

<p>“If bridges were built the way a lot of software is built, an awful lot of them would fall
down,” said Clarke.</p>

<p>“This is often because IT systems evolve over time and end up being made up of half a dozen
things cobbled together as requirements change and functionality is added,” he said.</p>

<p>Although Owasp is aimed at educating developers on web application security, Clarke believes one
way forward is application development frameworks that prevent developers from creating insecure
code.</p>

<p>Ideally, he said, frameworks should take care of the difficult things so that developers are not
tempted to take the easier, faster route to get things done, which is also often the riskier way of
doing things.</p>

<p>“Already, there are a few islands of progress where organisations or communities have
standardised on custom-built or open source platforms like Microsoft’s <a href="http://en.wikipedia.org/wiki/LINQ_to_SQL#LINQ_to_SQL_.28formerly_called_DLINQ.29">LINQ to
SQL</a> and <a href="http://en.wikipedia.org/wiki/Hibernate_%28Java%29">Hibernate</a>,” said
Clarke.</p>

<p>Such platforms make it difficult to write code that is vulnerable to things like SQL injection
or cross-site scripting (XSS) attacks, which feature in <a href="https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project">Owasp’s top 10 most critical
web application security risks</a>.</p>

<p>“The problem is that use of such frameworks is in isolated pockets and there is no central way
of pushing them out or driving adoption,” said Clarke.</p>

<h3>Share information across teams</h3>

<p>Owasp believes another way of tackling the problem is to ensure that the security practitioners
and developers learn to communicate with each other more regularly.</p>

<p>“Owasp’s AppSec conferences are the only ones that engage both security professionals and those
who build software, and is aimed at getting together those who should be talking to each other,”
said Clarke.</p>

<p>In 2014, <a href="https://2014.appsec.eu/appsec-europe/">AppSec Europe</a> is to be held in the
UK for the first time in seven years and is scheduled to take place at Anglia Ruskin University,
Cambridge, from 23-26 June.</p>

<p>Speakers include Steven Murdoch of the University of Cambridge Computer Laboratory, Wendy
Seltzer of the World Wide Web Consortium and Lorenzo Cavallaro of Royal Holloway, University of
London.</p>

<p>“The AppSec conferences have become the focus for the industry to hear from the world’s leading
experts, harness expert knowledge and stay abreast of the latest technology developments,” said
Clarke.</p>

<p>Some of the presentations will discuss the vulnerabilities highlighted in Owasp's recently
compiled list of the <a href="https://www.owasp.org/index.php/Top_10_2013-Top_10">top 10
methods</a> of breaking into web applications.</p>

<p>These include SQL injection, used by hackers to target Vodafone Iceland; cross-site scripting
(XSS), which left Microsoft Office 365 open to attack; open redirects, which presents issues for
Facebook; and insecure direct object references, which saw Yahoo's servers open to root access.</p>

<p>“Like the government’s recently launched <a href="http://www.computerweekly.com/news/2240221975/UK-government-launches-cyber-security-support-scheme">Cyber
Essentials Scheme</a>, the Owasp Top 10 document is aimed at encouraging organisations to take the
first step,” said Clarke.</p>

<p>“Those organisations that are getting their arms around this issue are managing and reducing the
risk, but my main concern is about those who have yet to take the first step,” he said.</p><br><br>--<br>Michael Coates<br>@_mwc<br><br></div></div>
</div></div>
</div></blockquote></body></html>