<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div></div><div>Andrew, so much this. </div><div><br></div><div>The majority of my time consulting (or pen testing) is actually spent helping companies build out their AppSec program and the SDLC takes a huge portion of that. No point in testing builds if you can't even get repeatable builds. </div><div><br>On May 25, 2016, at 10:00 AM, Andrew van der Stock <<a href="mailto:vanderaj@owasp.org">vanderaj@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">If there is no or inadequate funding, the first order of business is to build a business aligned strategy for the next 1-5 years and associated business case for adequate funding and resourcing that is both achievable and measurable. If you can't get a decent business case across the line, the enterprise's management or Board is IMHO negligent, and you should strongly invest significant time in brushing up your resume and looking for your next gig, because they will be pwned sooner or later through that negligence. <div><br></div><div>In the meantime, whilst you are working on a decent strategy and business case, for the corporate network, I would suggest adopting tactical controls, such as addressing the ASD Top 4 out of the Top 35 controls. This will keep you very busy for a while, but will make huge inroads into the risk posed by the average enterprise / corporate network. If you can, try to address the Top 11, as these are the best bang for buck, usually extremely cheap (either process driven, or using tech you already have in place), and are extremely effective. </div><div><br></div><div><a href="http://www.asd.gov.au/infosec/mitigationstrategies.htm">http://www.asd.gov.au/infosec/mitigationstrategies.htm</a></div><div><br></div><div>Result:</div><div><br></div><div><a href="http://www.theregister.co.uk/2015/06/02/patchcrazy_aust_govt_fought_off_every_hacker_since_2013/">http://www.theregister.co.uk/2015/06/02/patchcrazy_aust_govt_fought_off_every_hacker_since_2013/</a></div><div><br></div><div>Also consider re-architecture, such as Google's excellent BeyondCorp architectural model and associated papers.</div><div><br></div><div><a href="http://research.google.com/pubs/pub43231.html">http://research.google.com/pubs/pub43231.html</a></div><div><a href="https://www.usenix.org/system/files/login/articles/login_dec14_02_ward.pdf">https://www.usenix.org/system/files/login/articles/login_dec14_02_ward.pdf</a></div><div><br></div><div>This enables your network for BYOD, mobile, convergence, and future state, whilst coping with "assume breach" and basically the end point apocalypse that's already well underway. Consider the prime axes of identity and trust, data protection, data access monitoring, and incident response. These will stand you in excellent stead. Security controls for the 1990's network are useless. Don't do that. <br><br></div><div>In terms of an appsec program, the best investment when you're completely underfunded is to invest in securing the SDLC, so you produce secure apps until such time as you can prove that you're doing so. You could spend a heap on pen testing or code review, but say you invested $100k in pen testing, you might get 10 cheap reviews, but that same investment could set you up to produce every app in a more secure way. There were heaps of excellent SDLC talks at OWASP AppSec USA 2015, which you can watch here:</div><div><br></div><div><a href="https://www.youtube.com/watch?v=35lY2CjjO1c&index=5&list=PLpr-xdpM8wG93dG_L9QKs0W1cD-esQEzU">https://www.youtube.com/watch?v=35lY2CjjO1c&index=5&list=PLpr-xdpM8wG93dG_L9QKs0W1cD-esQEzU</a><br></div><div><br></div><div>Focus on training developers, checklists (ASVS, cheat sheets), and ensuring a basic pipeline (e.g. OWASP Pipeline, Zap, your favorite static code analysis tool), is built that tests for the low hanging fruit. Investing hundreds of thousands in EDR and monitoring and response only works once you have identified all your assets and classified them. </div><div><br></div><div>thanks,</div><div>Andrew</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 25, 2016 at 8:20 PM, Ahmed Neil <span dir="ltr"><<a href="mailto:ahmed.neil@owasp.org" target="_blank">ahmed.neil@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Leaders,<br><br><br></div><div>A question has been asked <b>:<br>How to make the balance between deploying the best cyber security practice inside the enterprise when the funding is not adequate, or lets say resources are so limited? <br><br>How to work with the business to find the defense that are not only successful, but are wholly effective in the eyes of the businesses?<br><br></b></div><div><b><br></b></div><div>Your answers will be highly appreciated :)<span class="HOEnZb"><font color="#888888"><b><br></b></font></span></div><span class="HOEnZb"><font color="#888888"><div>-- <br><div><div dir="ltr"><div><div><div>Kind Regards,<br></div><a href="https://www.owasp.org/index.php/User:Ahmed_M_Neil" target="_blank">Ahmed M. Neil</a>, MSc.<br></div>You can Call me at (+2010)002.423.44<br></div>Setup a meeting <a href="https://www.google.com/calendar/embed?src=ahmed.neil%40owasp.org&ctz=Africa/Cairo" target="_blank">here</a>.<br><br></div></div>
</div></font></span></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></body></html>