OWASP Hungary AppSec piackutatás

Request edit access

JavaScript isn't enabled in your browser, so this file can't be opened. Enable and reload.

A kutatás célja felmérni a magyarországi alkalmazásbiztonsági piac jelenlegi helyzetét, megismerni a nagyvállalatok biztonsági szakembereinek ilyen jellegű kihívásait és felmérni, mennyire tudatosak az alkalmazásbiztonsági problémák jelentette kockázatok kapcsán. 1-24-ig a kérdések azonosak az OWASP Global AppSec kutatás kérdéseivel, a 26-27-es kérdéseket a Magyar tagozat tette hozzá.

1. A jelenlegi fenyegetettségi térképet és gazdasági helyzetet alapul véve észlelt-e változást a szervezetét érintő fenyegetések kapcsán? *

Növekedett

Ugyanaz maradt

Nem észleltem változást

Külső támadások vagy visszaélések (pl.: phishing, website támadások)

Belső támadások vagy visszaélések (pl.: jogosultságokkal való visszaélés, információ lopás)

Nem észleltem változást

2. Cél választás (Infrastruktúra vs. Alkalmazások): a jelenlegi fenyegetettségi környezetben melyek a legkockázatosabb területek a szervezetén belül? *

A 100%-ból hány %?

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Infrastruktúra

Alkalmazás

Más

3. Az egy évvel ezelőtti állapothoz viszonyítva lát változást ezen területeken? *

Válasszon!

Nőtt

Nem változott

Csökkent

Nem tudom

Infrastruktúra

Alkalmazás

Más

4. Az alábbi listából mi a TOP 5 forrása az alkalmazásbiztonsági kockázatnak a szervezetén belül? *

Kérjük, jelölje a legfőbb kockázati területet 1-el, aztán a másodikat 2-vel és így tovább.

Nem biztonságos forráskód fejlesztése

Az alkalmazásbiztonsággal kapcsolatos tudatosság hiánya a szervezeten belül

Nem megfelelő minőségű, helytelen teszt módszertan

Rossz minőségű változáskövető és ellenőrző mechanizmusok

Alkalmazásbiztonsággal kapcsolatos kezdeményezésekre fordítható büdzsé hiánya

Rossz minőségű telepítés és konfiguráció

Programok és projektek (büdzsé túlköltekezés, késések, rossz minőség)

Emberi erőforrás (pl.:. az alkalmazásbiztonsággal kapcsolatos tudás hiánya csapaton belül)

Alvállalkozók és kiszervezés (pl.:. a biztonság és biztosítékok hiánya)

Egyéb

Nem tudom

Nem biztonságos forráskód fejlesztése

Az alkalmazásbiztonsággal kapcsolatos tudatosság hiánya a szervezeten belül

Nem megfelelő minőségű, helytelen teszt módszertan

Rossz minőségű változáskövető és ellenőrző mechanizmusok

Alkalmazásbiztonsággal kapcsolatos kezdeményezésekre fordítható büdzsé hiánya

Rossz minőségű telepítés és konfiguráció

Programok és projektek (büdzsé túlköltekezés, késések, rossz minőség)

Emberi erőforrás (pl.:. az alkalmazásbiztonsággal kapcsolatos tudás hiánya csapaton belül)

Alvállalkozók és kiszervezés (pl.:. a biztonság és biztosítékok hiánya)

Egyéb

Nem tudom

5. A TOP 5 alkalmazásbiztonsági kockázatát illetően az alábbi állítások közül melyik áll a legközelebb ahhoz, hogy milyen befektetéseket fognak eszközölni adott területeken az elkövetkezendő egy évben? *

Nő

Csökken

Nagyjából ugynaz

A tervezett beruházás mérték

6. Az alábbi állítások közül melyik jellemzi a legjobban szervezete IT biztonsági beruházásait: “A teljes büdzsén belül...” *

Válasszon!

Csökken

Nagyjából konstans

Nő

Az alkalmazásbiztonság

Az infrastruktúra

A többi

7. Tapasztalta már, hogy a webes alkalmazások fenyegetettségei hatással voltak az Ön vállalatára? *

Válasszon! Ha egyik sem, írja be az "other" mezőbe válaszát.

Igen

Nem

Other:

8. Volt az elmúlt egy évben web alkalmazással kapcsolatos biztonsági incidens a vállalatánál?

Ha igen, kérjük írja be az "other" mezőbe mi volt az incidens gyökér oka, pl.: a sérülékenység típusa vagy ellenőrzés hiánya

Igen

Nem

Other:

Clear selection

9. A cége többet költene alkalmazásbiztonságra, egy webes alkalmazásokat érintő biztonsági incidens után?

Igen

Nem

Clear selection

10. Kérem, jelölje meg mi az alkalmazásbiztonsággal kapcsolatos TOP 5 prioritása az elkövetkezendő egy évben. *

Az 1-es a legnagyobb prioritás, a 2-es a második és így tovább...

N/A

Alkalmazás szintű sérülékenység menedzsment technológiák és eljárások

Kódelemzés (a forráskód statikus elemzése, célja biztonsági réseket találni)

A szabályozásoknak való megfelelés (PCI-DSS, FISMA, stb.)

Alkalmazásbiztonsági infrastruktúra alkalmazása (mint web alkalmazás firewall)

Gyakorlott alkalmazásbiztonsági szakember toborzása és megtartása

Biztonságos szoftverfejlesztési életciklus folyamatok (pl.: biztonságos kódolás, QA folyamatok)

A szervezet által vásárolt felhő alapú alkalmazások biztonsági minőségének értékelése (SaaS, IaaS, PaaS, …)

Biztonsági minőségbiztosítás a szervezet által vásárolt “dobozos” (COTS) termékekhez

Biztonsági minőségbiztosítás a külső cégek, alvállalkozók által fejlesztett (kiszervezett) fejlesztésekhez

Biztonság tudatosság oktatás

A biztonság mérése és jelentések

Alkalmazások biztonsági tesztelése (penetrációs tesztek)

Alkalmazások biztonsági tesztelése (dinamikus elemzés, megfigyelés futási környezetben)

Más

N/A

Alkalmazás szintű sérülékenység menedzsment technológiák és eljárások

Kódelemzés (a forráskód statikus elemzése, célja biztonsági réseket találni)

A szabályozásoknak való megfelelés (PCI-DSS, FISMA, stb.)

Alkalmazásbiztonsági infrastruktúra alkalmazása (mint web alkalmazás firewall)

Gyakorlott alkalmazásbiztonsági szakember toborzása és megtartása

Biztonságos szoftverfejlesztési életciklus folyamatok (pl.: biztonságos kódolás, QA folyamatok)

A szervezet által vásárolt felhő alapú alkalmazások biztonsági minőségének értékelése (SaaS, IaaS, PaaS, …)

Biztonsági minőségbiztosítás a szervezet által vásárolt “dobozos” (COTS) termékekhez

Biztonsági minőségbiztosítás a külső cégek, alvállalkozók által fejlesztett (kiszervezett) fejlesztésekhez

Biztonság tudatosság oktatás

A biztonság mérése és jelentések

Alkalmazások biztonsági tesztelése (penetrációs tesztek)

Alkalmazások biztonsági tesztelése (dinamikus elemzés, megfigyelés futási környezetben)

Más

11. Mekkora jelentősége van az OWASP anyagoknak (útmutatók, könyvek, módszertanok stb.) az Ön szervezetén belül? *

Nem jelentős

Van némi jelentősége

Jelentős

Nagyon jelentős

Biztonságtudatosság növelő anyagok (Pl.: Top-10)

Alkalmazásbiztonsági szabályzat

Forráskód fejlesztési irányelvek

Bevett gyakorlati módszerekre való hivatkozások

Tesztelési módszertanok

A munkatársak részvétele az OWASP Magyar tagozatának találkozóin, rendezvényein információgyűjtés végett

A munkatársak részvétele az OWASP Magyarország AppSec konferenciáján

Nem jelentős

Van némi jelentősége

Jelentős

Nagyon jelentős

Biztonságtudatosság növelő anyagok (Pl.: Top-10)

Alkalmazásbiztonsági szabályzat

Forráskód fejlesztési irányelvek

Bevett gyakorlati módszerekre való hivatkozások

Tesztelési módszertanok

A munkatársak részvétele az OWASP Magyar tagozatának találkozóin, rendezvényein információgyűjtés végett

A munkatársak részvétele az OWASP Magyarország AppSec konferenciáján

12. Az alábbi OWASP projektek közül melyiket tartotta hasznosnak a szervezete? *

Nagyon hasznos

Volt értelme

Számunkra nem volt hasznos

Nem tudom

AntiSamy

Alkalmazásbiztonsági FAQ

Alkalmazásbiztonsági ellenőrzési strandard - Application Security Verification Standard (ASVS)

AppSensor

Cheatsheets

CISO útmutató

Kódelemzés útmutató

Fejlesztési útmutató

ESAPI (Enterprise Security API)

Http Post Tool

JBroFuzz

Legal Project

LiveCD/WTE

Mod_Security Core Ruleset

OpenSAMM

OWASP Top-10

RFP Criteria

Ruby on Rails Biztonsági útmutató

Biztonságos kódolás gyakorlati hivatkozások - Secure Coding Practices Quick Reference

Software Assurance Maturity Methodology (openSAMM)

Tesztelési útmutató

Webgoat

WebScarab

Zed Attack Proxy (ZAP)

Egyik sem. Nem ismerem az OWASP projekteket.

Más

Nagyon hasznos

Volt értelme

Számunkra nem volt hasznos

Nem tudom

AntiSamy

Alkalmazásbiztonsági FAQ

Alkalmazásbiztonsági ellenőrzési strandard - Application Security Verification Standard (ASVS)

AppSensor

Cheatsheets

CISO útmutató

Kódelemzés útmutató

Fejlesztési útmutató

ESAPI (Enterprise Security API)

Http Post Tool

JBroFuzz

Legal Project

LiveCD/WTE

Mod_Security Core Ruleset

OpenSAMM

OWASP Top-10

RFP Criteria

Ruby on Rails Biztonsági útmutató

Biztonságos kódolás gyakorlati hivatkozások - Secure Coding Practices Quick Reference

Software Assurance Maturity Methodology (openSAMM)

Tesztelési útmutató

Webgoat

WebScarab

Zed Attack Proxy (ZAP)

Egyik sem. Nem ismerem az OWASP projekteket.

Más

13. Mekkora kihívást jelent hatékonyan kezelni a szervezet alkalmazásbiztonsággal kapcsolatos kezdeményezéseit az alábbiak vonatkozásában? *

Kérjük válasszon! Amennyiben nem értelmezhető a kérdés az Ön szervezeténél válassza az N/A-t.

Nem jelent kihívást

Minimális kihívást jelent

Kihívás

Komoly kihívás

Hatalmas kihívás

N/A

Megfelelő büdzsé

A képzett erőforrások elérhetősége

Üzleti bizonytalanság

Üzleti igény igazolása

Problémás (összeférhetetlen) üzleti igények

Feltörekvő technológiák (alkalmazásbiztonsági szkennerek, webalkalmazás tűzfalak)

A fejlesztők biztonságtudatossági szintje

A vezetőség tudatossága és támogatása

Szervezeti változás

Szabályozói változás vagy bizonytalanság

Más

Nem jelent kihívást

Minimális kihívást jelent

Kihívás

Komoly kihívás

Hatalmas kihívás

N/A

Megfelelő büdzsé

A képzett erőforrások elérhetősége

Üzleti bizonytalanság

Üzleti igény igazolása

Problémás (összeférhetetlen) üzleti igények

Feltörekvő technológiák (alkalmazásbiztonsági szkennerek, webalkalmazás tűzfalak)

A fejlesztők biztonságtudatossági szintje

A vezetőség tudatossága és támogatása

Szervezeti változás

Szabályozói változás vagy bizonytalanság

Más

14. Használ a szervezete valamilyen specifikus eszközt az alkalmazásbiztonsági folyamatok menedzselésére? *

Igen

Nem

15. Az alábbi eszközök közül melyiket használja, vagy tervezi használni a szervezete, annak érdekében, hogy legyen alkalmazásbiztonsággal kapcsolatos tevékenysége? *

Jelenleg is használjuk

Következő 12-18 hónapban tervbe véve

Nincs tervbe véve

Web alkalmazás tűzfalak

Forráskód elemzők

Runtime analyzers

Alkalmazás sérülékenység szkennerek

Asztali webalkalmazás szkennerek

Manuális kódelemzés(pl.: külsős szakemberek)

Más

16. Az információbiztonsági program részeként Ön... *

Jelenleg is használjuk

Következő 12-18 hónapban tervbe véve

Nincs tervbe véve

SDLC (Secure development lifecycle) használata

Biztonsági oktatás

Biztonsági szabályok dokumentálása és betartatása

Biztonsági kockázatok meghatározása

Kockázatkezelés

Fenyegetettség elemzés

Biztonságos architektúra

Bevett, letesztelt biztonsági modulok/keretrendszerek használata

Kódelemzések

Teszt esetek használata a tesztelés során

Sérülékenységkeresés és kezelés

Jelenleg is használjuk

Következő 12-18 hónapban tervbe véve

Nincs tervbe véve

SDLC (Secure development lifecycle) használata

Biztonsági oktatás

Biztonsági szabályok dokumentálása és betartatása

Biztonsági kockázatok meghatározása

Kockázatkezelés

Fenyegetettség elemzés

Biztonságos architektúra

Bevett, letesztelt biztonsági modulok/keretrendszerek használata

Kódelemzések

Teszt esetek használata a tesztelés során

Sérülékenységkeresés és kezelés

17. Van a szervezetében dokumentált alkalmazásbiztonsági stratégia? *

Van

Nincs

18. Milyen távra tervez az alkalmazásbiztonsági stratégia?

3 hónap

6 hónap

1 év

2 év

3 év

5+ év

Clear selection

19. Az alkalmazásbiztonsági stratégia... *

Az elmúlt 12 hónapban felül lett vizsgálva és frissítve lett

Integrálva van, vagy alkalmazkodik a szervezet üzleti stratégiájához

Integrálva van, vagy alkalmazkodik a szervezet IT stratégiájához

Felvázolja a főbb biztonsági intézkedéseket az elkövetkezendő 12 hónapra

Required

20. Az alábbiak közül, melyik állítás jellemzi leginkább szervezete alkalmazásbiztonsági stratégiáját a növekvő közösségi média használat, a mobil eszközök elterjedése és a felhő jelentette kockázatok tekintetében? *

Válasszon egyet!

A jelenlegi alkalmazásbiztonsági stratégiánk megfelelően kezeli ezeket

Módosítanunk kell a stratégiát, hogy kezeljék a fenti kockázatokat is

Jobban meg kell értsük a fenti kockázatokat

Nem látok új vagy megnövekedett kockázatokat az említett új technológiákkal kapcsolatosan

21. Használ az Ön szervezete Alkalmazásbiztonsági Menedzsment Rendszert (Application Security Management System (ASMS)) vagy Érettségi Model (pl.: OWASP SAMM), amely lehetővé teszi az összes alkalmazásbiztonsági tevékenység átfogó kezelését? *

Válasszon egyet!

Igen, bevezettük és hivatalosan is tanúsította egy külsős szakértő cég

Igen bevezettük, de nem szereztünk hozzá tanúsítványt

Igen, jelenleg bevezetés alatt

Nem, de fontolgatjuk

Nem, és nem is tervezzük

22. Az alábbiak közül melyik alkalmazásbiztonsági standardot vagy keretrendszert használja a szervezete?

Válassza ki az összeset, amit használ!

BSIMM

Capability Maturity Model Integration (CMMI)

CLASP

CoBIT

COSO

Information Security Forum's (ISF) Standard of Good Practice

Information Technology Infrastructure Library (ITIL)

MS SDL

NIST Handbooks (e.g., the "800 Series")

Octave

Open SAMM

ISO/IEC 27001:2005 27002:2005

PCI DSS

Other:

23. Hogyan értékeli a szervezete az alkalmazásbiztonság minőségét és hatékonyságát?

Válassza ki az összeset!

Az IT osztály saját belső vizsgálata

Más belső vizsgálat

Külsős szakértő általi értékelés/vizsgálat

Hivatalos tanúsítvány a külső biztonsági standardoknak való megfelelésről

Hivatalos tanúsítvány az iparági standardoknak való megfelelésről (pl.: PCI DSS)

Kódelemzés és metrika

Nincs értékelés

24. Hogyan ellenőrzi, hogy külső partnerei, szolgáltatói és alvállalkozói megfelelően védik-e szervezetének adatait alkalmazásbiztonsági szempontból? *

Válassza ki az összeset!

A szervezet saját belső alkalmazásbiztonsági szakértői, vagy belső audit

A partnerek és alvállalkozók értékelése független szakértői cég által

A partnerek és alvállalkozók saját belső vizsgálata

Nincs értékelés

Required

25. Hogyan határozná meg beosztását? *

Chief Information Security Officer

Chief Operating Officer

Chief Information Officer

Chief Application Security Officer

Chief Security Officer

Chief Privacy Officer

Chief Compliance Officer

Chief Technology Officer

Chief Risk Officer

Vezérigazgató helyettes

Fejlesztő

IT vezető

Alkalmazásbiztonsági vezető

Hálózat/rendszer Adminisztrátor

Belső Audit Vezető/Menedzser

26. Szeretné, hogy az OWASP Magyar tagozata az Ön szervezeténél is tartson egy előadást az alkalmazásbiztonságról?

Igen

Nem

Clear selection

27. Szeretné, hogy a megadott válaszok alapján egy alkalmazásbiztonsági szakértő felkeresse egy ingyenes konzultációra? *

Ha igen, kérjük írja be a nevét és email címét az "other" mezőbe!

Igen

Nem

Other:

Submit

Clear form

Never submit passwords through Google Forms.

This form was created inside of azd.security. Report Abuse

Forms