2. Hintergrund
Der Sicherer SDLC
OPTIMAbit GmbH arbeitet seit 2005 aktiv im Bereich sicherer SDLC.
Das Ziel ist es, Unternehmen bei der Planung und Umsetzung zu
unterstützen.
In diesem Vortrag geht es darum, ein Überblick über die wichtigste
Aspekte des sicheren SDLCs zu gewinnen
Es wird hier das Model „OpenSAMM“ (Software Assurance Maturity
Model) als Beispiel verwendet.
Copyright OPTIMAbit GmbH, 2011
3. Komplexität erzeugt Unsicherheit
Je komplexer eine Anwendung , desto
schwieriger die Absicherung.
Verglichen mit Anwendungen, sind
Netzwerke relativ einfach.
Schwachstellen entstehen aus Fehlern in:
– Design / Architektur
– Implementierung
– Deployment & Konfiguration
– Laufzeitumgebung
Copyright OPTIMAbit GmbH, 2011
4. Strategische Lösung: Sicherer SDLC
Überblick sicherer Software Development Lifecycle (SDLC)
Das Open Software Assurance Maturity Model (SAMM) definiert strategische
Maßnahmen für sichere Software. Ein OWASP Projekt
Andere Modelle existieren auch, z.B. Microsoft, BSI-MM.
Copyright OPTIMAbit GmbH, 2011
5. Wichtige Teile eines Secure SDLC
Diese Aktivitäten sichern eine Basislinie für sichere Webapps
Governance Construction Verification Deployment
Appsec Sicherheits-
Pentest Hardening
Standard anforderungen
Sichere Vulnerability
Ausbildung Code Review
Frameworks Mgmt
Copyright OPTIMAbit GmbH, 2011
6. Anwendungssicherheit Standard
Vorgaben für sicheres Design und Architektur
Application Security Standards:
definieren Standards für sichere
Policies
Anwendungen auf hohem
Abstraktionsniveau
unterstützen technische Mitarbeiter, Standards
Architekten und Projektleiter (Inhouse und
Outsourcing)
sind hochstrukturiert --- keine Richtlinien
desorganisierte Listen von „Best Practices“
Copyright OPTIMAbit GmbH, 2011
7. Anwendungssicherheit Standard (Inhalt)
Beispielinhalt und Umfang
Standards für: Eingabevalidierung
Fehlerbehandling
Allgemeine Anwendungen
Session Management
Webanwendungen
HTML & HTTP
Webservices
Zugriff auf
Datenbanken
SAP
Uvm…
Copyright OPTIMAbit GmbH, 2011
8. Code Review
Ihr Code wird auf Qualität und Sicherheit geprüft
Code Reviews sorgen für sichere
Code
Anwendungen und erhöhte Code-
Entwicklung
Qualität. Developers
Es ist sinnvoll, entweder ein
Expertenteam auszubilden oder Tickets & Review &
Feedback
externe Unterstützung zu holen. Analyse
Plus: schnell und wiederholbar
Update, Filter,
Management Analyse
Minus: False Positives, False Negatives
Tool
OPTIMA
Review Team
Copyright OPTIMAbit GmbH, 2011
9. Penetrationstest einer Webanwendung
Qualität ist entscheidend --- Gute Tests brauchen auch Zeit
Ein hochwertiger Pentest:
ist strukturiert nach OWASP
Standards und BSI Kriterien.
Kickoff Testing Analyse Reporting
erkennt aktuelle Schwachstellen.
baut primär auf manueller
Expertentest (Tools auch wichtig)
ausführlich dokumentiert mit
nachvollziehbare
Risikobewertungen.
Copyright OPTIMAbit GmbH, 2011
10. Ausblick & Empfehlungen
Ist-Aufnahme über den SDLC
Wo steht man und was ist zu tun? Operational
Strategy & Metrics
1 Policy &
Enablement 0,8 Compliance
Maßnahmen daraus ableiten Environment
Hardening
0,6 Education &
Guidance
0,4
0,2
Pentest und Code Review auf Vulnerability
Management
0 Threat Assessment
regulärer Basis setzen
Security
Security Testing
Requirements
Security Standards für Anwendungen Code Review
Secure
Architecture
definieren Design Review
Copyright OPTIMAbit GmbH, 2011
11. Zielsetzung (Jahresplan)
Binnen 1 Jahr den Basisschutz erreichen 1
0,8
Eine ausgewogene Verteilung 0,6
der Sicherheit ist wichtig 0,4
0,2
2011: Basisschutz soll erreicht
0
werden
2012: fortgeschrittener Schutz
soll erreicht werden
Aktueller Stand
Basisschutz (2011)
Fortg. Schutz (2012)
Copyright OPTIMAbit GmbH, 2011
13. Über
OPTIMbit
GmbH
Fokus Kunden Credo
IT-Sicherheit für Unternehmen Herstellerneutrale
Anwendungen ab ca. 500 Beratung von
& Mitarbeitern höchster Qualität
Infrastrukturen