SlideShare a Scribd company logo

Методические отличия при анализе кода внутренних и внешних приложений

Andrew Petukhov
Andrew Petukhov

Презентация с CISO Forum 2013

Technology
1 of 10
Методические отличия при анализе кода внутренних и внешних приложений CISO Forum 2013 Петухов Андрей Thursday, July 18,
• Основополагающий принцип при построении системы защиты • Подходы к реализации: ➡ наименьшие привилегии и разграничение доступа ➡ резервирование и архивное копирование ➡ реализация системы мониторинга и реагирования • Подходы реализуются на различных уровнях ИС ➡ сетевой, системный (узловой), прикладной, физический и т.п. Принцип ограниченности ущерба Thursday, July 18,
• Для управления угрозами, исходящими от обычных пользователей отлично годятся все три подхода • Как насчет пользователей с высоким уровнем технического допуска? ➡ “How to Grant Administrator Authority without Losing Control over System?” (с) ➡ “How to Grant Developer Authority without Losing Trust into System?” (с) • Начнем с администраторов; в целом, все известно: ➡ Least privilege & monitoring [& ITSM] • Продолжим про разработчиков ➡ Secure SDLC способно побороться с преднамеренным и непреднамеренным внесением недостатков ➡ А если SDLC нет и не предвидится? “For whom how” (c) Thursday, July 18,
• SDLC нет и не предвидится ➡ дорого и/или долго и/или нецелесообразно ➡ вся основная разработка давно завершилась ➡ почти вся разработка - это расширение существующих функций в уже внедренных приложениях, добавление новых и исправление ошибок ➡ принимается приложение, разработанное на стороне, при заказе которого не предъявлялись требования к безопасности • Как методически решать задачу организации мониторинга за действиями разработчиков? • По идее, комплекс мониторинга должен включать: ➡ анализ исходного состояния приложения ➡ фиксирование и анализ изменений ➡ мониторинг взаимодействия пользователей с приложением ➡ протоколирование работы приложения Проблематика Thursday, July 18,
• Есть приложения, основанные на веб-технологиях, которые почти не отличаются от открытых в WWW • Есть и другие,“особенные”: ➡ толстые клиенты вместо веб-интерфейса, возможно свой протокол обмена данными ➡ используются DSL (LotusScript) и прочие нетипичные сейчас языки (Cobol) ➡ могут быть расширениями огромной платформы (1С, SAP, Lotus и т.п.) • Особенности ➡ высокая критичность ➡ большое количество связей в другими системами Специфика внутренних приложений Thursday, July 18,
• Высокая критичность => сканирование запрещено • Много связей с другими системами => развернуть в лаборатории для динамического анализа нереально • Что остается из методов? ➡ ручной black-box анализ ➡ статический анализ (ручной или автоматический) • Толстые клиенты => XSS нерелевантно • DSL-языки => SQLi и прочие “классические” атаки могут быть неосуществимы • Что остается из релевантных недостатков? ➡ application specific недостатки: уязвимости авторизации, уязвимости логики ➡ бекдоры, закладки, логические бомбы ➡ некорректная конфигурация платформы, сервера и приложения Выводы из свойств Thursday, July 18,
• Доступ к приложению: onsite vsVPN ➡ VPN может быть запрещен политиками; но onsite будет дороже • Какие уязвимости можно найти ➡ если внутренне приложение - веб-приложение: все типичные уязвимости веб- приложений, позволяющие проводить Injection-атаки (XSS, SQLi, и т.п.) ➡ если внутреннее приложение “особенное”: некоторые классы уязвимостей авторизации и логики, уязвимости конфигрурирования ➡ важно: для полноценного black-box анализа потребуется доступ от имени пользователей различных ролей, в т.ч. привилегированных (!), что не всегда возможно (см. политики организации) Ручной black-box анализ Thursday, July 18,
• Доступ к коду: onsite vs передача ➡ передача может быть запрещена политиками; но onsite будет дороже • Автоматический анализ способен найти только типичные недостатки (SQLi/XSS и т.п.) • Для DSL и других нераспространненых языков не всегда найдется анализатор • App specific недостатки можно найти с приемлемой полнотой только вручную • Для “особенных” приложений самыми актуальными являются следующие классы недостатков: ➡ уязвимости авторизации ➡ некорректное использование API платформы ➡ контуры для удаленной отладки и мониторинга Статический анализ Thursday, July 18,
• Внутренние веб-приложения приемлемо анализировать методом черного ящика на начальном этапе (см. быстро и дешево найти “тупые” уязвимости) ➡ этот подход не так хорошо работает для “особенных” приложений (DSL/толстые клиенты) • Недостатки некоторых классов можно найти только статически и только вручную ➡ это решит задачу анализа исходного состояния, как построить систему мониторинга (см. еженедельные обновления в коде)? • Статический анализ по сигнатурам, написанным в результате ручного анализа, сможет обеспечить мониторинг изменений в коде • Offtopic: Injection-атаки во внутренней сети очень шумные => мониторинг! Выводы Thursday, July 18,
• Контакты ➡ Twitter: @p3tand ➡ Mob: +7 916 360-52-49 ➡ Email: petand@seclab.cs.msu.su ➡ Blog: http://andrepetukhov.wordpress.com/ Ответы на вопросы Thursday, July 18,

Recommended

Recreations
RecreationsRecreations
Recreations
Alistair Bertram
 
My Sister with my sun in the Ikutsu Games
My Sister with my sun in the Ikutsu GamesMy Sister with my sun in the Ikutsu Games
My Sister with my sun in the Ikutsu Games
Ali Murtadlo
 
R isk assessment studios
R isk assessment studiosR isk assessment studios
R isk assessment studios
JakeFisher_
 
VA2440 Class 07
VA2440 Class 07VA2440 Class 07
VA2440 Class 07
Bryan Chung
 
Marchands PRO : préparez vos campagnes de soldes sur PriceMinister
Marchands PRO : préparez vos campagnes de soldes sur PriceMinisterMarchands PRO : préparez vos campagnes de soldes sur PriceMinister
Marchands PRO : préparez vos campagnes de soldes sur PriceMinister
PriceMinister
 
Gabriele Petroni - Inwya - Il wifi in hotel diventa social- WHR Bologna
Gabriele Petroni - Inwya - Il wifi in hotel diventa social- WHR BolognaGabriele Petroni - Inwya - Il wifi in hotel diventa social- WHR Bologna
Gabriele Petroni - Inwya - Il wifi in hotel diventa social- WHR Bologna
WHR Corporate
 
Flashtennis semanario 21 noviembre 2016
Flashtennis semanario 21 noviembre 2016Flashtennis semanario 21 noviembre 2016
Flashtennis semanario 21 noviembre 2016
Edgar Gonzalez Allegre
 
Que es la navidad
Que es la navidadQue es la navidad
Que es la navidad
ramiro Colombres Garmendia
 

Recommended

Recreations
RecreationsRecreations
Recreations
Alistair Bertram
 
My Sister with my sun in the Ikutsu Games
My Sister with my sun in the Ikutsu GamesMy Sister with my sun in the Ikutsu Games
My Sister with my sun in the Ikutsu Games
Ali Murtadlo
 
R isk assessment studios
R isk assessment studiosR isk assessment studios
R isk assessment studios
JakeFisher_
 
VA2440 Class 07
VA2440 Class 07VA2440 Class 07
VA2440 Class 07
Bryan Chung
 
Marchands PRO : préparez vos campagnes de soldes sur PriceMinister
Marchands PRO : préparez vos campagnes de soldes sur PriceMinisterMarchands PRO : préparez vos campagnes de soldes sur PriceMinister
Marchands PRO : préparez vos campagnes de soldes sur PriceMinister
PriceMinister
 
Gabriele Petroni - Inwya - Il wifi in hotel diventa social- WHR Bologna
Gabriele Petroni - Inwya - Il wifi in hotel diventa social- WHR BolognaGabriele Petroni - Inwya - Il wifi in hotel diventa social- WHR Bologna
Gabriele Petroni - Inwya - Il wifi in hotel diventa social- WHR Bologna
WHR Corporate
 
Flashtennis semanario 21 noviembre 2016
Flashtennis semanario 21 noviembre 2016Flashtennis semanario 21 noviembre 2016
Flashtennis semanario 21 noviembre 2016
Edgar Gonzalez Allegre
 
Que es la navidad
Que es la navidadQue es la navidad
Que es la navidad
ramiro Colombres Garmendia
 
Businessday okt 2016 - Awingu
Businessday okt 2016 - AwinguBusinessday okt 2016 - Awingu
Businessday okt 2016 - Awingu
Marketing Team
 
Ростелеком. Тимур Ибрагимов. "Защита от DDoS атак. Взгляд со стороны оператор...
Ростелеком. Тимур Ибрагимов. "Защита от DDoS атак. Взгляд со стороны оператор...Ростелеком. Тимур Ибрагимов. "Защита от DDoS атак. Взгляд со стороны оператор...
Ростелеком. Тимур Ибрагимов. "Защита от DDoS атак. Взгляд со стороны оператор...
Expolink
 
Businessday 18 okt - Teamleader
Businessday 18 okt - Teamleader Businessday 18 okt - Teamleader
Businessday 18 okt - Teamleader
Marketing Team
 
Evolutionary Graphics - Class 03 2014
Evolutionary Graphics - Class 03 2014Evolutionary Graphics - Class 03 2014
Evolutionary Graphics - Class 03 2014
Bryan Chung
 
MVA Presentation 5
MVA Presentation 5MVA Presentation 5
MVA Presentation 5
Bryan Chung
 
Banana Trends. South Korea tourism and Russian Tourists. Case Study
Banana Trends. South Korea tourism and Russian Tourists. Case StudyBanana Trends. South Korea tourism and Russian Tourists. Case Study
Banana Trends. South Korea tourism and Russian Tourists. Case Study
Banana Trends
 
SDN Security Talk - (ISC)2_3
SDN Security Talk - (ISC)2_3SDN Security Talk - (ISC)2_3
SDN Security Talk - (ISC)2_3
Wen-Pai Lu
 
Yeni başlayanlar için Laravel
Yeni başlayanlar için Laravel Yeni başlayanlar için Laravel
Yeni başlayanlar için Laravel
Cüneyd Tural
 
Volodymyr Shtybel
Volodymyr ShtybelVolodymyr Shtybel
Volodymyr Shtybel
Kristina Savka
 
1. tipos de camas hospitalarias
1. tipos de camas hospitalarias1. tipos de camas hospitalarias
1. tipos de camas hospitalarias
caedhmh
 
NEFROLOGIA CLINICA: Hipertension renovascular
NEFROLOGIA CLINICA: Hipertension renovascularNEFROLOGIA CLINICA: Hipertension renovascular
NEFROLOGIA CLINICA: Hipertension renovascular
gustavo diaz nuñez
 
Breaking through the Clouds
Breaking through the CloudsBreaking through the Clouds
Breaking through the Clouds
Andy Piper
 
Les places de marché
Les places de marchéLes places de marché
Les places de marché
khadija zouhair
 
Meetup Mesos : Mesos, Chronos and Marathon in CI/CD factory
Meetup Mesos : Mesos, Chronos and Marathon in CI/CD factoryMeetup Mesos : Mesos, Chronos and Marathon in CI/CD factory
Meetup Mesos : Mesos, Chronos and Marathon in CI/CD factory
Laurent Grangeau
 
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникацииАрмия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Andrew Petukhov
 
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
Andrew Petukhov
 
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Andrew Petukhov
 
No locked doors, no windows barred: hacking OpenAM infrastructure
No locked doors, no windows barred: hacking OpenAM infrastructureNo locked doors, no windows barred: hacking OpenAM infrastructure
No locked doors, no windows barred: hacking OpenAM infrastructure
Andrew Petukhov
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
Andrew Petukhov
 
Обеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахОбеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системах
Andrew Petukhov
 
Detecting Insufficient Access Control in Web Applications
Detecting Insufficient Access Control in Web ApplicationsDetecting Insufficient Access Control in Web Applications
Detecting Insufficient Access Control in Web Applications
Andrew Petukhov
 
Benchmark сканеров SQL injection
Benchmark сканеров SQL injectionBenchmark сканеров SQL injection
Benchmark сканеров SQL injection
Andrew Petukhov
 

More Related Content

Viewers also liked

Ростелеком. Тимур Ибрагимов. "Защита от DDoS атак. Взгляд со стороны оператор...
Ростелеком. Тимур Ибрагимов. "Защита от DDoS атак. Взгляд со стороны оператор...Ростелеком. Тимур Ибрагимов. "Защита от DDoS атак. Взгляд со стороны оператор...
Ростелеком. Тимур Ибрагимов. "Защита от DDoS атак. Взгляд со стороны оператор...
Expolink
 
Evolutionary Graphics - Class 03 2014
Evolutionary Graphics - Class 03 2014Evolutionary Graphics - Class 03 2014
Evolutionary Graphics - Class 03 2014
Bryan Chung
 
SDN Security Talk - (ISC)2_3
SDN Security Talk - (ISC)2_3SDN Security Talk - (ISC)2_3
SDN Security Talk - (ISC)2_3
Wen-Pai Lu
 

Viewers also liked (14)

Businessday okt 2016 - Awingu
Businessday okt 2016 - AwinguBusinessday okt 2016 - Awingu
Businessday okt 2016 - Awingu
 
Ростелеком. Тимур Ибрагимов. "Защита от DDoS атак. Взгляд со стороны оператор...
Ростелеком. Тимур Ибрагимов. "Защита от DDoS атак. Взгляд со стороны оператор...Ростелеком. Тимур Ибрагимов. "Защита от DDoS атак. Взгляд со стороны оператор...
Ростелеком. Тимур Ибрагимов. "Защита от DDoS атак. Взгляд со стороны оператор...
 
Businessday 18 okt - Teamleader
Businessday 18 okt - Teamleader Businessday 18 okt - Teamleader
Businessday 18 okt - Teamleader
 
Evolutionary Graphics - Class 03 2014
Evolutionary Graphics - Class 03 2014Evolutionary Graphics - Class 03 2014
Evolutionary Graphics - Class 03 2014
 
MVA Presentation 5
MVA Presentation 5MVA Presentation 5
MVA Presentation 5
 
Banana Trends. South Korea tourism and Russian Tourists. Case Study
Banana Trends. South Korea tourism and Russian Tourists. Case StudyBanana Trends. South Korea tourism and Russian Tourists. Case Study
Banana Trends. South Korea tourism and Russian Tourists. Case Study
 
SDN Security Talk - (ISC)2_3
SDN Security Talk - (ISC)2_3SDN Security Talk - (ISC)2_3
SDN Security Talk - (ISC)2_3
 
Yeni başlayanlar için Laravel
Yeni başlayanlar için Laravel Yeni başlayanlar için Laravel
Yeni başlayanlar için Laravel
 
Volodymyr Shtybel
Volodymyr ShtybelVolodymyr Shtybel
Volodymyr Shtybel
 
1. tipos de camas hospitalarias
1. tipos de camas hospitalarias1. tipos de camas hospitalarias
1. tipos de camas hospitalarias
 
NEFROLOGIA CLINICA: Hipertension renovascular
NEFROLOGIA CLINICA: Hipertension renovascularNEFROLOGIA CLINICA: Hipertension renovascular
NEFROLOGIA CLINICA: Hipertension renovascular
 
Breaking through the Clouds
Breaking through the CloudsBreaking through the Clouds
Breaking through the Clouds
 
Les places de marché
Les places de marchéLes places de marché
Les places de marché
 
Meetup Mesos : Mesos, Chronos and Marathon in CI/CD factory
Meetup Mesos : Mesos, Chronos and Marathon in CI/CD factoryMeetup Mesos : Mesos, Chronos and Marathon in CI/CD factory
Meetup Mesos : Mesos, Chronos and Marathon in CI/CD factory
 

More from Andrew Petukhov

You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
Andrew Petukhov
 
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Andrew Petukhov
 
Обеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахОбеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системах
Andrew Petukhov
 
Detecting Insufficient Access Control in Web Applications
Detecting Insufficient Access Control in Web ApplicationsDetecting Insufficient Access Control in Web Applications
Detecting Insufficient Access Control in Web Applications
Andrew Petukhov
 

More from Andrew Petukhov (11)

Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникацииАрмия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
 
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
 
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
 
No locked doors, no windows barred: hacking OpenAM infrastructure
No locked doors, no windows barred: hacking OpenAM infrastructureNo locked doors, no windows barred: hacking OpenAM infrastructure
No locked doors, no windows barred: hacking OpenAM infrastructure
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
 
Обеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахОбеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системах
 
Detecting Insufficient Access Control in Web Applications
Detecting Insufficient Access Control in Web ApplicationsDetecting Insufficient Access Control in Web Applications
Detecting Insufficient Access Control in Web Applications
 
Benchmark сканеров SQL injection
Benchmark сканеров SQL injectionBenchmark сканеров SQL injection
Benchmark сканеров SQL injection
 
Обнаружение уязвимостей в механизме авторизации веб-приложении
Обнаружение уязвимостей в механизме авторизации веб-приложенииОбнаружение уязвимостей в механизме авторизации веб-приложении
Обнаружение уязвимостей в механизме авторизации веб-приложении
 
Access Control Rules Tester
Access Control Rules TesterAccess Control Rules Tester
Access Control Rules Tester
 
Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...
Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...
Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...
 

Recently uploaded

CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
Хроники кибер-безопасника
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Хроники кибер-безопасника
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Хроники кибер-безопасника
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Хроники кибер-безопасника
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Хроники кибер-безопасника
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Ирония безопасности
 

Recently uploaded (9)

CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 

Методические отличия при анализе кода внутренних и внешних приложений

  • 1. Методические отличия при анализе кода внутренних и внешних приложений CISO Forum 2013 Петухов Андрей Thursday, July 18,
  • 2. • Основополагающий принцип при построении системы защиты • Подходы к реализации: ➡ наименьшие привилегии и разграничение доступа ➡ резервирование и архивное копирование ➡ реализация системы мониторинга и реагирования • Подходы реализуются на различных уровнях ИС ➡ сетевой, системный (узловой), прикладной, физический и т.п. Принцип ограниченности ущерба Thursday, July 18,
  • 3. • Для управления угрозами, исходящими от обычных пользователей отлично годятся все три подхода • Как насчет пользователей с высоким уровнем технического допуска? ➡ “How to Grant Administrator Authority without Losing Control over System?” (с) ➡ “How to Grant Developer Authority without Losing Trust into System?” (с) • Начнем с администраторов; в целом, все известно: ➡ Least privilege & monitoring [& ITSM] • Продолжим про разработчиков ➡ Secure SDLC способно побороться с преднамеренным и непреднамеренным внесением недостатков ➡ А если SDLC нет и не предвидится? “For whom how” (c) Thursday, July 18,
  • 4. • SDLC нет и не предвидится ➡ дорого и/или долго и/или нецелесообразно ➡ вся основная разработка давно завершилась ➡ почти вся разработка - это расширение существующих функций в уже внедренных приложениях, добавление новых и исправление ошибок ➡ принимается приложение, разработанное на стороне, при заказе которого не предъявлялись требования к безопасности • Как методически решать задачу организации мониторинга за действиями разработчиков? • По идее, комплекс мониторинга должен включать: ➡ анализ исходного состояния приложения ➡ фиксирование и анализ изменений ➡ мониторинг взаимодействия пользователей с приложением ➡ протоколирование работы приложения Проблематика Thursday, July 18,
  • 5. • Есть приложения, основанные на веб-технологиях, которые почти не отличаются от открытых в WWW • Есть и другие,“особенные”: ➡ толстые клиенты вместо веб-интерфейса, возможно свой протокол обмена данными ➡ используются DSL (LotusScript) и прочие нетипичные сейчас языки (Cobol) ➡ могут быть расширениями огромной платформы (1С, SAP, Lotus и т.п.) • Особенности ➡ высокая критичность ➡ большое количество связей в другими системами Специфика внутренних приложений Thursday, July 18,
  • 6. • Высокая критичность => сканирование запрещено • Много связей с другими системами => развернуть в лаборатории для динамического анализа нереально • Что остается из методов? ➡ ручной black-box анализ ➡ статический анализ (ручной или автоматический) • Толстые клиенты => XSS нерелевантно • DSL-языки => SQLi и прочие “классические” атаки могут быть неосуществимы • Что остается из релевантных недостатков? ➡ application specific недостатки: уязвимости авторизации, уязвимости логики ➡ бекдоры, закладки, логические бомбы ➡ некорректная конфигурация платформы, сервера и приложения Выводы из свойств Thursday, July 18,
  • 7. • Доступ к приложению: onsite vsVPN ➡ VPN может быть запрещен политиками; но onsite будет дороже • Какие уязвимости можно найти ➡ если внутренне приложение - веб-приложение: все типичные уязвимости веб- приложений, позволяющие проводить Injection-атаки (XSS, SQLi, и т.п.) ➡ если внутреннее приложение “особенное”: некоторые классы уязвимостей авторизации и логики, уязвимости конфигрурирования ➡ важно: для полноценного black-box анализа потребуется доступ от имени пользователей различных ролей, в т.ч. привилегированных (!), что не всегда возможно (см. политики организации) Ручной black-box анализ Thursday, July 18,
  • 8. • Доступ к коду: onsite vs передача ➡ передача может быть запрещена политиками; но onsite будет дороже • Автоматический анализ способен найти только типичные недостатки (SQLi/XSS и т.п.) • Для DSL и других нераспространненых языков не всегда найдется анализатор • App specific недостатки можно найти с приемлемой полнотой только вручную • Для “особенных” приложений самыми актуальными являются следующие классы недостатков: ➡ уязвимости авторизации ➡ некорректное использование API платформы ➡ контуры для удаленной отладки и мониторинга Статический анализ Thursday, July 18,
  • 9. • Внутренние веб-приложения приемлемо анализировать методом черного ящика на начальном этапе (см. быстро и дешево найти “тупые” уязвимости) ➡ этот подход не так хорошо работает для “особенных” приложений (DSL/толстые клиенты) • Недостатки некоторых классов можно найти только статически и только вручную ➡ это решит задачу анализа исходного состояния, как построить систему мониторинга (см. еженедельные обновления в коде)? • Статический анализ по сигнатурам, написанным в результате ручного анализа, сможет обеспечить мониторинг изменений в коде • Offtopic: Injection-атаки во внутренней сети очень шумные => мониторинг! Выводы Thursday, July 18,
  • 10. • Контакты ➡ Twitter: @p3tand ➡ Mob: +7 916 360-52-49 ➡ Email: petand@seclab.cs.msu.su ➡ Blog: http://andrepetukhov.wordpress.com/ Ответы на вопросы Thursday, July 18,