Bezpečnost aplikací se stává jednou z klíčových obav bezpečnostních manažerů a získává výsadní místo v kontextu celkové ICT bezpečnosti. Společnost Corpus Solutions uspořádala seminář na téma Moderní principy aplikační bezpečnosti, kde byly diskutovány některé ožehavé otázky - Jak aplikační bezpečnost pomáhá chránit business? Dokáže bezpečnost aplikací generovat business přínosy a ušetřit finanční zdroje? Proč byste se měli zabývat aplikační bezpečností a jaké jsou současné standardy? V rámci semináře byl představen komplexní pohled na tuto problematiku včetně technických nástrojů, které pomáhají posunout aplikační bezpečnost na kvalitativně novou úroveň. Obsah semináře můžete prostřednictvím prezentace shlédnout I vy.

1. www.corpus.cz
Corpus Solutions a.s.
Na Vítězné pláni 1719/4
140 00 Praha 4
E-mail: sales@corpus.cz
MODERNÍPRINCIPYAPLIKAČNÍBEZPEČNOSTI

2. www.corpus.cz
MODERNÍPRINCIPY APLIKAČNÍ BEZPEČNOSTI
Jak aplikační bezpečnost pomáhá chránit business
Aplikační ekonomie
Trendy a stav aplikační bezpečnosti
Dopady podcenění bezpečnosti aplikací
Útoky a jejich motivace
Cíle a přínosy aplikační bezpečnosti
Obranné nástroje – procesy i technologie

3. www.corpus.cz
DIGITÁLNÍ EKONOMIKA AVÝZNAMAPLIKACÍ
Budoucnost v aplikacích
• Business spoléhá na aplikace ve
stále větší míře – digitalizace
• Cloud, dostupnost, mobilita
• Angažování zákazníků
• Přístup k aplikacím více kanály
• Internet of Things
• Ekosystém vývojářů
• Tlak na rychlý vývoj zvyšuje rizika
zranitelností (vývojáři nemají čas
věnovat se bezpečnosti – prodlužuje
to vlastní vývoj)
13 %
31 %
37 %
15 %
5 %
0 %
10 %
20 %
30 %
40 %
Extrémní
dopad
Velký dopad Střední dopad Mírný dopad Bez dopadu
Jak vnímáte dopad aplikační ekonomie
ve své organizaci?
Zdroj: CA Survey How to Survive
and Thrive in the Application Economy
6 %
19 %
60 %
60 %
0 10 20 30 40 50 60 70
Ne
Ano, příjmové deficity
Ano, konkureční aktivity
Ano, vyžaduje to poptávka zákazníků
Čelíte většímu tlaku na rychlejší vývoj
nových aplikací a proč?

4. www.corpus.cz
DIGITÁLNÍ EKONOMIKA AVÝZNAMAPLIKACÍ
Faktory ovlivňující význam aplikační bezpečnosti
• Nárůst podílu aplikací vytvářených in-
house
• Bezpečnost jako překážka v době
aplikační ekonomie
• Dovednosti softwarového vývoje se stávají
součástí podnikové DNA
• ¾ firem plánuje akvizice firem v software
software vývoji
• Vedoucí organizace z pohledu business
výkonů (revenue, zisk, nové zakázky)
• Osvojují si přístup DevOps
• Využívají bezpečnost jako „business
enabler“
• Řízení IT dle business iniciativy
• Osvojují si celopodnikový přístup k aplikační
mobilitě
Zdroj: CA Survey How to Survive
and Thrive in the Application Economy
3 %
7 %
17 %
23 %
24 %
25 %
26 %
27 %
35 %
37 %
0 5 10 15 20 25 30 35 40
Není pro to potřeba
Nejsou překážky
Další důležitější projekty
Příliš obtížné změnit strategii společnosti
Kultura to nebude podporovat
Nedostatečné pochopení přínosů managementem
Nedostatek znalostí a dovedností
Nedostatek zdrojů
Obavy o bezpečnost
Rozpočtová omezení
Jaké jsou pro vás překážky v úspěšné adaptaci na
aplikační ekonomii, tj. v dosažení lepších zdatností v
SW vývoji?

5. www.corpus.cz
TRENDYITBEZPEČNOSTI 2015
Hybné síly pro aplikační bezpečnost
• Business a technologie
• Změny obchodních přístupů
• inovace produktů a služeb formuje IT
technologie a tedy i bezpečnost
• Zranitelnosti produktů a služeb
• Bezpečnostní hrozby
• Regulatorní požadavky
Zdroj: 2014 Trends That Will Reshape
Organizational Security

6. www.corpus.cz
DOPADYTRENDŮDOBEZPEČNOSTNÍCH OPATŘENÍ
Monitoring a přehled o dění v IT infrastruktuře
• Hlubší vhled a kontrola nad koncovými body (rozmanitost
zařízení => uživatelé i DC)
• Rozšíření bezpečnostního perimetru (VDC)
• Větší poptávka po šifrování dat
• Širší integrace aplikační bezpečnosti do standardních
opatření (cloud, CDN, performance management)
• Širší využití hardwarově akcelerované SSL dekrypce
(globální monitoring komunikací)
• Zvýšení poptávky po testování bezpečnosti produktů
produktů před jejich nákupem (APT, backdoors)
Od prevence incidentů k reakcím na
incidenty
Managed security
Cloud security
Od bezpečnostních technologií k
bezpečným platformám
Bezpečnost koncových bodů

7. www.corpus.cz
MÝTYAPLIKAČNÍ BEZPEČNOSTI
„Aplikační bezpečnost? Není to problém síťařů?“
• Prošli jsme PCI/SOX auditem, jsme „compliant“, takže máme bezpečné
aplikace
• Neměli jsme až doteď žádný bezpečnostní incident (nebo nespadáme pod
audit)
• Síťové obranné prvky nás chrání dostatečně (např. aplikační firewally)
• Útočníci atakují platformy a široce používané aplikace. Nebudou se zabývat
naším proprietárním softwarem
• Penetrační testy/scanner zdrojových kódů odhalí všechny bezpečnostní
zranitelnosti
• Softwarová bezpečnost není měřitelná, takže chybí business case. Režie na
softwarovou bezpečnost zcela ochromí vývojový tým a je proto nákladná.
• Dodavatelské firmy vyvíjejí bezpečný software. Pokud ne, bývá nemožné
začlenit bezpečnostní kvalitu do smluv o vývoji.
• CSO: „Skupina vývoje aplikací se stará o bezpečnost“; CTO: „Skupina IT
bezpečnosti se stará o bezpečnost našich aplikací. Oni jsou experti.“

8. www.corpus.cz
DŮSLEDKY PODCENĚNÍ BEZPEČNOSTI APLIKACÍ
Tlak na rychlý vývoj zvyšuje rizika aplikačních zranitelností
• Ztráta příjmu nebo pokles výroby kvůli
nedostupnosti výrobních zdrojů
• Významný čas a úsilí potřebné k obnově
původního stavu po bezpečnostním incidentu
• Právní důsledky a výlohy
• Poškození značky
• Porušení souladu s regulatorními požadavky
• Porušení ochrany osobních údajů
• Poškození obchodních vztahů mezi klienty a
prodejci
• Ztráta duševního vlastnictví, konkurenční
výhody nebo proprietárních informací
• Nerealizovaný zisk kvůli nemožnosti prokázat
klientům, prodejcům a partnerům silný
bezpečnostní proces

9. www.corpus.cz
PROČSEOBÁVAT?
Výchozí bezpečnostní situace
• Kyberkriminalita a hacktivismus jsou dominantními
motivacemi útočníků
• 75 % útoků je vedeno na aplikační vrstvu (Gartner)
• 95 % web aplikací obsahuje nějakou zranitelnost
(Imperva)
• 78 % jednoduše zneužitelných slabin je ve webové
aplikaci (Symantec)
• 67 % webových stránek použitých k distribuci
malware jsou legitimní kompromitované stránky
(Symantec)
• Nejčastější vzory klasifikovaných incidentů (Verizon
DBR 2011 - 2013)
• POS průniky – 31%
• Útoky na webové aplikace – 21%
• Kyberšpionáž – 15%
25%
21%
11%
9%
10%
8%
5%
11%
TECHNIKY ÚTOKŮ
ÚNOR 2015
SQLi Neznámé Zcizení účtu Defacement
Cílený útok DDoS Malware Ostatní
Zdroj:
Hackmaggedon

10. www.corpus.cz
MOTIVACE ÚTOČNÍKŮ
Rizikové aplikace
KLÍČOVÝ FAKTOR OVLIVŇUJÍCÍ
PRAVDĚPODOBNOST, ŽE ZRANITELNOST
BUDE ZNEUŽITA JE OBTÍŽNOST A
NÁKLADNOST PRO ÚTOČNÍKA VYVINOUT
SPOLEHLIVÝ EXPLOIT.
52
11 9 10
6
15
22
18 16
79
16
11
15
8
0
10
20
30
40
50
60
Zákaznické aplikace Zaměstnanecké /
partnerské portály
Aplikace mobilní/na
koncových zařízeních
Databázové /CRM
aplikace
Cloud /SaaS aplikace
Typy aplikací dle bezpečnostního rizika
1.st.rizika 2.st.rizika 3.st.ritika
Zdroj: SANS Institute

11. www.corpus.cz
CÍLAPLIKAČNÍ BEZPEČNOSTI
Aplikační bezpečnost je řízený proces, ne technologie
Co vyžaduje aplikační bezpečnost ?
Lidé (QA, vývoj,
architekti,…)
• Trénink
• Organizace
Procesy
• Řízení rizik
• SDLC
• Guidelines
• Verification
Technologie
• Nástroje
• Vývoj
• Frameworky

12. www.corpus.cz
PŘÍNOSYAPLIKAČNÍ BEZPEČNOSTI
Kde pomáhá aplikační bezpečnost?
• Plnění požadavků koncových zákazníků na bezpečnost (ochrana osobních dat
klientů) a zajištění souladu (compliance), pokrytí minimálně akceptovatelného rizika
• Investice do softwarové bezpečnosti snižují náklady na opravy aplikačních
zranitelností v budoucnu
• SDLC, vzdělávání vývojářů a použití programovacích standardů zefektivní projekty,
sníží náklady na management zranitelností a na zajištění souladu
• Kontrola kvality a bezpečnosti dodávaných aplikací třetími stranami
• Zachování reputace díky cílené, rychlejší a preventivní kontrole
• Zlepšení spolupráce mezi vývojovým, bezpečnostním a infrastrukturním týmem
Menší množství
bezpečnostních incidentů,
auditních nedostatků a
rychlejší opravy výrazně
převyšují celkové roční
náklady vynaložené na
iniciativy v rámci aplikační
bezpečnosti
(Aberdeen Group, Security and the
Software Development
Lifecycle: Secure at the Source)

13. www.corpus.cz
ADRESÁTI APLIKAČNÍ BEZPEČNOSTI
Kdo je zodpovědný za aplikační bezpečnost?
Výsledky dotazování CISO
manažerů 2013: Top 5
identifikovaných rizik
• Nedostatek vědomostí o
plynoucích z aplikační
danou organizaci
• Riziko nebezpečného
• Nedostatečné testovací
• Nedostatečný rozpočet pro
iniciativ aplikační bezpečnosti
• Lidské zdroje (nedostatek
IT bezpečnosti)
0 %
5 %
10 %
15 %
20 %
25 %
30 %
35 %
40 %
Kdo je zodpovědný za aplikační
bezpečnost?
Zdroj: SANS Survey on Application
Security Programs and Practices

14. www.corpus.cz
DŮVODYPROIMPLEMENTACI PROCESU APLIKAČNÍ BEZPEČNOSTI
44
11 11 10.5 10.5 9
18
11.5
18
14
16.5 16
13
17.5 17
10.5 11
22
0 %
5 %
10 %
15 %
20 %
25 %
30 %
35 %
40 %
45 %
50 %
Regulatorní
požadavky
Bezpečnost
jako
konkurenční
výhoda
Manažerské
rozhodnutí
Bezpečnostní
incidenty, které
u nás nastaly
Požadavky
zákazníků
Bezpečnostní
incidenty u
ostatních
organizací
Drivery pro aplikační bezpečnost
Primární driver Sekundární driver Terciární driver
Primární drivery v regulatorních
požadavcích
• PCI DSS (62%)
• HIPAA (42%)
• SOX (41%)
Překážky v implementaci
• Nedostatek financování a
managementu
• Identifikace aplikací v portfoliu
• Nedostatečná spolupráce
komunikace) mezi týmem
týmem a vývojem
• Lidé, zdroje, legacy kód
Zdroj: SANS Survey on Application
Security Programs and Practices

15. www.corpus.cz
ÚTOKYNAWEBOVÉ APLIKACE
Průmyslové segmenty, kategorie útoků a adekvátní opatření
Opatření proti útokům na
webové aplikace (dle TOP
20 SANS Controls)
• Standardní konfigurace
(3.2)
• Bezpečný vývoj (6.4, 6.7,
6.11)
• Ochrana perimetru (13.7)
Zdroj: 2014 DATA BREACH
INVESTIGATIONS REPORT

16. www.corpus.cz
RIZIKA ZRANITELNOSTÍ APLIKAČNÍ BEZPEČNOSTI
OWASP Top 10 zranitelnosti
Zranitelnost Vektor útoku Rozšíření Odhalitelnost Dopad
SQL injection Jednoduchý Běžné Průměrná Závažný
Broken Authentication and Session Mgmt. Průměrný Široké Průměrná Závažný
Cross site scripting (XSS) Průměrný Velmi široké Jednoduchá Střední
Insecure direct Object Reference Jednoduchý Běžné Jednoduchá Střední
Security Misconfigurations Jednoduchý Běžné Jednoduchá Střední
Sensitive Data Exposure Obtížný Výjimečné Průměrná Závažný
Missing Function Level Access Control Jednoduchý Běžné Průměrná Průměrný
Cross-Site Request Forgery (CSRF) Průměrný Běžné Jednoduchá Průměrný
Using Components with Known Vulnerabilities Průměrný Široké Obtížná Průměrný
Unvalidated Redirects and Forwards Průměrný Výjimečné Jednoduchá Průměrný
Pro útočníka
snadný/lákavý
vektor
Pro útočníka obtížný
vektor

17. www.corpus.cz
APLIKAČNÍ ZRANITELNOSTI
Top zranitelnosti a pravděpodobnosti jejich výskytu
Pravděpodobnost výskytu zranitelnosti v aplikaci
1. Session Management 79%
2. XSS 59%
3. Autentizace & Autorizace 57%
4. Web server 43%
5. Information Leakage 37%
6. CSRF 22%
7. SQLi 19%
Zdroj: CENZIC Application Vulnerability Trends Report : 2014

18. www.corpus.cz
TECHNOLOGIE PROAPLIKAČNÍ BEZPEČNOST
Specifikace klíčových technologií pro aplikační bezpečnost u předních organizací
Nasazení preferovaných
technologií
1.Source code review (manual)
59%
2.Source code analysis and
verification (static) 55%
3.Software security testing tools
52%
4.Secure software development
tools 48%
5.Source code analysis and
verification (dynamic) 43%
(Aberdeen Group 2010)

19. www.corpus.cz
OBRANNÉ NÁSTROJE
Kombinace bezpečnostních opatření – procesy i technologie
Skladba opatření
• Zavedení procesu bezpečného
• Procesy S-SDLC
• Testování aplikací
• Vulnerability scanning (VS - hledání
• Dynamická analýza (DAST) +
• Statická analýza kódu (SAST) + Code
• Bezpečné API v případě publikovaných
• Webové aplikační firewally
• Nejlépe kombinace výše uvedeného
Vývojáři
Aplikace, informační
systémy a DBs
Otevřené
bezpečné API
SDLC
Publikování
Bezpečný vývoj
(S-SDLC)
Bezpečnostní
povědomí
Testování
aplikací

20. www.corpus.cz
OBRANNÉ NÁSTROJE
Bezpečný vývoj aplikací (OWASP, INFOSEC)

21. www.corpus.cz
OBRANNÉ NÁSTROJE
Analýza zdrojových kódů
Ověřování bezpečnosti aplikačního kódu …..
• SAST (Static Application Security Testing)
• Analyzuje se zdrojový kód aplikace, bytekód nebo binární
kód ve fázi programování nebo testování (zevnitř)
• DAST (Dynamic Application Security Testing)
• Analyzuje aplikace za běhu simulací útoků na webaplikace a
analyzuje reakce (zvenku)
• IAST (Interactive Application Security Testing)
• Kombinace SAST a DAST
• Manuální security code review
Analýza
Quality Gates,
Bug Bars
Návrh
Least Privileges,
Defense in Depth
Vývoj
SAST, Pentest,
Manual CODR
Test
DAST, VAS
Nasazení
Server & Network
config, IncResp

22. www.corpus.cz
OBRANNÉ NÁSTROJE
Testování zranitelností, aplikační firewally a bezpečné API
Existuje několik způsobů ochrany
• Webové aplikační firewally
• Řešení chránící web aplikaci s pomocí sady
použitých na HTTP komunikaci
• Vulnerability scannery
• Automatizované nástroje určené k detekci
zranitelností infrastrukturních systémů,
a databází
• Bezpečné API v případě publikovaných
• Řešení pro organizace poskytující přístup
službám prostřednictvím API rozhraní (pro
vývojáře, mobilní aplikace, cloudové
zařízení (IoT)

23. www.corpus.cz
STANDARDYABESTPRACTICES
Role aplikační bezpečnosti v IT bezpečnosti
• ISO/IEC 27034:2011+ Information technology — Security techniques
— Application security
• OWASP Comprehensive, Lightweight Application Security Process
(CLASP), OWASP – TOP 10, Development Guide, Code Review Guide,
Application Security Verification Standard (ASVS), Enterprise Security
• NIST SP 800-64 Rev2 Security Considerations in the Information System
Development Life Cycle
• CWE/SANS TOP 25 Most Dangerous Software Errors
• Microsoft Security Development Lifecycle
• Building Security In Maturity Model (BSIMM) - Software Security
Framework (SSF)
• OASIS – Security Assertion Markup Language (SAML)
• Build Security In – komplexní Software Assurance
• WASC - Web Application Security Consortium

24. www.corpus.cz
DOPORUČENÍ ZÁVĚREM
Jak vybudovat efektivní strategii aplikační bezpečnosti
Best Practices (CLASP OWASP)
1.Institute awareness programs
2.Perform application assessments
3.Capture security requirements
4.Implement secure development
practices
5.Build vulnerability remediation
procedures
6.Define and monitor metrics
7.Publish operational security
guidelines
• Identifikace aplikačního portfolia
• Identifikace největších rizik
• Jasná odpovědnost za aplikační bezpečnost (vlastnictví procesu)
• Strategie aplikační bezpečnosti dle kategorií aplikací
• Odstraňování zranitelností s ohledem na výši rizika jako funkce dopadu a
pravděpodobnosti hrozby (prioritizace zranitelností)
• Trénink vývojářů
• Komunikace mezi ICT bezpečností, provozním týmem a vývojáři
• Měření a monitoring incidentů, času a nákladů na odstranění slabin => business

25. www.corpus.cz
TECHNICKÁ ČÁST
Secure Code is
Good Code !

26. www.corpus.cz
Procesní zajištění bezpečnéhovývojeaplikací
Bez kvalitního procesu to nejde
Kvalitní proces
Dokumentovaný – co se má dělat,
co se dělá
Dodržovaný – pro všechny
produkty/aplikace optimálně
shodně, optimálně společné EA
vedení
Zahrnující klíčové činnosti a
milníky
Obohacen o bezpečnostní
záležitosti

27. www.corpus.cz
Jaksprávně implementovat bezpečnost doSDLC
Kdy začít? Včera! 
• Bezpečnost musí být brána v potaz již během návrhu
• Tradiční přístup – testovat pozdě v rámci vývojového cyklu –
nefunguje (dnes) ani pro funkční testy
• Nejlepší výsledky s plnou integrací do Agilního procesu s
kontinuální integrací (Continuous Integration) – všechno je na
webu – netřeba instalace, servery apod.
Možnosti implementace AST řešení do procesu
SDLC:
1. Jednorázový auditní scan
2. Analýza prováděna manuálně
3. Analýza prováděna systematicky, součást
procesu vedoucího k release
4. Analýza plně integrovaná do SDLC

28. www.corpus.cz
Integracebezpečnosti dovývojovéhocyklu
Rozšíření standardního SDLC
Požadavky
Identifikace
požadavků na
bezpečnost
Definice
Quality Gates
Analýza
splnění
požadavků
Návrh
Identifikace
požadavků na
design aplikace
Analýza škály
útoků a jejich
minimalizace
Modelování
hrozeb
Implementace
Použití
schválených
nástrojů
Best practice
postupy
(školení)
Statická
analýza
Testování
Dynamická
analýza
Komplexní QA
Revize scénářů
útoků
Release
Kontrola kvality
kódu třetích
stran
Ověření
dosažení
Quality Gates

29. www.corpus.cz
Modelováníhrozeb(Threat Modeling)
Příklad důležité komponenty procesu bezpečného vývoje aplikací
• Analýza designu k určení možných způsobů útoku
• Používá Data Flow Diagramy různých úrovní
detailu
• Použití v:
• Tradičním vývojovém procesu – fáze Design
• Agilním procesu – každý sprint
Vytvoření
diagramu
Identifikace
hrozeb
Ochranná
opatření
Ověření

30. www.corpus.cz
Modelováníhrozeb(Threat Modeling)
Data Flow Diagram
Interaktor Proces Datový
tok
Úložiště dat Hranice důvěry
AdministraceZpětná vazba
Administrátor
Aplikace
Uživatel
Zpětná vazbaPoužívání
aplikace

31. www.corpus.cz
Modelováníhrozeb(ThreatModeling)
Analýza hrozeb (STRIDE)
Hrozba Obrana
Spoofing (podvržení) autentikace
Tampering (změnění) integrita
Repudiation (popření) nepopiratelnost
Information Disclosure (získání informací) tajnost
Denial of Service (znepřístupnění služby) dostupnost
Elevation of Privilege (elevace oprávnění) autorizace
Komponent S T R I D E
Interaktor X X
Proces X X X X X X
Datové úložiště X ? X X
Datový tok X X X
Aplikovatelnost hrozeb

32. www.corpus.cz
Modelováníhrozeb(ThreatModeling)
Microsoft Threat Modeling Tool 2014
https://www.youtube.com/watch?v=G2reie1skGg

33. www.corpus.cz
AST 2014
Metodytestování bezpečnostiaplikace(AST)
Definice dle Gartner
 DAST –Testování běžící aplikace – „Penetrační testování“ (Black Box
testing)
 SAST – Analýza zdrojového kódu (případně bajtkódu či spustitelného
kódu) (White Box testing)
 IAST – Testování běžící aplikace s informacemi „zevnitř“
 RASP – IAST běžící s aplikací v produkčním režimu. Aktivně brání zneužití
zjištěných útoků/slabin.

34. www.corpus.cz
Metodytestování bezpečnostiaplikace(AST)
Výhody a nevýhody metod
 DAST
 Výhody – snadné spuštění
 Nevýhody – malé pokrytí, málo nálezů, podpora hlavně webových aplikací
 SAST
 Výhody – analýza veškerého kódu, dlouhodobě vede ke zkvalitnění práce
týmu, odhalení problému brzy ve vývojovém cyklu
 Nevýhody – často množství false-positive, náročné na čas
 IAST
 Výhody - potvrzené praktické nálezy
 Nevýhody – malé pokrytí, podpora hlavně webových aplikací
 RASP
 Výhody – zabránění zneužití slabin v reálném nasazení, nasazení na hotovou
aplikaci
 Nevýhody – mladá technologie, podpora hlavně webových aplikací, nezvýší
kvalitu kódu
Issue Pen-Testing Manual Code SAST
SDLC No No Yes
Coverage -
Types
Low Low Full
Detection Low Low 1:6 Client
1:24 Server
FN Very high Very High Very low
Mitigation Difficult Easy/ partial Easy/
Optimized
Optimization No No High

35. www.corpus.cz
Způsobyprováděnítestů
Provoz aplikace nebo služby?
 Nainstalovaným systémem (on-
premise)
 Výhody – systém plně pod kontrolou,
často největší možnosti přizpůsobení a
integrace
 Nevýhody – náročné na lidské zdroje
(kompetence a čas), vysoké počáteční
investice
 In cloud / As a service
 Výhody – snadné spouštění testů, přístup
k know-how dodavatele, nízké počáteční
investice
 Nevýhody – omezené možnosti
přizpůsobení a integrace, poslání
zdrojových kódů ven z organizace

36. www.corpus.cz
Dalšívlastnosti amožnosti systémůAST
 Analýza komponent třetích stran
 Propojení se systémy pro evidenci
problémů, pro sledování zranitelností a
událostí (např. SIEM), systémy DAST apod.
 Podpora různých run-time prostředí –
programovací jazyky, knihovny, frameworky,
build systémy, source control repository,
vývojová prostředí (IDE)
 Certifikace aplikací či dodavatelů

37. www.corpus.cz
FaktoryovlivňujícívolbuSAST
 Role v procesu práce s SAST (přichází v úvahu částečně pokrýt externě)
 Vývojář
 Bezpečnostní analytik/auditor
 Správce buildu
 Správce SAST řešení
 Technické vlastnosti analyzovaných projektů
 Programovací jazyk a prostředí, IDE
 Frameworky, knihovny
 Source control systém (CVS, SVN, Git…)
 Build, deployment systém (make, msbuild, Ant, Maven, Jenkins, TeamCity..)
 Systém používáte pro řízení projektu/práce, bug-tracking (JIRA, RTC…)
 Evidence používaných produktů třetích stran (knihovny, databáze…)
 Velikost projektu (počet řádků, počet vývojářů)

38. www.corpus.cz
DEMONSTRACE SASTNÁSTROJE

39. www.corpus.cz
CheckMarx CxSuite
Ukázka
 Zranitelnost Stored XSS v demo PHP
Web aplikaci WackoPicko– získání
session a přihlášení jako jiný uživatel

 Ukázka spuštění analýzy a výsledků,
oprava, opětovná analýza, ověření.

40. www.corpus.cz
StoredXSS
 XSS – Cross Site Scripting
 Útok způsobí nevyžádané spuštění závadného Javascript kódu v prohlížeči
 Nejčastěji je cílem získat cookie, identitu uživatele
 Získání cookie často probíhá prostřednictvím skrytého přistoupení na další stránku, kde
se cookie ukládají pro další využití
 Druhy:
 Reflected XSS – útok postranními kanály, např. přes email či link na jiné stránce
 Stored XSS – útok prostřednictvím permanentního modifikování stránky, na kterou se útočí -
nebezpečnejší

41. www.corpus.cz
IBMSecurityAppScanSource
Ukázka
 Zranitelnost SQL injection v demo Java
web aplikaci bodgeit – získání DB pomocí
nástroje sqlmap
 Ukázka spuštění analýzy a výsledků,
oprava, ověření.

42. www.corpus.cz
SQLInjection
 Útok způsobí spuštění jiného než zamýšleného SQL dotazu na serveru
 Umožněn nedostatečnou validací dat z formulářů
 Možnosti využít k:
 přihlášení bez znalosti hesla
 nezřídka lze spustit takřka libovolný SQL dotaz – i destruktivní či měnící data
 získání informací, včetně legitimního přihlašovacích údajů či citlivých dat

43. IBM AppScan
Security Source
Představení nástroje IBM Security
AppScan Source pro analýzu
bezpčenosti kódu
K

44. www.corpus.cz
 IBM Security AppScan
 AppScan Source – SAST
 AppScan, AppScan Standard – DAST, IAST zdarma s Glass box agent
technologií
 AppScan Enterprise Server
 IBM Security QRadar
 IBM Security Access Manager (WAF)
 Partnerství a integrace s Arxan Application Protection (forma RASP)
 Další integrovatelné IBM produkty mimo security portfolio – Rational brand,
kooperace (Team Concert), práce s defekty (ClearQuest)
 Integrovatelnost s top produkty jiných výrobců jak z bezp. tak vývojové
oblasti (HP QC/ALM)
IBMSecurity
Portfolio

45. www.corpus.cz
 AppScan Source for Analysis
 Eclipse-based desktop tool
 Správa a konfigurace aplikací a skenů
 Integruje s AppScan Enterprise Server
 Integrace s Defect trackingem - IBM ClearQuest, HP QC, IBM RTC,
Microsoft Team Foundation Server
 AppScan Source for Automation
 Integrace s build prostředím (Ant, Make a Maven, CLI pro jiné integrace
(např. Microsoft Team Foundation Server, Jenkins))
 AppScan Source for Remediation/Development
 IDE plugin (Eclipse, Visual Studio, IBM RAD)
 Práce s nálezy, verze Development i spouštění skenů
 AppScan Enterprise Server
 Centrální bod – autentikace, ukládání definic aplikací, výsledků skenů,
generování reportu, sledování vývoje v čase
 Propojení s dalšími produkty (AppScan Standard)
IBMSecurityAppScanSource
Portfolio
Source for Remediation
(IDE)
Source for Analysis
(thick client)
Source for Developer
(IDE)
Enterprise Reporting
(web)
Source
for
Automat
ion
Server
Components
Enterprise Server
 unlimited concurrent users
$119,400
Clients/Users
Dynamic
Analysis
Scanner
Enterprise
Dynamic Analysis User
(web)
AppScan Enterprise Server
Central Server for both
AppScan Dynamic & Source
Editions
AppScan
Standard
(Desktop tool)
•SAST
•Static Analysis
•Source Code
•Whitebox
Scanning
•DAST
•Dynamic
Analysis
•Blackbox
Scanning

46. www.corpus.cz
 Podporovaná prostředí/jazyky
 Android, Java, client-side JavaScript, JSP, ColdFusion, C, C++, .NET (C#, ASP.NET, VB.NET), PHP, Perl, PL/SQL, T/SQL, COBOL
 Široká podpora aplikačních prostředí a knihoven
 Detekce zranitelností dle standardů
 NIST, OWASP, CVE/CWE, PCI DSS
 Techniky analýzy
 Data flow analysis, Control flow analysis, Inter /intraprocedural analysis, Contextual analysis, Pattern-based semantic analysis
Vlastnosti IBMAppScantechnologie

47. www.corpus.cz
 Útoky s velkým dopadem jsou často velmi snadné
 Existují nástroje, které řadu chyb odhalí a pomohou odstranit
 Komerční nástroje mají výrazně kvalitnější detekci, menší množství false-positive, podpora výrobce jak pro SW
tak leckdy i při analýze
 Optimální je testovat více způsoby a testování integrovat do rutinního procesu
 Zranitelnosti nejen ve vlastním kódu, ale i knihovnách či back-end systémech
 Bezpečnost musí ovlivňovat již návrh, architekturu aplikace (analýza hrozeb)
 Každý architekt, vývojář i tester musí mít základní znalosti o útocích (školení)
 Při nedostatku vlastních kvalifikovaných pracovníků i z jiných důvodů lze bezpečnost částečně delegovat na
partnery
Závěrem

48. Uvidíme se příště!
Vám
Děkujeme
za pozornost