Bezpečnost aplikací se stává jednou z klíčových obav bezpečnostních manažerů a získává výsadní místo v kontextu celkové ICT bezpečnosti. Společnost Corpus Solutions uspořádala seminář na téma Moderní principy aplikační bezpečnosti, kde byly diskutovány některé ožehavé otázky - Jak aplikační bezpečnost pomáhá chránit business? Dokáže bezpečnost aplikací generovat business přínosy a ušetřit finanční zdroje? Proč byste se měli zabývat aplikační bezpečností a jaké jsou současné standardy?
V rámci semináře byl představen komplexní pohled na tuto problematiku včetně technických nástrojů, které pomáhají posunout aplikační bezpečnost na kvalitativně novou úroveň. Obsah semináře můžete prostřednictvím prezentace shlédnout I vy.
2. www.corpus.cz
MODERNÍPRINCIPY APLIKAČNÍ BEZPEČNOSTI
Jak aplikační bezpečnost pomáhá chránit business
Aplikační ekonomie
Trendy a stav aplikační bezpečnosti
Dopady podcenění bezpečnosti aplikací
Útoky a jejich motivace
Cíle a přínosy aplikační bezpečnosti
Obranné nástroje – procesy i technologie
3. www.corpus.cz
DIGITÁLNÍ EKONOMIKA AVÝZNAMAPLIKACÍ
Budoucnost v aplikacích
• Business spoléhá na aplikace ve
stále větší míře – digitalizace
• Cloud, dostupnost, mobilita
• Angažování zákazníků
• Přístup k aplikacím více kanály
• Internet of Things
• Ekosystém vývojářů
• Tlak na rychlý vývoj zvyšuje rizika
zranitelností (vývojáři nemají čas
věnovat se bezpečnosti – prodlužuje
to vlastní vývoj)
13 %
31 %
37 %
15 %
5 %
0 %
10 %
20 %
30 %
40 %
Extrémní
dopad
Velký dopad Střední dopad Mírný dopad Bez dopadu
Jak vnímáte dopad aplikační ekonomie
ve své organizaci?
Zdroj: CA Survey How to Survive
and Thrive in the Application Economy
6 %
19 %
60 %
60 %
0 10 20 30 40 50 60 70
Ne
Ano, příjmové deficity
Ano, konkureční aktivity
Ano, vyžaduje to poptávka zákazníků
Čelíte většímu tlaku na rychlejší vývoj
nových aplikací a proč?
4. www.corpus.cz
DIGITÁLNÍ EKONOMIKA AVÝZNAMAPLIKACÍ
Faktory ovlivňující význam aplikační bezpečnosti
• Nárůst podílu aplikací vytvářených in-
house
• Bezpečnost jako překážka v době
aplikační ekonomie
• Dovednosti softwarového vývoje se stávají
součástí podnikové DNA
• ¾ firem plánuje akvizice firem v software
software vývoji
• Vedoucí organizace z pohledu business
výkonů (revenue, zisk, nové zakázky)
• Osvojují si přístup DevOps
• Využívají bezpečnost jako „business
enabler“
• Řízení IT dle business iniciativy
• Osvojují si celopodnikový přístup k aplikační
mobilitě
Zdroj: CA Survey How to Survive
and Thrive in the Application Economy
3 %
7 %
17 %
23 %
24 %
25 %
26 %
27 %
35 %
37 %
0 5 10 15 20 25 30 35 40
Není pro to potřeba
Nejsou překážky
Další důležitější projekty
Příliš obtížné změnit strategii společnosti
Kultura to nebude podporovat
Nedostatečné pochopení přínosů managementem
Nedostatek znalostí a dovedností
Nedostatek zdrojů
Obavy o bezpečnost
Rozpočtová omezení
Jaké jsou pro vás překážky v úspěšné adaptaci na
aplikační ekonomii, tj. v dosažení lepších zdatností v
SW vývoji?
5. www.corpus.cz
TRENDYITBEZPEČNOSTI 2015
Hybné síly pro aplikační bezpečnost
• Business a technologie
• Změny obchodních přístupů
• inovace produktů a služeb formuje IT
technologie a tedy i bezpečnost
• Zranitelnosti produktů a služeb
• Bezpečnostní hrozby
• Regulatorní požadavky
Zdroj: 2014 Trends That Will Reshape
Organizational Security
6. www.corpus.cz
DOPADYTRENDŮDOBEZPEČNOSTNÍCH OPATŘENÍ
Monitoring a přehled o dění v IT infrastruktuře
• Hlubší vhled a kontrola nad koncovými body (rozmanitost
zařízení => uživatelé i DC)
• Rozšíření bezpečnostního perimetru (VDC)
• Větší poptávka po šifrování dat
• Širší integrace aplikační bezpečnosti do standardních
opatření (cloud, CDN, performance management)
• Širší využití hardwarově akcelerované SSL dekrypce
(globální monitoring komunikací)
• Zvýšení poptávky po testování bezpečnosti produktů
produktů před jejich nákupem (APT, backdoors)
Od prevence incidentů k reakcím na
incidenty
Managed security
Cloud security
Od bezpečnostních technologií k
bezpečným platformám
Bezpečnost koncových bodů
7. www.corpus.cz
MÝTYAPLIKAČNÍ BEZPEČNOSTI
„Aplikační bezpečnost? Není to problém síťařů?“
• Prošli jsme PCI/SOX auditem, jsme „compliant“, takže máme bezpečné
aplikace
• Neměli jsme až doteď žádný bezpečnostní incident (nebo nespadáme pod
audit)
• Síťové obranné prvky nás chrání dostatečně (např. aplikační firewally)
• Útočníci atakují platformy a široce používané aplikace. Nebudou se zabývat
naším proprietárním softwarem
• Penetrační testy/scanner zdrojových kódů odhalí všechny bezpečnostní
zranitelnosti
• Softwarová bezpečnost není měřitelná, takže chybí business case. Režie na
softwarovou bezpečnost zcela ochromí vývojový tým a je proto nákladná.
• Dodavatelské firmy vyvíjejí bezpečný software. Pokud ne, bývá nemožné
začlenit bezpečnostní kvalitu do smluv o vývoji.
• CSO: „Skupina vývoje aplikací se stará o bezpečnost“; CTO: „Skupina IT
bezpečnosti se stará o bezpečnost našich aplikací. Oni jsou experti.“
8. www.corpus.cz
DŮSLEDKY PODCENĚNÍ BEZPEČNOSTI APLIKACÍ
Tlak na rychlý vývoj zvyšuje rizika aplikačních zranitelností
• Ztráta příjmu nebo pokles výroby kvůli
nedostupnosti výrobních zdrojů
• Významný čas a úsilí potřebné k obnově
původního stavu po bezpečnostním incidentu
• Právní důsledky a výlohy
• Poškození značky
• Porušení souladu s regulatorními požadavky
• Porušení ochrany osobních údajů
• Poškození obchodních vztahů mezi klienty a
prodejci
• Ztráta duševního vlastnictví, konkurenční
výhody nebo proprietárních informací
• Nerealizovaný zisk kvůli nemožnosti prokázat
klientům, prodejcům a partnerům silný
bezpečnostní proces
9. www.corpus.cz
PROČSEOBÁVAT?
Výchozí bezpečnostní situace
• Kyberkriminalita a hacktivismus jsou dominantními
motivacemi útočníků
• 75 % útoků je vedeno na aplikační vrstvu (Gartner)
• 95 % web aplikací obsahuje nějakou zranitelnost
(Imperva)
• 78 % jednoduše zneužitelných slabin je ve webové
aplikaci (Symantec)
• 67 % webových stránek použitých k distribuci
malware jsou legitimní kompromitované stránky
(Symantec)
• Nejčastější vzory klasifikovaných incidentů (Verizon
DBR 2011 - 2013)
• POS průniky – 31%
• Útoky na webové aplikace – 21%
• Kyberšpionáž – 15%
25%
21%
11%
9%
10%
8%
5%
11%
TECHNIKY ÚTOKŮ
ÚNOR 2015
SQLi Neznámé Zcizení účtu Defacement
Cílený útok DDoS Malware Ostatní
Zdroj:
Hackmaggedon
10. www.corpus.cz
MOTIVACE ÚTOČNÍKŮ
Rizikové aplikace
KLÍČOVÝ FAKTOR OVLIVŇUJÍCÍ
PRAVDĚPODOBNOST, ŽE ZRANITELNOST
BUDE ZNEUŽITA JE OBTÍŽNOST A
NÁKLADNOST PRO ÚTOČNÍKA VYVINOUT
SPOLEHLIVÝ EXPLOIT.
52
11 9 10
6
15
22
18 16
79
16
11
15
8
0
10
20
30
40
50
60
Zákaznické aplikace Zaměstnanecké /
partnerské portály
Aplikace mobilní/na
koncových zařízeních
Databázové /CRM
aplikace
Cloud /SaaS aplikace
Typy aplikací dle bezpečnostního rizika
1.st.rizika 2.st.rizika 3.st.ritika
Zdroj: SANS Institute
11. www.corpus.cz
CÍLAPLIKAČNÍ BEZPEČNOSTI
Aplikační bezpečnost je řízený proces, ne technologie
Co vyžaduje aplikační bezpečnost ?
Lidé (QA, vývoj,
architekti,…)
• Trénink
• Organizace
Procesy
• Řízení rizik
• SDLC
• Guidelines
• Verification
Technologie
• Nástroje
• Vývoj
• Frameworky
12. www.corpus.cz
PŘÍNOSYAPLIKAČNÍ BEZPEČNOSTI
Kde pomáhá aplikační bezpečnost?
• Plnění požadavků koncových zákazníků na bezpečnost (ochrana osobních dat
klientů) a zajištění souladu (compliance), pokrytí minimálně akceptovatelného rizika
• Investice do softwarové bezpečnosti snižují náklady na opravy aplikačních
zranitelností v budoucnu
• SDLC, vzdělávání vývojářů a použití programovacích standardů zefektivní projekty,
sníží náklady na management zranitelností a na zajištění souladu
• Kontrola kvality a bezpečnosti dodávaných aplikací třetími stranami
• Zachování reputace díky cílené, rychlejší a preventivní kontrole
• Zlepšení spolupráce mezi vývojovým, bezpečnostním a infrastrukturním týmem
Menší množství
bezpečnostních incidentů,
auditních nedostatků a
rychlejší opravy výrazně
převyšují celkové roční
náklady vynaložené na
iniciativy v rámci aplikační
bezpečnosti
(Aberdeen Group, Security and the
Software Development
Lifecycle: Secure at the Source)
13. www.corpus.cz
ADRESÁTI APLIKAČNÍ BEZPEČNOSTI
Kdo je zodpovědný za aplikační bezpečnost?
Výsledky dotazování CISO
manažerů 2013: Top 5
identifikovaných rizik
• Nedostatek vědomostí o
plynoucích z aplikační
danou organizaci
• Riziko nebezpečného
• Nedostatečné testovací
• Nedostatečný rozpočet pro
iniciativ aplikační bezpečnosti
• Lidské zdroje (nedostatek
IT bezpečnosti)
0 %
5 %
10 %
15 %
20 %
25 %
30 %
35 %
40 %
Kdo je zodpovědný za aplikační
bezpečnost?
Zdroj: SANS Survey on Application
Security Programs and Practices
14. www.corpus.cz
DŮVODYPROIMPLEMENTACI PROCESU APLIKAČNÍ BEZPEČNOSTI
44
11 11 10.5 10.5 9
18
11.5
18
14
16.5 16
13
17.5 17
10.5 11
22
0 %
5 %
10 %
15 %
20 %
25 %
30 %
35 %
40 %
45 %
50 %
Regulatorní
požadavky
Bezpečnost
jako
konkurenční
výhoda
Manažerské
rozhodnutí
Bezpečnostní
incidenty, které
u nás nastaly
Požadavky
zákazníků
Bezpečnostní
incidenty u
ostatních
organizací
Drivery pro aplikační bezpečnost
Primární driver Sekundární driver Terciární driver
Primární drivery v regulatorních
požadavcích
• PCI DSS (62%)
• HIPAA (42%)
• SOX (41%)
Překážky v implementaci
• Nedostatek financování a
managementu
• Identifikace aplikací v portfoliu
• Nedostatečná spolupráce
komunikace) mezi týmem
týmem a vývojem
• Lidé, zdroje, legacy kód
Zdroj: SANS Survey on Application
Security Programs and Practices
15. www.corpus.cz
ÚTOKYNAWEBOVÉ APLIKACE
Průmyslové segmenty, kategorie útoků a adekvátní opatření
Opatření proti útokům na
webové aplikace (dle TOP
20 SANS Controls)
• Standardní konfigurace
(3.2)
• Bezpečný vývoj (6.4, 6.7,
6.11)
• Ochrana perimetru (13.7)
Zdroj: 2014 DATA BREACH
INVESTIGATIONS REPORT
16. www.corpus.cz
RIZIKA ZRANITELNOSTÍ APLIKAČNÍ BEZPEČNOSTI
OWASP Top 10 zranitelnosti
Zranitelnost Vektor útoku Rozšíření Odhalitelnost Dopad
SQL injection Jednoduchý Běžné Průměrná Závažný
Broken Authentication and Session Mgmt. Průměrný Široké Průměrná Závažný
Cross site scripting (XSS) Průměrný Velmi široké Jednoduchá Střední
Insecure direct Object Reference Jednoduchý Běžné Jednoduchá Střední
Security Misconfigurations Jednoduchý Běžné Jednoduchá Střední
Sensitive Data Exposure Obtížný Výjimečné Průměrná Závažný
Missing Function Level Access Control Jednoduchý Běžné Průměrná Průměrný
Cross-Site Request Forgery (CSRF) Průměrný Běžné Jednoduchá Průměrný
Using Components with Known Vulnerabilities Průměrný Široké Obtížná Průměrný
Unvalidated Redirects and Forwards Průměrný Výjimečné Jednoduchá Průměrný
Pro útočníka
snadný/lákavý
vektor
Pro útočníka obtížný
vektor
17. www.corpus.cz
APLIKAČNÍ ZRANITELNOSTI
Top zranitelnosti a pravděpodobnosti jejich výskytu
Pravděpodobnost výskytu zranitelnosti v aplikaci
1. Session Management 79%
2. XSS 59%
3. Autentizace & Autorizace 57%
4. Web server 43%
5. Information Leakage 37%
6. CSRF 22%
7. SQLi 19%
Zdroj: CENZIC Application Vulnerability Trends Report : 2014
18. www.corpus.cz
TECHNOLOGIE PROAPLIKAČNÍ BEZPEČNOST
Specifikace klíčových technologií pro aplikační bezpečnost u předních organizací
Nasazení preferovaných
technologií
1.Source code review (manual)
59%
2.Source code analysis and
verification (static) 55%
3.Software security testing tools
52%
4.Secure software development
tools 48%
5.Source code analysis and
verification (dynamic) 43%
(Aberdeen Group 2010)
19. www.corpus.cz
OBRANNÉ NÁSTROJE
Kombinace bezpečnostních opatření – procesy i technologie
Skladba opatření
• Zavedení procesu bezpečného
• Procesy S-SDLC
• Testování aplikací
• Vulnerability scanning (VS - hledání
• Dynamická analýza (DAST) +
• Statická analýza kódu (SAST) + Code
• Bezpečné API v případě publikovaných
• Webové aplikační firewally
• Nejlépe kombinace výše uvedeného
Vývojáři
Aplikace, informační
systémy a DBs
Otevřené
bezpečné API
SDLC
Publikování
Bezpečný vývoj
(S-SDLC)
Bezpečnostní
povědomí
Testování
aplikací
21. www.corpus.cz
OBRANNÉ NÁSTROJE
Analýza zdrojových kódů
Ověřování bezpečnosti aplikačního kódu …..
• SAST (Static Application Security Testing)
• Analyzuje se zdrojový kód aplikace, bytekód nebo binární
kód ve fázi programování nebo testování (zevnitř)
• DAST (Dynamic Application Security Testing)
• Analyzuje aplikace za běhu simulací útoků na webaplikace a
analyzuje reakce (zvenku)
• IAST (Interactive Application Security Testing)
• Kombinace SAST a DAST
• Manuální security code review
Analýza
Quality Gates,
Bug Bars
Návrh
Least Privileges,
Defense in Depth
Vývoj
SAST, Pentest,
Manual CODR
Test
DAST, VAS
Nasazení
Server & Network
config, IncResp
22. www.corpus.cz
OBRANNÉ NÁSTROJE
Testování zranitelností, aplikační firewally a bezpečné API
Existuje několik způsobů ochrany
• Webové aplikační firewally
• Řešení chránící web aplikaci s pomocí sady
použitých na HTTP komunikaci
• Vulnerability scannery
• Automatizované nástroje určené k detekci
zranitelností infrastrukturních systémů,
a databází
• Bezpečné API v případě publikovaných
• Řešení pro organizace poskytující přístup
službám prostřednictvím API rozhraní (pro
vývojáře, mobilní aplikace, cloudové
zařízení (IoT)
23. www.corpus.cz
STANDARDYABESTPRACTICES
Role aplikační bezpečnosti v IT bezpečnosti
• ISO/IEC 27034:2011+ Information technology — Security techniques
— Application security
• OWASP Comprehensive, Lightweight Application Security Process
(CLASP), OWASP – TOP 10, Development Guide, Code Review Guide,
Application Security Verification Standard (ASVS), Enterprise Security
• NIST SP 800-64 Rev2 Security Considerations in the Information System
Development Life Cycle
• CWE/SANS TOP 25 Most Dangerous Software Errors
• Microsoft Security Development Lifecycle
• Building Security In Maturity Model (BSIMM) - Software Security
Framework (SSF)
• OASIS – Security Assertion Markup Language (SAML)
• Build Security In – komplexní Software Assurance
• WASC - Web Application Security Consortium
24. www.corpus.cz
DOPORUČENÍ ZÁVĚREM
Jak vybudovat efektivní strategii aplikační bezpečnosti
Best Practices (CLASP OWASP)
1.Institute awareness programs
2.Perform application assessments
3.Capture security requirements
4.Implement secure development
practices
5.Build vulnerability remediation
procedures
6.Define and monitor metrics
7.Publish operational security
guidelines
• Identifikace aplikačního portfolia
• Identifikace největších rizik
• Jasná odpovědnost za aplikační bezpečnost (vlastnictví procesu)
• Strategie aplikační bezpečnosti dle kategorií aplikací
• Odstraňování zranitelností s ohledem na výši rizika jako funkce dopadu a
pravděpodobnosti hrozby (prioritizace zranitelností)
• Trénink vývojářů
• Komunikace mezi ICT bezpečností, provozním týmem a vývojáři
• Měření a monitoring incidentů, času a nákladů na odstranění slabin => business
26. www.corpus.cz
Procesní zajištění bezpečnéhovývojeaplikací
Bez kvalitního procesu to nejde
Kvalitní proces
Dokumentovaný – co se má dělat,
co se dělá
Dodržovaný – pro všechny
produkty/aplikace optimálně
shodně, optimálně společné EA
vedení
Zahrnující klíčové činnosti a
milníky
Obohacen o bezpečnostní
záležitosti
27. www.corpus.cz
Jaksprávně implementovat bezpečnost doSDLC
Kdy začít? Včera!
• Bezpečnost musí být brána v potaz již během návrhu
• Tradiční přístup – testovat pozdě v rámci vývojového cyklu –
nefunguje (dnes) ani pro funkční testy
• Nejlepší výsledky s plnou integrací do Agilního procesu s
kontinuální integrací (Continuous Integration) – všechno je na
webu – netřeba instalace, servery apod.
Možnosti implementace AST řešení do procesu
SDLC:
1. Jednorázový auditní scan
2. Analýza prováděna manuálně
3. Analýza prováděna systematicky, součást
procesu vedoucího k release
4. Analýza plně integrovaná do SDLC
28. www.corpus.cz
Integracebezpečnosti dovývojovéhocyklu
Rozšíření standardního SDLC
Požadavky
Identifikace
požadavků na
bezpečnost
Definice
Quality Gates
Analýza
splnění
požadavků
Návrh
Identifikace
požadavků na
design aplikace
Analýza škály
útoků a jejich
minimalizace
Modelování
hrozeb
Implementace
Použití
schválených
nástrojů
Best practice
postupy
(školení)
Statická
analýza
Testování
Dynamická
analýza
Komplexní QA
Revize scénářů
útoků
Release
Kontrola kvality
kódu třetích
stran
Ověření
dosažení
Quality Gates
29. www.corpus.cz
Modelováníhrozeb(Threat Modeling)
Příklad důležité komponenty procesu bezpečného vývoje aplikací
• Analýza designu k určení možných způsobů útoku
• Používá Data Flow Diagramy různých úrovní
detailu
• Použití v:
• Tradičním vývojovém procesu – fáze Design
• Agilním procesu – každý sprint
Vytvoření
diagramu
Identifikace
hrozeb
Ochranná
opatření
Ověření
31. www.corpus.cz
Modelováníhrozeb(ThreatModeling)
Analýza hrozeb (STRIDE)
Hrozba Obrana
Spoofing (podvržení) autentikace
Tampering (změnění) integrita
Repudiation (popření) nepopiratelnost
Information Disclosure (získání informací) tajnost
Denial of Service (znepřístupnění služby) dostupnost
Elevation of Privilege (elevace oprávnění) autorizace
Komponent S T R I D E
Interaktor X X
Proces X X X X X X
Datové úložiště X ? X X
Datový tok X X X
Aplikovatelnost hrozeb
33. www.corpus.cz
AST 2014
Metodytestování bezpečnostiaplikace(AST)
Definice dle Gartner
DAST –Testování běžící aplikace – „Penetrační testování“ (Black Box
testing)
SAST – Analýza zdrojového kódu (případně bajtkódu či spustitelného
kódu) (White Box testing)
IAST – Testování běžící aplikace s informacemi „zevnitř“
RASP – IAST běžící s aplikací v produkčním režimu. Aktivně brání zneužití
zjištěných útoků/slabin.
34. www.corpus.cz
Metodytestování bezpečnostiaplikace(AST)
Výhody a nevýhody metod
DAST
Výhody – snadné spuštění
Nevýhody – malé pokrytí, málo nálezů, podpora hlavně webových aplikací
SAST
Výhody – analýza veškerého kódu, dlouhodobě vede ke zkvalitnění práce
týmu, odhalení problému brzy ve vývojovém cyklu
Nevýhody – často množství false-positive, náročné na čas
IAST
Výhody - potvrzené praktické nálezy
Nevýhody – malé pokrytí, podpora hlavně webových aplikací
RASP
Výhody – zabránění zneužití slabin v reálném nasazení, nasazení na hotovou
aplikaci
Nevýhody – mladá technologie, podpora hlavně webových aplikací, nezvýší
kvalitu kódu
Issue Pen-Testing Manual Code SAST
SDLC No No Yes
Coverage -
Types
Low Low Full
Detection Low Low 1:6 Client
1:24 Server
FN Very high Very High Very low
Mitigation Difficult Easy/ partial Easy/
Optimized
Optimization No No High
35. www.corpus.cz
Způsobyprováděnítestů
Provoz aplikace nebo služby?
Nainstalovaným systémem (on-
premise)
Výhody – systém plně pod kontrolou,
často největší možnosti přizpůsobení a
integrace
Nevýhody – náročné na lidské zdroje
(kompetence a čas), vysoké počáteční
investice
In cloud / As a service
Výhody – snadné spouštění testů, přístup
k know-how dodavatele, nízké počáteční
investice
Nevýhody – omezené možnosti
přizpůsobení a integrace, poslání
zdrojových kódů ven z organizace
36. www.corpus.cz
Dalšívlastnosti amožnosti systémůAST
Analýza komponent třetích stran
Propojení se systémy pro evidenci
problémů, pro sledování zranitelností a
událostí (např. SIEM), systémy DAST apod.
Podpora různých run-time prostředí –
programovací jazyky, knihovny, frameworky,
build systémy, source control repository,
vývojová prostředí (IDE)
Certifikace aplikací či dodavatelů
37. www.corpus.cz
FaktoryovlivňujícívolbuSAST
Role v procesu práce s SAST (přichází v úvahu částečně pokrýt externě)
Vývojář
Bezpečnostní analytik/auditor
Správce buildu
Správce SAST řešení
Technické vlastnosti analyzovaných projektů
Programovací jazyk a prostředí, IDE
Frameworky, knihovny
Source control systém (CVS, SVN, Git…)
Build, deployment systém (make, msbuild, Ant, Maven, Jenkins, TeamCity..)
Systém používáte pro řízení projektu/práce, bug-tracking (JIRA, RTC…)
Evidence používaných produktů třetích stran (knihovny, databáze…)
Velikost projektu (počet řádků, počet vývojářů)
39. www.corpus.cz
CheckMarx CxSuite
Ukázka
Zranitelnost Stored XSS v demo PHP
Web aplikaci WackoPicko– získání
session a přihlášení jako jiný uživatel
Ukázka spuštění analýzy a výsledků,
oprava, opětovná analýza, ověření.
40. www.corpus.cz
StoredXSS
XSS – Cross Site Scripting
Útok způsobí nevyžádané spuštění závadného Javascript kódu v prohlížeči
Nejčastěji je cílem získat cookie, identitu uživatele
Získání cookie často probíhá prostřednictvím skrytého přistoupení na další stránku, kde
se cookie ukládají pro další využití
Druhy:
Reflected XSS – útok postranními kanály, např. přes email či link na jiné stránce
Stored XSS – útok prostřednictvím permanentního modifikování stránky, na kterou se útočí -
nebezpečnejší
42. www.corpus.cz
SQLInjection
Útok způsobí spuštění jiného než zamýšleného SQL dotazu na serveru
Umožněn nedostatečnou validací dat z formulářů
Možnosti využít k:
přihlášení bez znalosti hesla
nezřídka lze spustit takřka libovolný SQL dotaz – i destruktivní či měnící data
získání informací, včetně legitimního přihlašovacích údajů či citlivých dat
44. www.corpus.cz
IBM Security AppScan
AppScan Source – SAST
AppScan, AppScan Standard – DAST, IAST zdarma s Glass box agent
technologií
AppScan Enterprise Server
IBM Security QRadar
IBM Security Access Manager (WAF)
Partnerství a integrace s Arxan Application Protection (forma RASP)
Další integrovatelné IBM produkty mimo security portfolio – Rational brand,
kooperace (Team Concert), práce s defekty (ClearQuest)
Integrovatelnost s top produkty jiných výrobců jak z bezp. tak vývojové
oblasti (HP QC/ALM)
IBMSecurity
Portfolio
45. www.corpus.cz
AppScan Source for Analysis
Eclipse-based desktop tool
Správa a konfigurace aplikací a skenů
Integruje s AppScan Enterprise Server
Integrace s Defect trackingem - IBM ClearQuest, HP QC, IBM RTC,
Microsoft Team Foundation Server
AppScan Source for Automation
Integrace s build prostředím (Ant, Make a Maven, CLI pro jiné integrace
(např. Microsoft Team Foundation Server, Jenkins))
AppScan Source for Remediation/Development
IDE plugin (Eclipse, Visual Studio, IBM RAD)
Práce s nálezy, verze Development i spouštění skenů
AppScan Enterprise Server
Centrální bod – autentikace, ukládání definic aplikací, výsledků skenů,
generování reportu, sledování vývoje v čase
Propojení s dalšími produkty (AppScan Standard)
IBMSecurityAppScanSource
Portfolio
Source for Remediation
(IDE)
Source for Analysis
(thick client)
Source for Developer
(IDE)
Enterprise Reporting
(web)
Source
for
Automat
ion
Server
Components
Enterprise Server
unlimited concurrent users
$119,400
Clients/Users
Dynamic
Analysis
Scanner
Enterprise
Dynamic Analysis User
(web)
AppScan Enterprise Server
Central Server for both
AppScan Dynamic & Source
Editions
AppScan
Standard
(Desktop tool)
•SAST
•Static Analysis
•Source Code
•Whitebox
Scanning
•DAST
•Dynamic
Analysis
•Blackbox
Scanning
46. www.corpus.cz
Podporovaná prostředí/jazyky
Android, Java, client-side JavaScript, JSP, ColdFusion, C, C++, .NET (C#, ASP.NET, VB.NET), PHP, Perl, PL/SQL, T/SQL, COBOL
Široká podpora aplikačních prostředí a knihoven
Detekce zranitelností dle standardů
NIST, OWASP, CVE/CWE, PCI DSS
Techniky analýzy
Data flow analysis, Control flow analysis, Inter /intraprocedural analysis, Contextual analysis, Pattern-based semantic analysis
Vlastnosti IBMAppScantechnologie
47. www.corpus.cz
Útoky s velkým dopadem jsou často velmi snadné
Existují nástroje, které řadu chyb odhalí a pomohou odstranit
Komerční nástroje mají výrazně kvalitnější detekci, menší množství false-positive, podpora výrobce jak pro SW
tak leckdy i při analýze
Optimální je testovat více způsoby a testování integrovat do rutinního procesu
Zranitelnosti nejen ve vlastním kódu, ale i knihovnách či back-end systémech
Bezpečnost musí ovlivňovat již návrh, architekturu aplikace (analýza hrozeb)
Každý architekt, vývojář i tester musí mít základní znalosti o útocích (školení)
Při nedostatku vlastních kvalifikovaných pracovníků i z jiných důvodů lze bezpečnost částečně delegovat na
partnery
Závěrem