Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Transkrypt

1 Bezpieczeństwo aplikacji WWW Klasyfikacja zgodna ze standardem OWASP Zarządzanie podatnościami Tomasz Zawicki

2 Pojawianie się nowych podatności I. Identyfikacja podatności II. Modyfikacja aplikacji III. Dodanie funkcjonalności IV. Wykorzystanie podatnej technologii: OS serwera, biblioteka systemu Serwer WWW Middleware, system DB Aplikacje

3 Wyciek danych, infiltracja sieci Atak na JP Morgan Chase (czerwiec-sierpień 2014) Wykradziono dane 83 milionów użytkowników Informacje: I. Atak na jedną z głównych stron świadczących usługi bankowe (inf. Bloomberg) II. Wprowadzono do sieci JP Morgan złośliwe oprogramowanie III. Atakujący zapoznali się z listą oprogramowania wykorzystywanego przez JP Morgan (inf. NYT) Słaby punkt: luka na głównej stronie

4 Największe zagrożenie OWASP Top 10 - kategoria A1 ShellShock umożliwia wykonanie kodu za pomocą CGI Znalezienie potencjalnego celu z wykorzystaniem Google za pomocą zapytania: inurl: /cgi-bin/ext:cgi Bezpieczny test własnych stron:

5 ShellShock nowa podatność nowe możliwości ataku Malware Mayhem zaczyna funkcjonować w systemach *nix obsługujących serwery WWW, posiada funkcjonalności tradycyjnego bot a Windowsowego Uzyskano dostęp do 2 z 3 serwerów C&C kontrolujących bootnet. Większość z około 1400 botów wykonywała brute force haseł Botnet Mayhem wykorzystuje ShellShock Systemy atakujące dorastają

6 OWASP Open Web Application Security Project Cel powstania: rozpowszechnianie praktyk bezpieczeństwa w zakresie budowy, rozwoju i utrzymania aplikacji Pierwsze skojarzenie: OWASP Top 10 klasyfikacja najczęściej wykorzystywanych podatności webaplikacyjnych Opracowania: Szereg zaleceń dotyczących cyklu rozwoju bezpieczeństwa

7 Bezpieczeństwo podczas cyklu życia OPENSAMM Źródło: Wszystkie praktyki bezpieczeństwa posiadają trzy poziomy dojrzałości

8 OpenSAMM - weryfikacja Ocena kodu SAST / White-box - analiza statyczna Testy bezpieczeństwa DAST - dynamiczne testy bezpieczeństwa Możliwość automatyzacji

9 OpenSAMM - wdrożenie Zarządzanie podatnościami Utrzymanie bazy zasobów, wsparcie dla zespołów bezp. Wykrywanie podatności Wzmacnianie zabezpieczeń

10 Skuteczność procesu zarządzania podatnościami warunkują m.in.: kompletność i jakość bazy aktywów objętych procesem czas wykrycia podatności w systemie efektywność testowania środków naprawczych przed ich produkcyjnym wdrożeniem Identyfikacja wszystkich aplikacji Skanowanie środowiska Badanie wykrytych podatności Źródło: janusznawrat.wordpress.com

11 Qualys w szczegółach Funkcjonalności platformy: Continous Monitoring - nadzorowanie styku z Internetem Skanowanie zasobów (sprzęt, serwery i aplikacje) Identyfikowanie podatności Monitorowanie zmian w konfiguracji Zarzadzanie certyfikatami SSL

12 Infrastruktura dostosowana do prowadzenia monitoringu w trybie ciągłym. Skalowalność do 16 milionów IP.

13 QualysGuard Integrated Suite of Security & Compliance Solutions * * * * * Continuous Monitoring Asset Management Vulnerability Management PCI DSS Policy Compliance Customizable Questionnaires Web Application Scanning Malware Detection Web Application Firewall Web Application Log Analysis *In Beta

14 Free Services at your Fingertips

15 Podsumowanie I. Początkowe etapy tworzenia aplikacji przeprowadzanie testów statycznych analiza kodu źródłowego i logiki biznesowej II. Budowa i testy w środowisku deweloperskim w trakcie testów funkcjonalnych III. Wdrożenie i utrzymanie Hardening środowiska Zarządzanie podatnościami Obsługa i monitorowanie