Część I Zapotrzebowanie na SDL

Transkrypt

1 Spis treści

2 Przedmowa... xi Wstęp... xiii Część I Zapotrzebowanie na SDL 1 Co za duŝo, to niezdrowo: zagroŝenia uległy zmianie... 3 Światy bezpieczeństwa i prywatności są ze sobą w kolizji... 6 Inny czynnik wpływający na zabezpieczenia: niezawodność... 8 Tak naprawdę chodzi o jakość Dlaczego główni producenci oprogramowania tworzą bezpieczniejsze programy Wyzwanie dla duŝych niezaleŝnych producentów oprogramowania Dlaczego producenci oprogramowania do uŝytku wewnętrznego powinni tworzyć bezpieczniejsze produkty Dlaczego producenci drobnego oprogramowania powinni tworzyć bezpieczniejsze produkty Podsumowanie Źródła Obecne metody tworzenia oprogramowania nie zapewniają bezpiecznych programów Przy dostatecznej liczbie par oczu wszystkie błędy są banalne Motywacja do przeglądania kodu Rozumienie błędów zabezpieczeń Masa krytyczna Wiele par oczu wcale nie gwarantuje sukcesu Metody tworzenia oprogramowania róŝnych firm CMMI, TSP i PSP Metody programowania Agile Common Criteria Podsumowanie Źródła Krótka historia SDL w firmie Microsoft Pierwsze kroki Nowe zagroŝenia, nowe odpowiedzi Windows 2000 i inicjatywa SWI (Secure Windows Initiative) Poszukiwanie skalowalności: poprzez Windows XP Kampanie bezpieczeństwa i końcowe przeglądy zabezpieczeń Formalizowanie cyklu Ŝycia tworzenia zabezpieczeń Nieustanny wyścig Źródła SDL dla kierownictwa Nastawienie na sukces ZaangaŜowanie w Firmie Microsoft Kto potrzebuje SDL? Skuteczne zaangaŝowanie... 45

3 Zarządzanie SDL Zasoby Czy projekt idzie dobrym torem? Podsumowanie Źródła Część II Proces SDL (cykl projektowania zabezpieczeń) 5 Etap 0 Edukacja i świadomość Krótka historia nauczania bezpieczeństwa w firmie Microsoft Nieustająca edukacja Sposoby przeprowadzania szkoleń Ćwiczenia i laboratoria Śledzenie uczestnictwa i zgodności z procesem SDL Inne koncepcje ustalania zgodności Mierzenie wiedzy Implementowanie własnego wewnętrznego szkolenia Tworzenie tanich materiałów edukacyjnych Główne czynniki i miary sukcesu Podsumowanie Źródła Etap 1 Narodziny projektu Ustalenie, czy aplikacja jest objęta procesem SDL Wyznaczenie doradcy ds. bezpieczeństwa Pełnienie roli punktu kontaktowego między zespołem programującym i zespołem bezpieczeństwa Prowadzenie dla zespołu programującego pierwszego spotkania na temat SDL Przeglądanie projektów i modeli zagroŝeń z zespołami programującymi 70 Analizowanie i segregowanie błędów związanych z bezpieczeństwem i prywatnością Pełnienie roli ciała doradczego w sprawach bezpieczeństwa dla zespołu programującego Przygotowywanie zespołu programującego do przeglądu Praca z reagującym zespołem ds. bezpieczeństwa Utworzenie zespołu Kierownictwa ds. bezpieczeństwa Upewnienie się, czy proces śledzenia błędów obejmuje błędy z dziedziny bezpieczeństwa i prywatności Ustalenie kryteriów dla błędów Podsumowanie Źródła Etap 2 Definiowanie i stosowanie najlepszych metod projektowania Popularne zasady bezpiecznego projektowania Analiza pola ataku i jego redukcja Krok 1: Czy ta funkcja jest naprawdę taka waŝna?... 82

4 Krok 2: Kto musi mieć dostęp do tej funkcji i skąd? Krok 3: Ograniczenie uprawnień Więcej elementów pola ataku Podsumowanie Źródła Etap 3 Ocena ryzyka produktu Ocena ryzyka dla bezpieczeństwa Pytania wstępne Pytania dotyczące pola ataku Pytania dotyczące kodu mobilnego Pytania związane z zabezpieczeniami Pytania ogólne Analizowanie kwestionariusza Wskaźnik wpływu na prywatność stopień prywatności stopień prywatności stopień prywatności Wnioski Podsumowanie Źródła Etap 4 Analiza ryzyka Artefakty modelowania zagroŝeń Co modelować Budowanie modelu zagroŝeń Proces modelowania zagroŝeń Definiowanie scenariuszy uŝycia Gromadzenie listy zaleŝności zewnętrznych Definiowanie załoŝeń dotyczących bezpieczeństwa Notowanie uwag o bezpieczeństwie zewnętrznym Tworzenie jednego lub wielu diagramów przepływu danych modelowanej aplikacji Ustalanie rodzajów zagroŝeń Rozpoznawanie zagroŝeń dla systemu Ustalanie ryzyka Planowanie środków łagodzących UŜywanie modelu zagroŝeńjako pomocy w przeglądaniu kodu UŜywanie modelu zagroŝeń jako pomocy w testowaniu Główne czynniki i miary sukcesu Podsumowanie Źródła Etap 5 Tworzenie dokumentów, narzędzi i najlepszych metod zabezpieczeń dla klientów Dlaczego dokumentacja i narzędzia? Tworzenie dokumentacji z najlepszymi metodami bezpieczeństwa Dokumentacja instalacji

5 Zasadnicza dokumentacja korzystania z produktu Dokumentacja dla systemu pomocy Dokumentacja dla programisty Tworzenie narzędzi Podsumowanie Źródła Etap 6 Zasady bezpiecznego kodowania UŜywać najnowszych wersji kompilatorów i narzędzi pomocniczych UŜywać zabezpieczeń oferowanych przez kompilator Kontrola bezpieczeństwa buforów: /GS Obsługa bezpiecznych wyjątków: /SAFESEH Kompatybilność z DEP (Data Execution Prevention): /NXCOMPAT UŜywać narzędzi do analizy kodu źródłowego Pułapki narzędzi do analizy kodu źródłowego Korzyści ze stosowania narzędzi do analizy kodu źródłowego Nie uŝywać zakazanych funkcji Ograniczać stosowanie w projekcie lub kodzie konstrukcji naraŝonych potencjalnie na ataki UŜywać listy kontrolnej bezpiecznego kodowania Podsumowanie Źródła Etap 7 Zasady bezpiecznego testowania Testowanie metodą fuzzingu Testowanie penetracyjne Weryfikacja wykonania Kontrola i w razie potrzeby aktualizacja modeli zagroŝeń Ponowna ocena pola ataku oprogramowania Podsumowanie Źródła Etap 8 Kampania bezpieczeństwa Przygotowania do kampanii bezpieczeństwa Czas trwania kampanii Szkolenie Przeglądy kodu Właściciele plików wykonywalnych Aktualizacje modeli zagroŝeń Testowanie zabezpieczeń Szlifowanie pola ataku Szlifowanie dokumentacji Czy to juŝ koniec? Podsumowanie Źródła Etap 9 Końcowy przegląd bezpieczeństwa Koordynacja działań zespołu produktu Przegląd modeli zagroŝeń

6 Przegląd niepoprawionych błędów zabezpieczeń Kontrola uŝytych narzędzi Po zakończeniu przeglądu FSR Traktowanie wyjątków Podsumowanie Etap 10 Planowanie reakcji na problemy z bezpieczeństwem. 191 Jakie są powody przygotowań do reagowania na problemy związane z bezpieczeństwem? Zespół tworzący produkt będzie nadal popełniał błędy Będą pojawiać się nowe rodzaje luk w zabezpieczeniach Reguły będą się zmieniać Przygotowanie do reagowania Tworzenie centrum reagowania na problemy z bezpieczeństwem Zespół produktu a reagowanie na problemy z bezpieczeństwem Tworzenie własnego zespołu reagowania Wsparcie dla całego produktu Wsparcie dla wszystkich klientów Zapewnianie łatwości aktualizacji produktu Wykrywać słabe punkty przed badaczami zabezpieczeń Podsumowanie Źródła Etap 11 Publikacja produktu Źródła Etap 12 Reagowanie na problemy bezpieczeństwa w praktyce Postępować zgodnie z planem Zachować spokój Nie spieszyć się Obserwować zdarzenia, które mogą zmienić pierwotne plany Postępować zgodnie z planem Ustalanie działania na poczekaniu Wiedzieć, do kogo się zwracać Być w stanie zbudować aktualizację Być w stanie zainstalować aktualizację Pamiętać o priorytetach podczas ustalania procedury Wiedzieć, co moŝna pominąć Podsumowanie Źródła Część III... SDL: materiały źródłowe 18 Integracja SDL i metod Agile Stosowanie zasad SDL w metodach Agile Szkolenie w dziedzinie bezpieczeństwa Rozpoczęcie projektu Ustalanie najlepszych metod projektowania i ich stosowanie

7 Analiza ryzyka Opracowywanie dokumentów, narzędzi i najlepszych metod bezpieczeństwa dla klientów Zasady bezpiecznego kodowania i testowania Kampania bezpieczeństwa Końcowy przegląd bezpieczeństwa Publikacja produktu Reagowanie na problemy z bezpieczeństwem w praktyce Rozszerzanie metod Agile o zasady SDL Historyjki uŝytkowników Małe wydania i iteracje Zmiana ról członków zespołu Prostota Rozwiązania okrojone Refactoring Stała dostępność klienta Kodowanie zgodnie ze standardami Najpierw kodowanie testów poszczególnych jednostek Programowanie w parach Częste integrowanie Pozostawianie optymalizacji na sam koniec Tworzenie testu po wykryciu kaŝdego błędu Podsumowanie Źródła Wywołania funkcji zabronione w SDL Zabronione wywołania API Dlaczego funkcje n są zabronione WaŜne zastrzeŝenie Wybieranie StrSafe lub Safe CRT UŜywanie StrSafe Przykład StrSafe UŜywanie Safe CRT Przykład Safe CRT Inne metody zastępowania Narzędzia pomocnicze Koszty i zwrot inwestycji Miara i cele Źródła Minimalne standardy kryptograficzne w SDL Wymagania kryptograficzne wysokiego poziomu Technologie kryptograficzne a algorytmy kryptograficzne niskiego poziomu Korzystanie z bibliotek kryptograficznych Kryptograficzna elastyczność Trzymać się bezpiecznych algorytmów szyfrujących UŜywanie algorytmów szyfrujących

8 Symetryczne szyfry blokowe i długości kluczy Symetryczne szyfry strumieniowe i długości kluczy Tryby algorytmów symetrycznych Algorytmy asymetryczne i długości kluczy Funkcje haszujące Kody uwierzytelniania wiadomości Magazynowanie danych i generowanie liczb losowych Magazynowanie kluczy prywatnych i poufnych danych Generowanie liczb losowych i kluczy kryptograficznych Generowanie liczb losowych i kluczy kryptograficznych na podstawie haseł i innych kluczy Źródła Opcje kompilatora i narzędzia wymagane przez SDL Wymagane narzędzia PREfast FxCop Weryfikator aplikacji Minimalne wersje kompilatorów i narzędzi do łączenia Źródła Wzorce drzew zagroŝeń Podszywanie się pod zewnętrzny obiekt lub proces Majstrowanie przy procesie Majstrowanie przy przepływie danych Majstrowanie przy magazynie danych Zaprzeczalność Ujawnianie informacji procesu Ujawnianie informacji przepływu danych Ujawnianie informacji magazynu danych Odmowa usługi wobec procesu Odmowa usługi wobec przepływu danych Odmowa usługi wobec magazynu danych Zwiększanie uprawnień Źródła Indeks