Jak zabezpieczyć aplikacje przed włamaniami?

Transkrypt

1 Jak zabezpieczyć aplikacje przed włamaniami? Analiza podejść do zapewnienia bezpieczeństwa oprogramowania za pomocą rozwiązania HP Fortify Yaroslav Popov / 14 kwietnia, 2015

2 Dlaczego aplikacje są najbardziej narażone na włamania? Jak zmniejszyć zagrożenie? Rozwiązanie HP Fortify: FoD, WebInspect, SCA

3 Dlaczego aplikacje są najczęściej narażone na szybkie włamania? Aplikacje Sieci Sprzęt Intelektualna własność Security Measures Dane Switch/Router Klientów security Firewalls NIPS/NIDS VPN Procesy Net-Forensics biznesowe Anti-Virus/Anti-Spam DLP Tajemnice Host FW handlowe Host IPS/IDS Vuln. Assessment tools 3

4 Czego chce biznes... Flexible Workforce BYOD Reduced Costs Increased Satisfaction 4

5 Co budują programiści Get sales data Get the username Get the password Edit my account Remember the user Generate reports 5

6 Co zobaczą napastnicy Insufficient data storage SQL injection Data leakage Cross site scripting Sensitive information disclosure Improper session handling Client side injection Weak server side controls 6

7 Dlaczego aplikacje są najbardziej narażone na włamania? Jak zmniejszyć zagrożenie? Rozwiązanie HP Fortify: FoD, WebInspect, SCA

8 Statyczne i dynamiczne testowanie bezpieczeństwa aplikacji Black Box Testowanie penetracyjne White Box Skanowanie kodów źródłowych HP WebInspect HP Fortify 8

9 Ochrona aplikacji w czasie pracy Wysłanie wyników monitoringu do chmury Runtime Aplikacja Analiza i ochrona HP Application Defender 9 9

10 Systematyczne i proaktywne podejście... Osadzić bezpieczeństwo w cyklu życiowym 1 In-house Outsourced Commercial Open source 2 Użyć Security Gate dla walidacji odporności zewnętrznego i wewnętrznego kodu przed produkcją 3 Poprawa SDLC Monitorować i chronić oprogramowanie w produkcji... do ubezpieczenia aplikacji 10

11 Dlaczego aplikacje są najbardziej narażone na włamania? Jak zmniejszyć zagrożenie? Rozwiązanie HP Fortify: FoD, WebInspect, SCA

12 HP Fortify mianowany na lidera w Gartner AST MQ Gartner acknowledged Fortify s years of successful market execution and continued innovation by scoring it highest in completeness of vision and near the top in ability to execute. 12

13 Sposoby użycia rozwiązania HP Fortify On Premise On Demand HP Fortify SSC and / or HP Fortify on Demand Hybrydowe 13

14 FoD: Typy analiz bezpieczeństwa Analiza Statyczna Analiza Dynamiczna Recenzja Eksperta HP Fortify SCA 100% pokrycie kodu Dwadzieścia jeden języków programowania Bezpieczna w produkcji Trzy poziomy testowania Możliwość dostępu do wewnętrznych środowisk Ręczna analiza wyników Obniżenie ilości false positives 14

15 FoD: Analiza bezpieczeństwa mobilnych aplikacji Wsparcie mobilnych platform: Objective-C (Apple ipad/iphone) Klient Sieć Serwer Android Windows Blackberry Testowanie trzech obszarów Hybrydowa analiza Kod źródłowy Czas wykonywania aplikacji Credentials in memory Credentials on filesystem Data stored on filesystem Poor cert management Etc. Cleartext credentials Cleartext data Backdoor data Data leakage Etc. SQLi XSS LFI Authentication Session Management Logic Flaws Etc. 15

16 Dlaczego aplikacje są najbardziej narażone na włamania? Jak zmniejszyć zagrożenie? Rozwiązanie HP Fortify: FoD WebInspect SCA

17 Komponenty rozwiązania HP Fortify Fortify Static Code Analyzer (SCA) Fortify WebInspect Fortify AppDefender Run-Time Protection PLAN DESIGN CODE FUNCTIONAL TEST ACCEPTANCE TEST DEPLOY Software Inventory Collaboration Module Governance Module HP Fortify Software Security Center (SSC) Server Software Security Metrics and Reporting 17

18 Dynamiczne testowanie bezpieczeństwa Testowanie penetracyjne NO NO YES NO YES <script>alert( attack )</script> <script>alert( attack )</script> <script>alert( attack )</script> <img src= javascript: alert( attack ) /> /><body onload= alert( attack ) /> NO > (greater than) (double quote) YES %3e (encoded >) %3Cscript%3Ealert( attack )%3C/script%3E YES 18

19 Wizualizacja żywego skanowania Live Scan Dashboard Site tree Live Scan Statistics Excluded and Allowed Hosts Section 19 Vulnerabilities found in application Detailed Attack Table

20 Dlaczego aplikacje są najbardziej narażone na włamania? Jak zmniejszyć zagrożenie? Rozwiązanie HP Fortify: FoD WebInspect SCA

21 Statyczne testowanie bezpieczeństwa Analiza kodu źródłowego 21 Command Injection Privacy Violation Session Fixation SQL Injection System Information Leak Unhandled Exception Kategoria podatności , 563 LDAP Injection Cross-Build Injection Cross-Site Request Forgery Cross-Site Scripting HTTP Response Split JavaScript Hijacking For a complete list go to: około zewnętrznych API s/ Frameworks Języki programowania SCA ABAP * Actionscript ASP.NET Java C, C++ C# COBOL* Cold Fusion * T-SQL PL/SQL JavaScript/AJAX, XML/HTML Classic ASP JSP PHP Python * VB.NET VBScript VB6 Objective C (IOS)

22 HP Fortify Static Code Analyzer (SCA) Architektura 22

23 Fortify SCA (AWB and IDE) Analiza podatności Kod źródłowy Schemat analizy Diagram 23

24 Fortify SCA (AWB and IDE) Informacja edukacyjna Detale i rekomendacje z naprawy podatności 24

25 Przykład integracji z cyklem życiowym Zespół programistów Zespół bezpieczeństwa AWB 2. Audyt Defect Tracking System Monitoring CM Project Security Lead Source Code Repository(s) CISO 3. Assign CM Development Manager IDE 4. Fix Central Build Server(s) Build Tool Fortify SCA 1. Identify Fortify CM Fortify SSC Server 5. Sprawdzanie AWB Audytor bezpieczeństwa 25 Programista

26 Dlaczego aplikacje są najbardziej narażone na włamania? Jak zmniejszyć zagrożenie? Rozwiązanie HP Fortify: FoD WebInspect SCA

27 Dziękuję!