Bezpieczeństwo aplikacji WWW Klasyfikacja zgodna ze standardem OWASP Zarządzanie podatnościami Tomasz Zawicki tomasz.zawicki@passus.com.pl
Pojawianie się nowych podatności I. Identyfikacja podatności II. Modyfikacja aplikacji III. Dodanie funkcjonalności IV. Wykorzystanie podatnej technologii: OS serwera, biblioteka systemu Serwer WWW Middleware, system DB Aplikacje
Wyciek danych, infiltracja sieci Atak na JP Morgan Chase (czerwiec-sierpień 2014) Wykradziono dane 83 milionów użytkowników Informacje: I. Atak na jedną z głównych stron świadczących usługi bankowe (inf. Bloomberg) II. Wprowadzono do sieci JP Morgan złośliwe oprogramowanie III. Atakujący zapoznali się z listą oprogramowania wykorzystywanego przez JP Morgan (inf. NYT) Słaby punkt: luka na głównej stronie
Największe zagrożenie OWASP Top 10 - kategoria A1 ShellShock umożliwia wykonanie kodu za pomocą CGI Znalezienie potencjalnego celu z wykorzystaniem Google za pomocą zapytania: inurl: /cgi-bin/ext:cgi Bezpieczny test własnych stron:
ShellShock nowa podatność nowe możliwości ataku 2014-07-17 Malware Mayhem zaczyna funkcjonować w systemach *nix obsługujących serwery WWW, posiada funkcjonalności tradycyjnego bot a Windowsowego https://www.virusbtn.com/virusbulletin/archive/2014/07/vb201407-mayhem 2014-07-18 Uzyskano dostęp do 2 z 3 serwerów C&C kontrolujących bootnet. Większość z około 1400 botów wykonywała brute force haseł http://www.net-security.org/malware_news.php?id=2813 2014-10-13 Botnet Mayhem wykorzystuje ShellShock http://www.infosecurity-magazine.com/news/mayhem-botnet-takes-to-shellshock/ Systemy atakujące dorastają
OWASP Open Web Application Security Project Cel powstania: rozpowszechnianie praktyk bezpieczeństwa w zakresie budowy, rozwoju i utrzymania aplikacji Pierwsze skojarzenie: OWASP Top 10 klasyfikacja najczęściej wykorzystywanych podatności webaplikacyjnych Opracowania: Szereg zaleceń dotyczących cyklu rozwoju bezpieczeństwa
Bezpieczeństwo podczas cyklu życia OPENSAMM Źródło: www.owasp.org Wszystkie praktyki bezpieczeństwa posiadają trzy poziomy dojrzałości
OpenSAMM - weryfikacja Ocena kodu SAST / White-box - analiza statyczna Testy bezpieczeństwa DAST - dynamiczne testy bezpieczeństwa Możliwość automatyzacji
OpenSAMM - wdrożenie Zarządzanie podatnościami Utrzymanie bazy zasobów, wsparcie dla zespołów bezp. Wykrywanie podatności Wzmacnianie zabezpieczeń
Skuteczność procesu zarządzania podatnościami warunkują m.in.: kompletność i jakość bazy aktywów objętych procesem czas wykrycia podatności w systemie efektywność testowania środków naprawczych przed ich produkcyjnym wdrożeniem Identyfikacja wszystkich aplikacji Skanowanie środowiska Badanie wykrytych podatności Źródło: janusznawrat.wordpress.com
Qualys w szczegółach Funkcjonalności platformy: Continous Monitoring - nadzorowanie styku z Internetem Skanowanie zasobów (sprzęt, serwery i aplikacje) Identyfikowanie podatności Monitorowanie zmian w konfiguracji Zarzadzanie certyfikatami SSL
Infrastruktura dostosowana do prowadzenia monitoringu w trybie ciągłym. Skalowalność do 16 milionów IP.
QualysGuard Integrated Suite of Security & Compliance Solutions * * * * * Continuous Monitoring Asset Management Vulnerability Management PCI DSS Policy Compliance Customizable Questionnaires Web Application Scanning Malware Detection Web Application Firewall Web Application Log Analysis *In Beta
Free Services at your Fingertips www.qualys.com/secure
Podsumowanie I. Początkowe etapy tworzenia aplikacji przeprowadzanie testów statycznych analiza kodu źródłowego i logiki biznesowej II. Budowa i testy w środowisku deweloperskim w trakcie testów funkcjonalnych III. Wdrożenie i utrzymanie Hardening środowiska Zarządzanie podatnościami Obsługa i monitorowanie