Kontekst jest najważniejszy Application Security (WALLF-ng) Leszek Miś Head of IT Security Department lm@linuxpolska.pl Linux Polska Sp. z o.o.



Podobne dokumenty
Portal Security - ModSec Enterprise

Scalable and under control open cloud architecture

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Modsecurity czy Twój WAF to potrafi? Leszek Miś Linux Polska Sp. z o.o.

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP The OWASP Foundation

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP The OWASP Foundation

Fuzzing OWASP The OWASP Foundation Piotr Łaskawiec J2EE Developer/Pentester

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP The OWASP Foundation

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

Open(Source) Web Application Security Project

Obsługa incydentów bezpieczeństwa: część I, z punktu widzenia menadżera. OWASP The OWASP Foundation

Wybrane ataki na urządzenia sieciowe Secure Michał Sajdak, Securitum sekurak.pl

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

Agenda. Quo vadis, security? Artur Maj, Prevenity

Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Quest Software, now a part of Dell

Program szkolenia: REST i Microservices w PHP

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

z testów penetracyjnych

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

Bezpieczna infrastruktura zależna od świadomych zagrożeń pracowników.

CYBEROAM Unified Treatment Management, Next Generation Firewall

INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk

Badania poziomu bezpieczeństwa portalu dostępowego do infrastruktury projektu PL-Grid

SOC/NOC Efektywne zarządzanie organizacją

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Wybrane problemy bezpieczeństwa w urządzeniach sieciowych SEConference Michał Sajdak, Securitum sekurak.pl

17-18 listopada, Warszawa

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Jak bezpieczne są Twoje dane w Internecie?

Bezpieczeństwo systemów internetowych

Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

Kompetencje Asseco Data Systems w obszarze IT Security

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania

The OWASP Foundation Session Management. Sławomir Rozbicki.

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Jak znaleźć prawdziwe zagrożenia w infrastrukturze IT

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Drobne błędy w portalach WWW

OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

Audyty bezpieczeństwa i zgodności oprogramowania Leszek Miś RHC{A,SS,X} Linux Polska Sp. z o.o.

Parametry wydajnościowe systemów internetowych. Tomasz Rak, KIA

Advanced Internet Information Services Management (IIS 8)

Bezpieczeństwo aplikacji webowych

Wprowadzenie do kryptografii i bezpieczeństwa. Po raz czwarty

Testy penetracyjne webaplikacji.

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

n6: otwarta wymiana danych

! Retina. Wyłączny dystrybutor w Polsce

Bezpieczeństwo systemów komputerowych

Wybrane podatności w aplikacjach webowych

Opis Przedmiotu Zamówienia

Obrona przed SQL-injection w aplikacjach Java/JEE

Audytowane obszary IT

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

Security Master Class Secure Configuration Life Cycle. Marcin Piebiak Senior Solutions Architect Linux Polska Sp. z o.o.

Projektowanie i implementacja wysokowydajnych aplikacji w języku

Jak ograniczyć zagrożenie związane ze zjawiskiem credential abuse? Bartlomiej Jakubowski Solutions Engineer II, CISSP, CCSP

OD MONOLITU DO MIKROUSŁUGI MICROSERVICES

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

Dobre praktyki w doborze technologii rozwiązań informatycznych realizujących usługi publiczne

HP Service Anywhere Uproszczenie zarządzania usługami IT

<Insert Picture Here> Bezpieczeństwo danych w usługowym modelu funkcjonowania państwa

Kontrola dostępu do kodu i własności intelektualnej w Zintegrowanej Architekturze. Copyright 2012 Rockwell Automation, Inc. All rights reserved.

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar)

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

ZAŁĄCZNIK NR 3 OPIS PRZEDMIOTU ZAMÓWIENIA DOTYCZĄCY WDROŻENIA PLATFORMY ZAKUPOWEJ

Wybrane problemy bezpieczeństwa w systemach IT.

Webapplication Security Pentest Service

Zdobywanie fortecy bez wyważania drzwi.

Enterprise SSO IBM Corporation

PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Dlaczego my? HARMONOGRAM SZKOLEŃ październik - grudzień ACTION Centrum Edukacyjne. Autoryzowane szkolenia. Promocje

PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

Warstwa ozonowa bezpieczeństwo ponad chmurami

Palo Alto firewall nowej generacji

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Bezpieczne udostępnianie usług www. BłaŜej Miga Zespół Bezpieczeństwa PCSS

Programowanie i projektowanie obiektowe

Program szkolenia: Bezpieczny kod - podstawy

Szczegółowy harmonogram rzeczowy realizacji prac systemu B2B

Programowanie komponentowe. Przykład 1 Bezpieczeństwo wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Makeitright Power Farm RPA

Przygotowanie do nowoczesnego programowania po stronie przeglądarki. (HTML5, CSS3, JS, wzorce, architektura, narzędzia)

Vulnerability Management. Vulnerability Assessment. Greenbone GSM

Transkrypt:

Kontekst jest najważniejszy Application Security (WALLF-ng) Leszek Miś Head of IT Security Department lm@linuxpolska.pl Linux Polska Sp. z o.o. 1

Fakty 2 Aplikacje webowe jako cel czyli zagrożenia kryją się wszędzie: Aplikacja (ich ilość) Protokół Implementacja HTTP Język/Framework Konfiguracja System operacyjny

Fakty Rzeczywistość weryfikuje: Shellshock: BASH command injection Zimbra: priv_esc poprzez LFI: 3 /res/i18nmsg,ajxmsg,zmsg,zmmsg,ajxkeys,zmkeys,zdmsg,ajx%20templatemsg.js.zgz? v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/localconfig.xml OSSIM: SQL Injection Apache Struts: RCE F5 BigIQ priv_esc JIRA: directory traversal Katello: users/update_roles I wiele, wiele innych... Dostępność kodu/możliwość zakupu->hacklab Wiele podobnych instalacji

Fakty 4 Różne rodzaje błędów i podatności

Fakty Jak wygląda badanie dedykowanej aplikacji biznesowej? Fingerprinting Analiza nagłówków HTTP Analiza wygenerowanego HTML Fuzzing Skanery aplikacyjne Modyfikacja nagłówków i ich wartości local proxy Spear phishing -> APT Dużo egzotycznych logów O ataku dowiemy się zazwyczaj...po ataku. 5

Fakty Problem z patchowaniem podatności: Wysoki koszt Kod źródłowy firmy zewnętrznej Ograniczony kontrakt/umowa Brak zasobów Brak skillsów SDLC -> TST->ACC->PROD Niedostępność aplikacji Inne: 6 Najpierw trzeba o niej wiedzieć ;-)

Fakty 7 Web Application Firewall (L7): Wykrywanie Blokowanie Monitorowanie Audytowanie Reakcja Firewall sieciowy, a WAF

Posiadanie WAF 8 Już po fakcie Analiza powłamaniowa False positives Trudne w utrzymaniu (change mgmt + niekontrolowany payload aplikacyjny) Brak kontekstu użytkownika ze względu na odseparowane urządzenie WAF Fingerprinting zachowania WAF + omijanie BL Informowanie o zagrożeniach Podstawowa ochrona

Posiadanie WAF Open Web Application Security Project Misja: Poprawa stanu bezpieczeństwa aplikacji Projekty dokumentacja, narzędzia Edukacja Współpraca (rządy, inne organizacje, twórcy standardów) Linux Polska jako Silver Chapter Support 9

Ochrona sensorowa 10 Użytkownik raczej się nie pomylił, gdy: Podmieniane są wartości parametrów w locie ><script>alert(/securitymasterclass/)</script> x'; DROP TABLE users; SELECT '1 Wysłany został GET zamiast POST User-Agent jest URL-em 5x JSESSIONID 10x przelew na kwoty minusowe

Ochrona sensorowa 11 Podobieństwo w zachowaniu: czujniki dymu w budynkach systemy alarmujące systemy natychmiastowego reagowania automatyczne uruchomienie procedury kryzysowej

Ochrona sensorowa 12 Aplikacja powinna potrafić: Logować każdą krytyczną operację z uwzględnieniem kontekstu użytkownika Identyfikować zachowania użytkownika odchodzące od normy Wykrywać próby ataków/ sondowanie Punktować/blokować atakujących lub w sytuacji zarobaczenia blokować podatną część aplikacji Rozumieć i akceptować zachowanie zwykłego usera Informować jak i czerpać -> SIEM

Ochrona sensorowa Ilość żądań HTTP Minimalizacja ryzyka 13

Ochrona sensorowa 14

Ochrona sensorowa Ilość rq Minimalizacja ryzyka 15

Ochrona sensorowa 16 Obsługiwane wyjątki: Dedykowane dla: Request Secure API Authentication ESB Session SSO Access Control Login/logout Input Password reset Encoding Command Honey traps Reputation System Trend

Ochrona sensorowa 17 IDS/IPS dla aplikacji webowych: Detekcja Punktowanie Odpowiedź Big Data Sensorowe podejście działa dla podatności: Znanych Nieznanych Hybryd

A co z aplikacjami bez dostępu do kodu źródłowego? 18

Secure Reverse Proxy Hardened Linux distro Isolation HA Separation LB/Clustering Scalability WAF/Appsensor Monitoring SSL configuration Caching Access Control Performance tuning Change Mgmt 2FA Logging Mgmt Auditing Incident Response Mgmt Logout 19

Demonstracja działania sensorowej ochrony aplikacji webowej - WALLF-ng Leszek Miś Head of IT Security Department lm@linuxpolska.pl Linux Polska Sp. z o.o. 20

Podsumowanie Appsensor jako podejście przyszłościowe Modelowanie zagrożeń Biznesowa krytyczność webaplikacji WAF = ubezpieczenie Open source jako platforma i źródło najlepszej wiedzy Some people, wether vemdors or customers, believe in "auto learning mode". My experience with such systems is that the (generated) rule set becomes unmanageable after a couple of time. - Achim Hoffman - OWASP 21

Oferta z zakresu Podejście wbudowane: Podejście zewnętrzne (Reverse Proxy): Współpraca deweloperska Współpraca wdrożeniowa Warsztaty i szkolenia: Web Security skuteczna ochrona aplikacji webowych Integracja z systemem SIEM Utrzymanie i asysta techniczna SLA Testy penetracyjne 22

Dziękuję za uwagę. Czas na Q&A :) Leszek Miś Head of IT Security Department lm@linuxpolska.pl Linux Polska Sp. z o.o. 23

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres