Jak zabezpieczyć aplikacje przed włamaniami? Analiza podejść do zapewnienia bezpieczeństwa oprogramowania za pomocą rozwiązania HP Fortify Yaroslav Popov / 14 kwietnia, 2015
Dlaczego aplikacje są najbardziej narażone na włamania? Jak zmniejszyć zagrożenie? Rozwiązanie HP Fortify: FoD, WebInspect, SCA
Dlaczego aplikacje są najczęściej narażone na szybkie włamania? Aplikacje Sieci Sprzęt Intelektualna własność Security Measures Dane Switch/Router Klientów security Firewalls NIPS/NIDS VPN Procesy Net-Forensics biznesowe Anti-Virus/Anti-Spam DLP Tajemnice Host FW handlowe Host IPS/IDS Vuln. Assessment tools 3
Czego chce biznes... Flexible Workforce BYOD Reduced Costs Increased Satisfaction 4
Co budują programiści Get sales data Get the username Get the password Edit my account Remember the user Generate reports 5
Co zobaczą napastnicy Insufficient data storage SQL injection Data leakage Cross site scripting Sensitive information disclosure Improper session handling Client side injection Weak server side controls 6
Dlaczego aplikacje są najbardziej narażone na włamania? Jak zmniejszyć zagrożenie? Rozwiązanie HP Fortify: FoD, WebInspect, SCA
Statyczne i dynamiczne testowanie bezpieczeństwa aplikacji Black Box Testowanie penetracyjne White Box Skanowanie kodów źródłowych HP WebInspect HP Fortify 8
Ochrona aplikacji w czasie pracy Wysłanie wyników monitoringu do chmury Runtime Aplikacja Analiza i ochrona HP Application Defender 9 9
Systematyczne i proaktywne podejście... Osadzić bezpieczeństwo w cyklu życiowym 1 In-house Outsourced Commercial Open source 2 Użyć Security Gate dla walidacji odporności zewnętrznego i wewnętrznego kodu przed produkcją 3 Poprawa SDLC Monitorować i chronić oprogramowanie w produkcji... do ubezpieczenia aplikacji 10
Dlaczego aplikacje są najbardziej narażone na włamania? Jak zmniejszyć zagrożenie? Rozwiązanie HP Fortify: FoD, WebInspect, SCA
HP Fortify mianowany na lidera w Gartner AST MQ Gartner acknowledged Fortify s years of successful market execution and continued innovation by scoring it highest in completeness of vision and near the top in ability to execute. 12
Sposoby użycia rozwiązania HP Fortify On Premise On Demand HP Fortify SSC and / or HP Fortify on Demand Hybrydowe 13
FoD: Typy analiz bezpieczeństwa Analiza Statyczna Analiza Dynamiczna Recenzja Eksperta HP Fortify SCA 100% pokrycie kodu Dwadzieścia jeden języków programowania Bezpieczna w produkcji Trzy poziomy testowania Możliwość dostępu do wewnętrznych środowisk Ręczna analiza wyników Obniżenie ilości false positives 14
FoD: Analiza bezpieczeństwa mobilnych aplikacji Wsparcie mobilnych platform: Objective-C (Apple ipad/iphone) Klient Sieć Serwer Android Windows Blackberry Testowanie trzech obszarów Hybrydowa analiza Kod źródłowy Czas wykonywania aplikacji Credentials in memory Credentials on filesystem Data stored on filesystem Poor cert management Etc. Cleartext credentials Cleartext data Backdoor data Data leakage Etc. SQLi XSS LFI Authentication Session Management Logic Flaws Etc. 15
Dlaczego aplikacje są najbardziej narażone na włamania? Jak zmniejszyć zagrożenie? Rozwiązanie HP Fortify: FoD WebInspect SCA
Komponenty rozwiązania HP Fortify Fortify Static Code Analyzer (SCA) Fortify WebInspect Fortify AppDefender Run-Time Protection PLAN DESIGN CODE FUNCTIONAL TEST ACCEPTANCE TEST DEPLOY Software Inventory Collaboration Module Governance Module HP Fortify Software Security Center (SSC) Server Software Security Metrics and Reporting 17
Dynamiczne testowanie bezpieczeństwa Testowanie penetracyjne NO NO YES NO YES <script>alert( attack )</script> <script>alert( attack )</script> <script>alert( attack )</script> <img src= javascript: alert( attack ) /> /><body onload= alert( attack ) /> NO > (greater than) (double quote) YES %3e (encoded >) %3Cscript%3Ealert( attack )%3C/script%3E YES 18
Wizualizacja żywego skanowania Live Scan Dashboard Site tree Live Scan Statistics Excluded and Allowed Hosts Section 19 Vulnerabilities found in application Detailed Attack Table
Dlaczego aplikacje są najbardziej narażone na włamania? Jak zmniejszyć zagrożenie? Rozwiązanie HP Fortify: FoD WebInspect SCA
Statyczne testowanie bezpieczeństwa Analiza kodu źródłowego 21 Command Injection Privacy Violation Session Fixation SQL Injection System Information Leak Unhandled Exception Kategoria podatności 2005 2014, 563 LDAP Injection Cross-Build Injection Cross-Site Request Forgery Cross-Site Scripting HTTP Response Split JavaScript Hijacking For a complete list go to: www.hpenterprisesecurity.com/vulncat/en/vulncat/index.html około 720.000 zewnętrznych API s/ Frameworks Języki programowania SCA ABAP * Actionscript ASP.NET Java C, C++ C# COBOL* Cold Fusion * T-SQL PL/SQL JavaScript/AJAX, XML/HTML Classic ASP JSP PHP Python * VB.NET VBScript VB6 Objective C (IOS)
HP Fortify Static Code Analyzer (SCA) Architektura 22
Fortify SCA (AWB and IDE) Analiza podatności Kod źródłowy Schemat analizy Diagram 23
Fortify SCA (AWB and IDE) Informacja edukacyjna Detale i rekomendacje z naprawy podatności 24
Przykład integracji z cyklem życiowym Zespół programistów Zespół bezpieczeństwa AWB 2. Audyt Defect Tracking System Monitoring CM Project Security Lead Source Code Repository(s) CISO 3. Assign CM Development Manager IDE 4. Fix Central Build Server(s) Build Tool Fortify SCA 1. Identify Fortify CM Fortify SSC Server 5. Sprawdzanie AWB Audytor bezpieczeństwa 25 Programista
Dlaczego aplikacje są najbardziej narażone na włamania? Jak zmniejszyć zagrożenie? Rozwiązanie HP Fortify: FoD WebInspect SCA
Dziękuję!