Bezpečnostní požadavky pro výběr a implementaci webové
aplikace
Daniel Kefer II. konference ČIMIB
20. května 2009
Agenda
Motivace Normy a projekty v rámci popisované oblasti Bezpečný vývoj aplikací Jak začít? Case study Diskuse přínosů
Motivace
Aktuální stav bezpečnosti webových aplikací: 80% útoků směrovaných na webové aplikace Twitter (letos 2 velké úspěšné útoky) Facebook (značné množství úspěšných útoků) Google hacking obchodování s osobními údaji (cena již od 0.06$)
Důvody Business požadavky na nové funkcionality Nové technologie Bezpečnost v rámci vývojového cyklu aplikace:
– nefunkcionální bezpečnostní požadavky– provedení penetračních testů po její implementaci
Bezpečný vývoj aplikací
Normy a organizace podporující bezpečný vývoj aplikací: ISO/IEC 27000 Series (27034 – Guidelines for application security) Common Criteria (ISO/IEC 15048) NIST
– SP 800-64 - Security Considerations in the System Development Life Cycle– SP 800-53 - Recommended Security Controls for Federal Information Systems
and Organizations
OWASP– Development Guide, Code Review Guide, Testing Guide– Legal Project– ASVS (Application Security Verification Standard)– CLASP (Comprehensive, Lightweight Application Security Process)
SANS, WASC, ...
Bezpečný vývoj aplikací
SDLC (Software Development Lifecycle)
SDLC - Initiation
SDLC - Development
SDLC - Implementation
SDLC – O & M
SDLC - Disposal
Jak začít?
Access Control Awareness and Training Audit and Accountability Certification, Accreditation, and
Security Assessments Configuration Management Contingency Planning Identification and Authentication Incident Response Maintenance
Media Protection Physical and Environmental Protection Planning Personnel Security Risk Assessment System and Services Acquisition System and Communications
Protection System and Information Integrity
Zařazení bezpečnostního konzultanta na projekt již od fáze definice funkčních požadavků
Vypracování bezpečnostního standardu pro jednotlivé bezpečnostní kategorie aplikací v oblastech (např. NIST):
Vypracování metodik pro bezpečný vývoj (v případě in-house vývoje)
Case study
Microsoft – Trustworthy Computing (SDL)Počty bezpečnostních buletinů s kritickou úrovní vydaných pro jednotlivé technologie před implementací bezpečnosti do SDL
OS Windows 2k/2k3 MS SQL Server 2000 Exchange Server 2000
Diskuse přínosů