Professional Documents
Culture Documents
Lezione Argiolu - Master Roma3!3!12-2010 - Test Di Application Security
Lezione Argiolu - Master Roma3!3!12-2010 - Test Di Application Security
Relatore
Massimiliano Argiolu
Partners Outsourcers
Web
Services
2
Gli hackers usano le
applicazioni
Hacking una scienza
consolidata:
SQL Injection
Buffer overflows
Xsite scripting
..e molte altre
3
Alcune statistiche
Spending on perimeter only strategies continues to grow,
more than doubled in 2007
Ponemon Institute Study
43% annual rise in vulnerabilities reported in major applications over the last
ten years
CERT
5
Casi reali
WHID 2008-10: Chinese hacker steals user information on 18 MILLION
online shoppers at Auction.co.kr
Reported: 12 February 2008
Occurred: 10 February 2008
Web Application Security Consortium
WHID 2007-74: Web host breach may have exposed passwords for 6,000
clients
Reported: 01 January 2008
Occurred: 17 September 2007
Web Application Security Consortium
6
Business
Evitare lisolamento del Front-End dovuto ad attacchi di hacking
Protezione degli Asset per mantenere buone relazioni con gli
altri business player
Risk management del software dato in outsourcing
Proteggere il business dagli insider/outsider traders
Monitorare che il SDLC rispetti le necessarie security
compliances
7
Soluzioni stratificate
Worms &
Viruses
Difese tradizionali per il
network/perimeter
Malicious
insiders 8
Le applicazioni consentono di
attraversare tutti i layer
9
Hackers
Network
Software
E necessario
proteggere le
applicazioni e non
solo
linfrastruttura
11
Quando applicare la sicurezza del
software?
Costo di risoluzione di una Vulnerabilit : Software Defect Reduction Top 10 List IEEE Computer Society
12
I drivers per certificare la Sicurezza
delle Applicazioni
a nnddooImeeme
Immediati/Intrusioni subite i t qq
uua Imemeddiaiatezza
r iv
ooaattttiviturezzaavva ieipnpn lei tezza qquante
Misurazione del rischio nel
PPr e la sicicurezz eIn ae c
poplicazioioni abbia uante
a z
d o vve la s el proccesIn scsho e ni abbiam oo?
software esistente o
d licata nel p b n ro s c h e t e c n ol ologia? m ?
a ? uusiness e t ec n o
aapppplicatp o b si n e ro g
gia?
d i ssvviliulupppoa ? o aQuant ss erogaannoo??
Modifiche di e facccci iam m o catQi?uane tevvuulnlneera bbilit e
C m
oome fa i risulta h
c t
hei ?c r i t ic r a ilit e
Proattive/Sistemiche C ificare i risulqta e criticiti h a n
t hannooe n
vveer rificare quuaannto c
to costao s e
Fare un assessment del i l fi
ta il fix??x
processo di sviluppo esistente
e modificarlo di conseguenza
Compliance
CComplian
ompliancce quali
Ottenere la compliance
ddirettiv e
obbligatoria come il risultato di irettiveeaappplicaqrueali
pp.e. PCI plicare??
un processo di miglioramento .e. PCI
13
chiarificatrice
Vulnerability scan: verifica tipicamente automatizzata delle
vulnerabilit tecnologiche di uno o pi sistemi. Si usa uno o pi
software di scansione come Nessus, Retina o ISS Scanner (on the shelf)
Vulnerability assessment:verifica automatizzata e umana di tipo
glass boxdelle vulnerabilit tecnologiche e infrastrutturali di una rete.
Oltre al vulnerability scan l'analista verifica la correttezza dei risultati, li
prioritizza e li complementa con una analisi architetturale. Questo test
pi completo del precedente e fornisce pi valore in funzione della
competenza del tester, ma statico e quindi degrada nel tempo.
Risk assessment: metodologie di analisi del rischio si possono
applicare anche all'infrastruttura informatica; unitamente alla BIA,
Business Impact Analysis, quantifica il rischio e determina i fattori di
ROI della sicurezza.
14
chiarificatrice
Security assessment: un test omnicomprensivo della
sicurezza Aziendale Logica, Informatica, Infrastrutturale, Fisica,
ecc. che deve vertere sui processi per minimizzare il degrado. La
metodologia di riferimento: OSSTMM (www.osstmm.org).
Security Auditing: l'auditing della sicurezza un processo
aziendale, non una consulenza spot che identifica il livello di
sicurezza aziendale e ne verifica la compliance alle policy o alle
best practice individuate. E una procedura iterativa che deve
essere implementata nel SGSI aziendale (cfr. ISO 17799:2005)
Penetration test: Fare un PT significa applicare il metodo di
ragionamento che un aggressore applicherebbe. E un test black
box che si focalizza sull'accesso ai dati pi che
sull'identificazione di vulnerabilit e che utilizza metodologie e
strumenti non convenzionali.
15
Usare dei framework
omogenei
16
Un approccio sistematico per organizzare, implementare e misurare la capacit di Software Security Assurance
allinterno dellazienda
Molti di tali approcci hanno le loro basi in modelli di maturit: CLASP, SAMM ed altri . Ma non spaventatevi !!!
Per Framework intendiamo un insieme di metodi, tecniche e strumenti volti a garantire la maggior
sicurezza possibile delle applicazioni software
17
Le componenti base del
Framework
18
Le componenti base del
Framework
19
Framework 20
Correlazione
Planning
Requisiti Tool Data
di Integration Integration
Sicurezza Progettazione
Modellazione difensiva
delle
Information minacce Review
gathering della
Modellazione Architettura
Disegno
delle Sviluppo
dei
minacce Progettazione
requisiti
Esercizio
Ambiente di
Maintenance
Esercizio Source Code
Proattivo Review
Codifica Analyzer
Feedback del
from field Codice
Gestione Esercizio
delle
Vulnerabilit Test & Collaudo
Migliore
Esercizio Sicurezza Test di
Infrastrutturale Test Sicurezza
di
Sicurezza
Application Penetration
Shielding Test 21
Test)
Uso di strumenti ad hoc
Uso concordato di
tecniche di social
engineering, phishing,
etc.
Exploiting effettivo delle
vulnerabilit, e
dimostrazione dei risultati
(non si potrebbe ma
abbiamo fatto)
Reportistica non
automatizzata e
presentazione dei risultati
live
Un PT non uno
22
strumento di progetto, ma
Testing)
Attivit propedeutiche alla Code Review
Analizzare le caratteristiche tecnologiche e
funzionali dellapplicazione
Definire le modalit specifiche di misurazione degli
indicatori seguendo il modello definito
Individuare le eventuali normative (PCI, SOX,
OWASP Top Ten, ecc.) cui il software oggetto di
assessment deve rispettare
Attivit di Code Review
Definizione della corretta baseline degli oggetti
costituenti lapplicazione e la creazione del relativo
Cross-Reference
Individuazione delle vulnerabilit di sicurezza
rilevate nellapplicazione opportunamente
suddivise per rischiosit
Verifica tramite code review di eventuali falsi
positivi nella scansione e la loro corretta gestione
23 Audit delle vulnerabilit
Verifica della compliance dellapplicazione ad
Gli strumenti a supporto
Le caratteristiche dei tool leader
Capacit di supportare gli attori coinvolti
nelle fasi del Ciclo di Vita del Software
sicuro in tutte le attivit relative alla
gestione della Sicurezza Applicativa;
Capacit di effettuare non solo Analisi
Statica (white box) del codice sorgente ma
anche Analisi Dinamiche (black box) nelle Gartner RAS Core Research 6
fasi di test; February 2009
25
Grazie per lattenzione
Relatore
Massimiliano Argiolu
Formit Servizi Spa
massimiliano.argiolu@formitservizi.com
www.formit.org
www.formitservizi.com