Domenico Ercolani Gestire la sicurezza e la compliance delle applicazioni web

Transcript

1 Domenico Ercolani Gestire la sicurezza e la compliance delle applicazioni web

2 Agenda Concetti generali di sicurezza applicativa Rational AppScan Standard / Enterprise Edition Source Edition > Black-Box Analysis > White- Box Analysis Rational Policy Tester Quality / Accessibility / Privacy Compliance

3 Cosa è la sicurezza applicativa? Per sicurezza applicativa si intende la sicurezza delle applicazioni, in modo particolare delle applicazioni web Le applicazioni web sono soggette a vulnerabilità che possono comprometterne il funzionamento, permetterne un utilizzo fraudolento, permettere il furto di identità, permettere il furto di informazioni e dati gestiti dalle applicazioni stesse Le vulnerabilità applicative più diffuse sono Cross Site Scripting SQL Injection Parameter Tampering

4 La spesa per la sicurezza non è bilanciata Sicurezza Spesa % di attacchi % di euro Applicazioni Web 10% 75% 90% 25% Server Rete 75% 2/3 degli attacchi alla sicurezza informatica sono diretti verso il livello delle applicazioni Web di tutte le applicazioni Web sono considerate vulnerabili Sources: Gartner, X-Force

5 Le soluzioni di sicurezza per la infrastruttura non indirizzano appieno questa problematica Firewalls e IPS (Intrusion Prevention System) non possono bloccare tutti gli eventuali attacchi al livello applicativo La porta 80 deve essere disponibile per essere utilizzata Strumenti di scansione della rete non identificano eventuali vulnerabilità applicative Nessus, IBM ISS, Qualys, Nmap, etc. Chi sviluppa applicazioni Web non ha conoscenze adeguate di sicurezza applicativa 64% degli sviluppatori non sono confidenti di poter scrivere applicazioni sicure (fonte Microsoft Developer Research)

6 Gestire la sicurezza durante l intero ciclo di sviluppo SDLC Coding Build QA Security Production Developers Developers Developers Application Security Testing Maturity

7 +Qualità + Sicurezza = Riduzione Costi L 80% dei costi di sviluppo è speso per individuare e correggere i difetti! During the coding phase $25/defect During the build phase $100/defect During the QA/Testing phase $450/defect Once released as a product $16,000/defect I costi di correzione dei difetti aumentano

8 Maturità del modello di Security Test Evoluzione della Web Application Security In-House Strategic Sicurezza pienamente integrata nel ciclo di vita delle applicazioni e parte Integrante del processo di Quality Assurance In-House Evangelization Condivisione dei risultati degli Audit con gli Sviluppatori e definizione di metodologie di sviluppo sicure basate sulle best-practice In-House Tactical Audit da parte dell Ufficio Sicurezza e/o QA sulle applicazioni in Produzione o in Pre-Produzione Oursourced Vulnerability Assessment affidati a società specializzate per le applicazioni più critiche Nothing

9 Maturità del modello di Security Test Evoluzione della Web Application Security In-House White Strategic / Black Box Analysis In-House Evangelization Sicurezza pienamente integrata nel ciclo di vita delle applicazioni e parte Integrante del processo di Quality Assurance Condivisione dei risultati degli Audit con gli Sviluppatori e definizione di metodologie di sviluppo sicure basate sulle best-practice Black Box In-House Analysis Tactical Audit da parte dell Ufficio Sicurezza e/o QA sulle applicazioni in Produzione o in Pre-Produzione Oursourced Vulnerability Assessment affidati a società specializzate per le applicazioni più critiche Nothing

10 Riduzione costi, aumento copertura Esternalizzata Costi per Applicazione Testata Interna, ma non strutturata Interna, strutturata ed organizzata 0% 25% 50% 75% Copertura Applicazioni 100%

11 IBM Rational AppScan Overview

12 Rational Software Quality Management IBM Collaborative Application Lifecycle Management Rational Quality Manager Quality Dashboard Requirements Management Test Management and Execution Defect Management Create Plan Build Tests Manage Test Lab Report Results Best Practice Processes Functional Testing SAP Java Performance Testing JAZZ TEAM SERVER Open Lifecycle Service Integrations Web Service Quality Code Quality System z, i.net Security and Compliance

13 IBM Rational AppScan Ecosystem AppScan Enterprise / Reporting Console / Source Ed Core White Box Black Box AppScan Source Ed for Developer / Remediation AppScan Ent. QuickScan (web client) Analysis AppScan Source Ed for Automation (scanning agent) (QA clients) AppScan Tester Ed Analysis AppScan Enterprise user (web client) AppScan Standard Ed (desktop) Rational Application Developer Rational Software Analyzer Rational ClearCase Rational Build Forge Rational Quality Manager AppScan Source Ed for Security Rational ClearQuest / Issue Management CODE Build security testing into the IDE* BUILD Automate Security / Compliance testing in the Build Process QA Security / compliance testing incorporated into testing & remediation workflows SECURITY Security & Compliance Testing, oversight, control, policy, audits IBM Rational Web Based Training for AppScan

14 IBM Rational AppScan Standard & Enterprise Edition Overview

15 Cosa fa AppScan Standard / Enterprise Edition AppScan è la soluzione leader di mercato per l identificazione delle vulnerabilità della sicurezza applicativa (in modalità Black-box) e del relativo processo di risoluzione AppScan offre una soluzione per tutte le tipologie di test di sicurezza applicativa - esternalizzato, a livello utente o aziendale Fornisce report descrittivi ed operativi con azioni e raccomandazioni concrete AppScan automatizza le attività di test della sicurezza applicativa Dai responsabili della qualità per garantire che le applicazioni siano sicure prima di essere rilasciate Dai certificatori per monitorare continuamente lo stato della sicurezza

16 Come lavora AppScan Standard / Enterprise? Ha un approccio di tipo black-box Naviga sull applicazione e costruisce il site model Determina i tipi di attacchi basandosi sulle Test policy selezionate Esegue i test mandando verso l applicazione richieste HTTP modificate ed esamina le risposte HTTP utilizzando regole di validazione HTTP Request Web Application HTTP Response

17 IBM Rational AppScan Source Edition Overview

18 Rational AppScan Source Ed Deployment Overview Build Rational AppScan Source for Automation Functions: Rational AppScan Source Ed Core Development Rational AppScan Source Ed for Developer or for Remediation Security Rational AppScan Source Ed for Security 21

19 Black- Box Analysis vs. White-Box Analysis Analisi Plus Minus Black Box White Box - Completa perchè esamina l intero enviroment dell applicazione - Effettuabile anche senza avere il codice a disposizione - Utilizzabile su tutte le applicazioni web perchè non legata al linguaggio di sviluppo, compreso web-services e web 2.0 (Ajax) - Basso impatto organizzativo - Eseguibile all inizio del ciclo di vita - Le vulnerabilità rilevate sono riferite direttamente al codice - Utilizzabile su tutte le tipologie di applicazioni, non solo web (dipende da quali ambienti di sviluppo / linguaggi sono coperti) - Si deve avere a disposizione un eseguibile (quindi già avanti nel ciclo di sviluppo) - Le vulnerabilità individuate sono riferite al campo / pagina - Utilizzabile sono per applicazioni web (protocollo HTTP - HTTPs) - Può identificare solo una parte delle potenziali vulnerabilità - Elevato numero di falsi positivi - Disponibile solo per alcuni ambienti di sviluppo / linguaggi - Alto impatto organizzativo

20 Learn more at: IBM Rational software IBM Rational Software Delivery Platform Process and portfolio management Change and release management Quality management Architecture management Rational trial downloads developerworks Rational IBM Rational TV IBM Rational Business Partners Copyright IBM Corporation All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, the on-demand business logo, Rational, the Rational logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.

21 B A C K U P

22 IBM Rational Policy Tester Overview

23 Compliance per Siti / Portali e applicazioni web Il Portale e le applicazioni rese disponibili attraverso il web sono un importante strumento per la comunicazione aziendale e parte integrante dei processi di business. Per questo è importante curarne la qualità e la compliance con le normative di riferimento. Rational Policy Tester - Qualità - Accessibilità - Privacy

24 Rational Policy Tester: Modulo Qualità Alcuni dei controlli effettuati: Link non accessibili Errori ortografici Errori applicativi Caricamento di pagine lento Problemi di ricerca Compatibilità con i diversi browser Quali sono i rischi? Potenziale perdita di business per clienti che abbandonano la navigazione Aumento dei costi di supporto Danno all immagine aziendale

25 Rational Policy Tester: Modulo Accessibilità Alcuni dei controlli effettuati: Font e sfondi Gestione immagini Compliance con normative (W3C, ecc ) Quali sono i rischi? Controversie legali Impossibilità di essere presenti su siti pubblici / governativi Danno all immagine aziendale

26 Rational Policy Tester: Modulo Privacy Alcuni dei controlli effettuati: Verifica gestione cookies Verifica presenza diciture su Dati Sensibili Verifica protezione accesso a Dati Sensibili Compliance con normative (Safe Harbor, ecc ) Quali sono i rischi? Controversie legali Danno all immagine aziendale

27 Summary delle funzionalità di Rational Policy Tester Verifica della qualità e della compliance dell intero set di applicazioni web aziendali Multilingua (Inglese, Italiano, Francese, Tedesco, Giapponese, Coreano, Cinese mandarino) Risultati visualizzabili attraverso dashboard grafico con accesso regolato da profilazione utenze / ruoli Report dettagliati contestualizzati ai differenti ruoli coinvolti con informazioni su come operare per correggere i problemi identificati Possibilità di lavorare sulla personalizzazione dei controlli e dei reports Impatto zero sull utilizzo da parte degli utenti (applicazione server con accesso tramite browser)