Come gestire al meglio la sicurezza e la compliance delle applicazioni Web

Transcript

1 IBM Software Group Come gestire al meglio la sicurezza e la compliance delle applicazioni Web Paolo Cravino paolo_cravino@it.ibm.com Senior IT Specialist Solution Leader 2008 IBM Corporation

2 Agenda Concetti generali di sicurezza applicativa La soluzione IBM Rational 2

3 Security IBM Software Group Rational software Sapevate che 75% Degli attacchi alla sicurezza informatica sono diretti verso il livello delle applicazioni Web 3

4 Security IBM Software Group Rational software Il rischio è reale? 4

5 Security Non ci sono dati ufficiali. Si sa però che in Italia nel 2007 gli hacker in generale hanno causato danni per più di 5M euro con le truffe online. 5

6 Security IBM Software Group Rational software Il mito: Il nostro sito Web è sicuro Abbiamo dei Firewalls Abbiamo dei revisori che effettuano ogni trimestre test di intrusione Utilizziamo strumenti di controllo della vulnerabilità della rete 6

7 Security IBM Software Group Rational software La realtà: sicurezza e spesa non sono bilanciati Sicurezza Spesa Buffer Overflow Cookie Poisoning Hidden Fields Cross Site Scripting Stealth Commanding Parameter Tampering Forceful Browsing SQL Injection Etc % di attacchi % di euro 75% 25% Applicazioni Web Server Rete 10% 90% 75% 2/3 degli attacchi alla sicurezza informatica sono diretti verso il livello delle applicazioni Web di tutte le applicazioni Web sono considerate vulnerabili Sources: Gartner, Watchfire 7

8 Lista OWASP Top 10 (Open Web Application Security Project) Tipologia attacco Impatto negativo Esempio di impatto Cross Site Scripting Injection Flaws Malicious File Execution Insecure Direct Object Reference Cross-Site Request Forgery Information Leakage and Improper Error Handling Broken Authentication & Session Management Insecure Cryptographic Storage Insecure Communications Identity Theft, Sensitive Information Leakage, Attacker can manipulate queries to the DB / LDAP / Other system Execute shell commands on server, up to full control Attacker can access sensitive files and resources Attacker can invoke blind actions on web applications, impersonating as a trusted user Attackers can gain detailed system information Session tokens not guarded or invalidated properly Weak encryption techniques may lead to broken encryption Sensitive info sent unencrypted over insecure channel Hackers can impersonate legitimate users, and control their accounts. Hackers can access backend database information, alter it or steal it. Site modified to transfer all interactions to the hacker. Web application returns contents of sensitive file (instead of harmless one) Blind requests to bank account transfer money to hacker Malicious system reconnaissance may assist in developing further attacks Hacker can force session token on victim; session tokens can be stolen after logout Confidential information (SSN, Credit Cards) can be decrypted by malicious users Unencrypted credentials sniffed and used by hacker to impersonate user Failure to Restrict URL Access Hacker can access unauthorized resources Hacker can forcefully browse and access a page past the login page 8

9 Previsione di Gartner sulla sicurezza applicativa Entro il 2009, l 80% delle aziende dovranno affrontare problemi di sicurezza applicativa e, di conseguenza, dovranno provvedere identificando ruoli adeguati nei team di sviluppo e di test per garantire che la sicurezza sia introdotta e gestita anche al livello applicativo Entro il 2008, la sicurezza applicativa diventerà un importante criterio di valutazione, paragonabile a quello di accessibilità al sistema 9

10 Come è fatta un applicazione Web? Data Database Backend Applicativo Frontend Applicativo Codice Interfaccia Utente Web Server La logica di business abilita: Le interazioni utente con il sito Web La transazionalità e l interfacciamento con i sistemi di backend (databases, CRM, ERP, etc) Sotto forma di: Pacchetti software di terze parti (e.g. web server, application server, pacchetti software, etc.) Codice sviluppato in casa o da system integrator Input utenti HTML/HTTP Browser I flussi di input e di output passano attraverso ogni livello dell applicazione. Una vulnerabilità in uno dei livelli può causare danni all intera applicazione. 10

11 Le soluzioni esistenti non indirizzano questa problematica Firewalls e IPS (Intrusion Prevention System) non bloccano eventuali attacchi al livello applicativo La porta 80 è disponibile per essere utilizzata. Strumenti di scansione della rete non identificano eventuali vulnerabilità applicative Nessus, IBM ISS, Qualys, Nmap, etc. Chi sviluppa applicazioni Web non ha conoscenze adeguate di sicurezza applicativa 64% degli sviluppatori non sono confidenti di poter scrivere applicazioni sicure Microsoft Developer Research 11

12 Perché la sicurezza nelle applicazioni Web dovrebbe essere parte di un programma di gestione del rischio? Ridurre i costi dei Recovery & Fixes Ridurre il costo dei test di sicurezza aumentando la copertura Assicurare la fiducia nei clienti Promuovere l adozione nell uso dei siti Web Portare un vantaggio competitivo 12

13 Quanto costa correggere i problemi? Scoperti in fase di Disegno Scoperti in fase di Codifica Scoperti in Integrazione Scoperti in Collaudo - PreProduzione Scoperti in Produzione Errori Architetturali 1x 5x 10x 15x 30x Errori di Codifica 1x 10x 20x 30x Errori di Integrazione 1x 10x 20x * Rapporto dettagliato su costi ed impatti: 13

14 Security IBM Software Group Rational software Sicurezza applicativa Livelli di sicurezza aziendale PC Trasporto Rete Applicazioni Web Protezioni Antivirus Crittografia (SSL) Firewalls / Routers Firewall Application Servers Backend Server Web Servers Databases 14

15 Watchfire IBM Software Group Rational software Fornitore leader di strumenti di gestione della sicurezza di applicazioni Web, unica azienda in grado di fornire una soluzione completa per identificare, capire e risolvere i problemi La soluzione Watchfire permette di evidenziare in forma molto dettagliata vulnerabilità relative ad applicazioni Web definendo i processi e le azioni che permettono di risolverle #1 in Market Share per la sicurezza applicativa (IDC, Gartner) Breve storia: Fondata nel 1996, Headquarters in Waltham, MA Più di 800 clienti Prodotti: AppScan soluzione per la sicurezza di applicazioni Web Policy Tester soluzione per l accessibilità e la compliance di applicazioni Web #1 in Market Share per la sicurezza applicativa Gartner & IDC Best Security Company 15

16 Rational Software Quality Management BUSINESS SOLUZIONI DI GESTIONE DELLA QUALITA Test e Gestione Cambiamenti Requisiti Test Cambiamenti Rational RequisitePro Rational ClearQuest Rational ClearQuest Difetti Rational ClearQuest SVILUPPO Test Sviluppo Rational PurifyPlus Rational Test RealTime Automazione Test Test Funzionale Rational Functional Tester Plus Automatici Manuali Rational Rational Functional Tester Manual Tester Test Sicurezza e Conformità AppScan Policy Tester Test Prestazionale Rational Performance Tester ESERCIZIO Rational Robot Metriche Qualità Controllo Progetti Dettaglio Risultati Test Report Qualità 16

17 Cosa fa AppScan? AppScan è la soluzione leader di mercato per l identificazione delle vulnerabilità della sicurezza applicativa e del relativo processo di risoluzione Fornisce report descrittivi ed operativi con azioni e raccomandazioni concrete AppScan offre una soluzione per tutte le tipologie di test di sicurezza applicativa - esternalizzato, a livello utente o aziendale AppScan automatizza le attività di test della sicurezza applicativa durante l intero ciclo di sviluppo Dagli sviluppatori per costruire applicazioni sicure Dai responsabili della qualità per garantire che le applicazioni siano sicure prima di essere rilasciate Dai certificatori per monitorare continuamente lo stato della sicurezza 17

18 Come lavora AppScan? Ha un approccio di tipo black-box Naviga sull applicazione e costruisce il site model Determina i tipi di attacchi basandosi sulle Test policy selezionate Esegue i test mandando verso l applicazione richieste HTTP modificate ed esaminando le risposte HTTP utilizzando regole di validazione HTTP Request Web Application HTTP Response 18

19 Gestire la sicurezza durante l intero ciclo di sviluppo Ciclo Sviluppo Software Codifica Compilazione Qualità Sicurezza Produzione Sviluppatori Fornisce alla Sicurezza gli strumenti per comunicare efficacemente I punti di vulnerabilità agli sviluppatori Sviluppatori Sviluppatori Fornisce a Sviluppatori e Tester informazioni dettagliate su vulnerabilità e azioni correttive Garantisce che le vulnerabilità siano indirizzate prima della messa in produzione delle applicazioni 19

20 Sicurezza Applicativa: maturità e modello evolutivo SCARSA CONOSCENZA FASE CONOSCITIVA FASE CORRETTIVA FASE ECCELLENZA OPERATIVA BLISSFUL IGNORANCE 10 % 30 % Maturità 30 % 30 % Durata: 2-3 anni Tempo 20

21 Learn more at: IBM Rational software IBM Rational Software Delivery Platform Process and portfolio management Change and release management Quality management Architecture management Rational trial downloads developerworks Rational IBM Rational TV IBM Rational Business Partners Copyright IBM Corporation All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, the on-demand business logo, Rational, the Rational logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. 21