Domenico Ercolani Come gestire la sicurezza delle applicazioni web

Transcript

1 Domenico Ercolani Come gestire la sicurezza delle applicazioni web

2 Agenda Concetti generali di sicurezza applicativa La soluzione IBM

3 La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow Cookie Poisoning Hidden Fields Cross Site Scripting Stealth Commanding Parameter Tampering Forceful Browsing SQL Injection Etc % di attacchi % di euro 75% 25% Applicazioni Web Server Rete 10% 90% 75% 2/3 degli attacchi alla sicurezza informatica sono diretti verso il livello delle applicazioni Web di tutte le applicazioni Web sono considerate vulnerabili Sources: Gartner, Watchfire

4 Perchè è importante gestire la sicurezza durante l intero ciclo di sviluppo? Codifica Compilazione Qualità Sicurezza Produzione Sviluppatori Sviluppatori Sviluppatori

5 +Qualità + Sicurezza = Riduzione Costi L 80% dei costi di sviluppo è speso per individuare e correggere i difetti! During the coding phase $25/defect During the build phase $100/defect During the QA/Testing phase $450/defect I costi di correzione dei difetti aumentano Once released as a product $16,000/defect

6 Maturità del modello di Security Test Evoluzione della Web Application Security In-House White-Grey Strategic Black Box In-House Analysis Evangelization Sicurezza pienamente integrata nel ciclo di vita delle applicazioni e parte Integrante del processo di Quality Assurance Condivisione dei risultati degli Audit con gli Sviluppatori e definizione di metodologie di sviluppo sicure basate sulle best-practice Black In-House Box Tactical Analysis Audit da parte dell Ufficio Sicurezza e/o QA sulle applicazioni in Produzione o in Pre-Produzione Oursourced Vulnerability Assessment affidati a società specializzate per le applicazioni più critiche Nothing

7 IBM Rational AppScan Overview

8 Rational Software Quality Management IBM Collaborative Application Lifecycle Management Rational Quality Manager Quality Dashboard Requirements Management Test Management and Execution Defect Management Create Plan Build Tests Manage Test Lab Report Results Best Practice Processes Functional Testing SAP Java Performance Testing JAZZ TEAM SERVER Open Lifecycle Service Integrations Web Service Quality Code Quality System z, i.net Security and Compliance

9 Rational AppScan per l analisi dinamica (black-box analysis) AppScan è la soluzione leader di mercato per l identificazione delle vulnerabilità della sicurezza applicativa (in modalità Black-box) e del relativo processo di risoluzione AppScan offre una soluzione per tutte le tipologie di test di sicurezza applicativa - esternalizzato, a livello utente o aziendale Fornisce report descrittivi ed operativi con azioni e raccomandazioni concrete AppScan automatizza le attività di test della sicurezza applicativa Dai responsabili della qualità per garantire che le applicazioni siano sicure prima di essere rilasciate Dai certificatori per monitorare continuamente lo stato della sicurezza

10 Rational AppScan per l analisi dinamica (black-box analysis) Naviga sull applicazione e costruisce il site model Determina i tipi di attacchi basandosi sulle Test policy selezionate Esegue i test mandando verso l applicazione richieste HTTP modificate ed esamina le risposte HTTP utilizzando regole di validazione HTTP Request Web Application HTTP Response

11 Rational AppScan per l analisi statica (white-box analysis) Soluzioni di Web Application Security per lo Sviluppo AppScan Developer Edition permette agli sviluppatori di effettuare test di sicurezza Plug-in dell ambiente di sviluppo AppScan Build Edition assicura che tutto il codice sia stato controllato prima della compilazione Integrato con le soluzioni di Build Automation

12 Rational AppScan per l analisi statica (white-box analysis) Total Potential Security Issues GREY BOX Analisi del codice durante l esecuzione dell applicazione ANALISI Static Analysis Runtime Analysis COMBINATA Dynamic Analysis BLACK BOX Analisi tramite richieste HTTP con riferimento diretto delle vulnerabilità al codice WHITE BOX Analisi del codice fatta dal programmatore

13 Rational AppScan per l analisi statica (white-box analysis) Rational AppScan Developer e Build Edition Disegnata per gli Sviluppatori, non Auditors Self-Serve Non richiede competenze di sicurezza Naturalmente integrata nel processo / tools di SDLC (Software Development Life Cycle)

14 Black- Box Analysis vs. White-Box Analysis Analisi Plus Minus Black Box White / Grey Box - Completa perchè esamina l intero enviroment dell applicazione - Effettuabile anche senza avere il codice a disposizione - Utilizzabile su tutte le applicazioni web perchè non legata al linguaggio di sviluppo, compreso web-services e web 2.0 (Ajax) - Basso impatto organizzativo - Eseguibile all inizio del ciclo di vita - Le vulnerabilità rilevate sono riferite direttamente al codice - Utilizzabile su tutte le tipologie di applicazioni, non solo web (dipende da quali ambienti di sviluppo / linguaggi sono coperti) - Si deve avere a disposizione un eseguibile (quindi già avanti nel ciclo di sviluppo) - Le vulnerabilità individuate sono riferite al campo / pagina - Utilizzabile sono per applicazioni web (protocollo HTTP - HTTPs) - Può identificare solo una parte delle potenziali vulnerabilità - Elevato numero di falsi positivi - Disponibile solo per alcuni ambienti di sviluppo / linguaggi - Alto impatto organizzativo

15 D O M A N D E?