SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

Transcript

1 SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede. Limitarsi a un penetration test applicativo non è più sufficiente. È per questo che Spike Reply, attraverso la sua offerta Spike Application Security, offre una soluzione modulare per introdurre la sicurezza all interno del ciclo di vita del software. SCENARIO L espansione dei servizi offerti attraverso il web e il fenomeno del social networking hanno dato una forte spinta alla domanda di applicazioni sicure. La preoccupazione maggiore per gli utenti di tali servizi è quella che i loro dati non possano essere trafugati e quindi che non possano subire un danno economico a causa di un illecito informatico. D altro canto, chi fornisce un servizio, ha la preoccupazione di garantire un adeguato livello di confidenzialità dei propri servizi per guadagnare clienti e soprattutto per non subire danni economici per l esposizione ad un attacco informatico. Questi elementi hanno portato, chi pubblica servizi online attraverso applicazioni web, a ricercare nuovi modi di scrivere applicazioni intrinsecamente sicure. Spike Reply, per rispondere a questa crescente domanda, ha sviluppato l offerta Spike Application Security con lo scopo di aiutare i propri clienti nell introduzione della sicurezza in tutte le fasi del ciclo di vita del software. Reply

2 2 SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE UN ARCHITETTURA MODULARE A SERVIZI Una delle caratteristiche principali di una linea di offerta che mira ad integrarsi con un workflow di sviluppo presente in un ambiente enterprise non può prescindere da una forte scalabilità e da una forte verticalità dei servizi offerti. L esperienza ci porta a categorizzare gli ambienti di sviluppo come ambienti complessi con dinamiche che devono essere affrontate in modo agile. Per questo motivo l offerta di Spike Reply è costituita da un framework di intervento formato da sei servizi: Application Architecture Risk Analysis Static Code Review Application Penetration Testing Vulnerability Remediation Secure code Guidelines Security Tools Questi sei servizi sono in grado di offire al cliente l introduzione della sicurezza in tutti i punti del ciclo di vita del software. I sei sono pensati per essere adattati alle realtà del cliente in modo da avere il minor impatto possibile, appunto per evitare di rovinare equilibri preziosi per un ambiente corporate. Per raggiungere al meglio questo obiettivo, tutti i progetti proposti da Spike Reply e che utilizzano questo framework sono preceduti da un accurata analisi dello scenario. Questa analisi, oltre a recepire l ambiente in essere dal cliente, ha lo scopo di aiutare l ambiente ad adattarsi ai cambiamenti introdotti nelle fasi del ciclo di vita del software grazie all adozione, in prima battuta, degli accorgimenti di impatto minore per il cliente. APPLICATION ARCHITECTURE SYSTEM RISK ANALYSIS Rilevare una vulnerabilità che interessa la logica applicativa (es. il meccanismo di gestione della sessione di un sito di home banking) può richiedere un effort per la remediation che non è economicamente sostenibile. Per evitare di dover disfarsi di un architettura applicativa complessa ma vulnerabile, quindi perdendo molto tempo per ricrearne una nuova, è una buona prassi quella di gettare delle buone fondamente per le applicazioni web.

3 3 SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE L offerta di Spike Application Security offre proprio come primo servizio quello di assessment della logica e dell architettura applicativa attraverso una risk analysis ed un threat modeling. Per Spike Reply, aiutare gli architetti software nel disegnare un architettura applicativa che risulta solida ad un attività di threat modeling, è un obiettivo imprescindibile per ottenere del codice che sia sicuro e di qualità. Coinvolti in questa fase sono i designer dell applicazione, gli architetti ed il project manager affiancati da un esperto in disegno sicuro di applicazioni. Al termine di questa fase, come deliverable e quindi allegati alla documentazione ufficiale di progetto, il report del threat modeling ed il documento di disegno dell architettura andranno a costituire l ossatura sulla quale saranno implementati i singoli moduli applicativi. STATIC CODE REVIEW Il servizio sicuramente più innovativo tra quelli proposti nell offerta Spike Application Security. La revisione statica del codice è una pratica consolidata in America, tanto da essere citata nel paragrafo 6.6 dello standard PCI come condizione necessaria per ottenere la certificazione della propria applicazione. Nel mercato italiano, si sta prendendo in questi anni la consapevolezza di dover affiancare in qualche modo le attività di penetration test applicativo. In risposta a questa consapevolezza, Spike Reply offre ai propri clienti un servizio di revisione del codice collocato al termine della fase di sviluppo, quando ormai il codice è consolidato. Questo servizio viene erogato attraverso le metodologie descritte nella Owasp Code Review Guide e con i principali tool di revisione del codice sia commerciali che opensource. L attività viene finalizzata da un intervento manuale volto a recepire i risultati dell assessment automatico per andare ad eliminare eventuali falsi positivi cercando di contestualizzare al meglio la vulnerabilità nell ambiente del cliente. Il report di revisione statica conterrà le vulnerabilità individuate nel codice all interno di un piano di remediation con un indice di priorità di intervento, i link alla letteratura

4 4 SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE esistente per comprendere meglio la problematica e un esempio di codice, opportunamente contestualizzato, che risolve la problematica in oggetto. VULNERABILITY REMEDIATION Ideale compendio del servizio di analisi statica del software, il servizio di Vulnerability remediation vuole fornire al cliente un supporto diretto ai propri sviluppatori per correggere le vulnerabilità emerse durante l attività di verifica. SECURE CODE GUIDELINE Lo sviluppatore, durante l implementazione dei requisiti funzionali, non è supportato dal punto di vista della sicurezza del codice che sta producendo. La documentazione a cui può fare riferimento tratta, solitamente aspetti del linguaggio riguardanti la mera implementazione del codice. Per questo motivo, Spike Reply, dopo aver recepito le abitudini del team di sviluppo, è in grado di dare loro supporto producendo una serie di linee guida, materiali operativi e blueprint che spieghino come utilizzare i vari linguaggi di programmazione per implementare del codice che sia robusto rispetto alle vulnerabilità note in letteratura (secondo gli standard CWE, SANS ed Owasp). SECURITY TOOL L offerta di Spike Application Security prevede il servizio di implementazione o di customizzazione di tool di analisi statica opensource per venire incontro ad esigenze particolari dei propri clienti. Spesso può nascere l esigenza di integrare un tool di analisi statica del codice in maniera del tutto trasparente rispetto alla normale operatività degli sviluppatori, ad esempio integrandolo in un sistema di change o di valutazione della qualità del software. In questi casi Spike Reply è in grado di prendere le migliori soluzioni opensource ed calarle nella realtà del cliente.

5 5 SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE All interno del Gruppo Reply SpA, Spike Reply è la società specializzata sulle tematiche relative all area della Sicurezza e della tutela dei Dati Personali. Spike Reply ha definito un offerta completa, integrata e coerente per affrontare ogni aspetto del rischio associato ad un sistema informativo: dall individuazione delle minacce e delle vulnerabilità, alla definizione, progettazione e di implementazione delle relative contromisure tecnologiche, legali, organizzative, assicurative o di ritenzione del rischio. Spike Reply