Domenico Ercolani Come gestire la sicurezza delle ... Rete Applicazioni Web La spesa per la...
Transcript of Domenico Ercolani Come gestire la sicurezza delle ... Rete Applicazioni Web La spesa per la...
Server Rete
Applicazioni Web
La spesa per la sicurezza non è bilanciata
% di attacchi % di euro
75%
10%
25%
90%
Sources: Gartner, Watchfire
Sicurezza Spesa
degli attacchi alla sicurezza informaticasono diretti verso il livello delle applicazioni Web
75%75%di tutte le applicazioni Web sono considerate vulnerabili2/32/3
•Buffer Overflow•Cookie Poisoning•Hidden Fields•Cross Site Scripting•Stealth Commanding•Parameter Tampering•Forceful Browsing•SQL Injection•Etc…
Perchè è importante gestire la sicurezza durante l’intero ciclo di sviluppo?
Compilazione
Sviluppatori
Sviluppatori
Sviluppatori
Codifica Qualità Sicurezza Produzione
+Qualità + Sicurezza = Riduzione Costi
During the coding phase
$25/defect
During the build phase
$100/defect
Once released as a product
$16,000/defectDuring the QA/Testing phase
$450/defect
I costi di correzione dei difetti aumentano…
L’ 80% dei costi di sviluppo è speso per individuare e correggere i difetti!
Maturità del modello di “Security Test”EvoluzioneEvoluzione delladella ““Web Application SecurityWeb Application Security””
In-House Strategic InIn--House House StrategicStrategic
Audit da parte dell’Ufficio Sicurezza e/o QA sulleapplicazioni in Produzione o in Pre-Produzione
Vulnerability Assessment affidati a societàspecializzate per le applicazioni più critiche
NothingNothing
OursourcedOursourced
Condivisione dei risultati degli Audit con gliSviluppatori e definizione di metodologie disviluppo sicure basate sulle “best-practice”
In-HouseTactical
In-HouseTactical
In-HouseEvangelization
In-HouseEvangelization
Sicurezza pienamenteintegrata nel ciclo di vitadelle applicazioni e parteIntegrante del processodi Quality Assurance
White-GreyBlack BoxAnalysis
Black BoxAnalysis
Rational Software Quality Management
JAZZ TEAM SERVER
ManageTest Lab
CreatePlan
BuildTests
ReportResults
IBM Collaborative Application Lifecycle Management
FunctionalTesting Performance
TestingCode
Quality
Security andCompliance
Test Management and Execution
Rational Quality ManagerQuality Dashboard
Open Lifecycle Service Integrations
DefectManagement
RequirementsManagement
Best Practice Processes
JavaSystem z, iSAP
.NET
Web ServiceQuality
• AppScan è la soluzione leader di mercato per l’identificazione delle vulnerabilità della sicurezza applicativa (in modalità Black-box) e del relativo processo di risoluzione
• AppScan offre una soluzione per tutte le tipologie di test di sicurezza applicativa - esternalizzato, a livello utente o aziendale
• Fornisce report descrittivi ed operativi con azioni e raccomandazioni concrete• AppScan automatizza le attività di test della sicurezza applicativa
– Dai responsabili della qualità per garantireche le applicazioni siano sicure prima di essererilasciate
– Dai certificatori per monitorare continuamentelo stato della sicurezza
Rational AppScan per l’analisi dinamica (black-box analysis)
• Naviga sull’applicazione e costruisce il “site model”• Determina i tipi di attacchi basandosi sulle “Test policy” selezionate• Esegue i test mandando verso l’applicazione richieste HTTP modificate ed
esamina le risposte HTTP utilizzando regole di validazione
HTTP RequestWeb Application
HTTP Response
Rational AppScan per l’analisi dinamica (black-box analysis)
Soluzioni di Web Application Security per lo Sviluppo
AppScan Developer Edition permette agli sviluppatori di effettuare test di sicurezza– Plug-in dell’ambiente di sviluppo
AppScan Build Edition assicura che tutto il codice sia stato controllato prima della compilazione– Integrato con le soluzioni di Build Automation
Rational AppScan per l’analisi statica (white-box analysis)
Total PotentialTotal PotentialSecurity IssuesSecurity Issues
DynamicDynamicAnalysisAnalysis
StaticStaticAnalysisAnalysis
BLACK BOXAnalisi tramite richieste HTTP con riferimento diretto delle vulnerabilità al codice
BLACK BOXAnalisi tramite richieste HTTP con riferimento diretto delle vulnerabilità al codice
WHITE BOXAnalisi del codice fatta dal programmatore
WHITE BOXAnalisi del codice fatta dal programmatore
Runtime Analysis
GREY BOXAnalisi del codice durante l’esecuzione dell’applicazione
GREY BOXAnalisi del codice durante l’esecuzione dell’applicazione
Rational AppScan per l’analisi statica (white-box analysis)
ANALISI
COMBINATA
Rational AppScan Developer e Build Edition
• Disegnata per gli Sviluppatori, non Auditors
• Self-Serve – Non richiede competenze di sicurezza
• Naturalmente integrata nel processo / tools di SDLC (Software Development Life Cycle)
Rational AppScan per l’analisi statica (white-box analysis)
Black- Box Analysis vs. White-Box AnalysisAnalisi Plus Minus
Black Box - Completa perchè esamina l’intero enviroment dell’applicazione- Effettuabile anche senza avere il codice a disposizione- Utilizzabile su tutte le applicazioni web perchè non legata al linguaggio di sviluppo, compreso web-services e web 2.0 (Ajax)- Basso impatto organizzativo
- Si deve avere a disposizione un eseguibile (quindi già avanti nel ciclo di sviluppo)- Le vulnerabilità individuate sono riferite al campo / pagina- Utilizzabile sono per applicazioni web (protocollo HTTP - HTTPs)
White / Grey Box - Eseguibile all’inizio del ciclo di vita- Le vulnerabilità rilevate sono riferite direttamente al codice - Utilizzabile su tutte le tipologie di applicazioni, non solo web (dipende da quali ambienti di sviluppo / linguaggi sono coperti)
- Può identificare solo una parte delle potenziali vulnerabilità- Elevato numero di “falsi positivi”- Disponibile solo per alcuni ambienti di sviluppo / linguaggi- Alto impatto organizzativo