140 likes | 292 Views
Bezpe čnostní požadavky pro výběr a implementaci webové aplikace. Daniel Kefer II. konference ČIMIB 20. května 2009. Agenda. Motivace Normy a projekty v rámci popisované oblasti Bezpečný vývoj aplikací Jak začít? Case study Diskuse přínosů.
E N D
Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009
Agenda • Motivace • Normy a projekty v rámci popisované oblasti • Bezpečný vývoj aplikací • Jak začít? • Case study • Diskuse přínosů
Motivace Aktuální stav bezpečnosti webových aplikací: • 80% útoků směrovaných na webové aplikace • Twitter (letos 2 velké úspěšné útoky) • Facebook (značné množství úspěšných útoků) • Google hacking • obchodování s osobními údaji (cena již od 0.06$) Důvody • Business požadavky na nové funkcionality • Nové technologie • Bezpečnost v rámci vývojového cyklu aplikace: • nefunkcionální bezpečnostní požadavky • provedení penetračních testů po její implementaci
Bezpečný vývoj aplikací Normy a organizace podporující bezpečný vývoj aplikací: • ISO/IEC 27000 Series (27034 – Guidelinesforapplicationsecurity) • CommonCriteria (ISO/IEC 15048) • NIST • SP 800-64 - Security Considerations in the System Development Life Cycle • SP 800-53 - Recommended Security Controls for Federal Information Systems and Organizations • OWASP • DevelopmentGuide, CodeReviewGuide, TestingGuide • Legal Project • ASVS (ApplicationSecurityVerification Standard) • CLASP (Comprehensive, Lightweight Application Security Process) • SANS, WASC, ...
Bezpečný vývoj aplikací SDLC (Software Development Lifecycle)
Jak začít? • Zařazení bezpečnostního konzultanta na projekt již od fáze definice funkčních požadavků • Vypracování bezpečnostního standardu pro jednotlivé bezpečnostní kategorie aplikací v oblastech (např. NIST): • Access Control • Awareness and Training • Audit and Accountability • Certification, Accreditation, and Security Assessments • Configuration Management • Contingency Planning • Identification and Authentication • Incident Response • Maintenance • Media Protection • Physical and Environmental Protection • Planning • Personnel Security • Risk Assessment • System and Services Acquisition • System and Communications Protection • System and Information Integrity • Vypracování metodik pro bezpečný vývoj (v případě in-house vývoje)
Case study Microsoft – Trustworthy Computing (SDL) Počty bezpečnostních buletinů s kritickou úrovní vydaných pro jednotlivé technologie před implementací bezpečnosti do SDL OS Windows 2k/2k3 MS SQL Server 2000 Exchange Server 2000
Děkuji za pozornost ? daniel.kefer@aec.cz daniel.kefer@cleverlance.com