Bezpečnostní požadavky pro výběr a implementaci webové

aplikace

Daniel Kefer II. konference ČIMIB

20. května 2009

Agenda

Motivace Normy a projekty v rámci popisované oblasti Bezpečný vývoj aplikací Jak začít? Case study Diskuse přínosů

Motivace

Aktuální stav bezpečnosti webových aplikací: 80% útoků směrovaných na webové aplikace Twitter (letos 2 velké úspěšné útoky) Facebook (značné množství úspěšných útoků) Google hacking obchodování s osobními údaji (cena již od 0.06$)

Důvody Business požadavky na nové funkcionality Nové technologie Bezpečnost v rámci vývojového cyklu aplikace:

– nefunkcionální bezpečnostní požadavky– provedení penetračních testů po její implementaci

Bezpečný vývoj aplikací

Normy a organizace podporující bezpečný vývoj aplikací: ISO/IEC 27000 Series (27034 – Guidelines for application security) Common Criteria (ISO/IEC 15048) NIST

– SP 800-64 - Security Considerations in the System Development Life Cycle– SP 800-53 - Recommended Security Controls for Federal Information Systems

and Organizations

OWASP– Development Guide, Code Review Guide, Testing Guide– Legal Project– ASVS (Application Security Verification Standard)– CLASP (Comprehensive, Lightweight Application Security Process)

SANS, WASC, ...

Bezpečný vývoj aplikací

SDLC (Software Development Lifecycle)

SDLC - Initiation

SDLC - Development

SDLC - Implementation

SDLC – O & M

SDLC - Disposal

Jak začít?

Access Control Awareness and Training Audit and Accountability Certification, Accreditation, and

Security Assessments Configuration Management Contingency Planning Identification and Authentication Incident Response Maintenance

Media Protection Physical and Environmental Protection Planning Personnel Security Risk Assessment System and Services Acquisition System and Communications

Protection System and Information Integrity

Zařazení bezpečnostního konzultanta na projekt již od fáze definice funkčních požadavků

Vypracování bezpečnostního standardu pro jednotlivé bezpečnostní kategorie aplikací v oblastech (např. NIST):

Vypracování metodik pro bezpečný vývoj (v případě in-house vývoje)

Case study

Microsoft – Trustworthy Computing (SDL)Počty bezpečnostních buletinů s kritickou úrovní vydaných pro jednotlivé technologie před implementací bezpečnosti do SDL

OS Windows 2k/2k3 MS SQL Server 2000 Exchange Server 2000

Diskuse přínosů

Děkuji za pozornost

?daniel.kefer@aec.cz

daniel.kefer@cleverlance.com