Beépített szépség a banki szoftverekben Zsemlye Tamás @HP
Biztonsági beruházásokat indukáló trendek, kihívások A new market adversary 1 Nature & Motivation of Attacks (Fame fortune, market adversary) Research Infiltration Discovery Capture Exfiltration 2 Transformation of Enterprise IT (Delivery and consumption changes) Delivery Traditional DC Private Cloud Managed Cloud Public Cloud Network Storage Servers Consumption Virtual Desktops Notebooks Tablets Smart phones 3 Regulatory Pressures (Increasing cost and complexity) Basel III Policies and regulations DoD 8500.1 2
Alapvető sebezhetőségi faktorok OWASP Open Web Application Security Project Web alapú rendszerek biztonsági kockázatai Alkalmazások biztonság növelése, innovatív projektek OWASP Top 10 Kockázat minősítő methodológia Sebezhetőség megelőzése (alap kérdőívek) http://www.owasp.org/ 3
OWASP Top 10 kockázat (Mobil) M1 Insecure Data Storage M6 Improper Session Handling M2 Weak Server Side Controls M7 Security Decisions via Untrusted Inputs M3 Insufficient Transport Layer Protection M8 Side Channel Data Leakage M4 Client Side Injection M9 Broken Cryptography M5 Poor Authorization and Authentication M10 Sensitive Information Disclosure 4
Támadási folyamat keresés beszivárgás felfedezés elfogás Banki belső rendszerek kiszivárgás 5
Lehetőségek a támadás megakadályozására Felhasználók tanítása Research Hozzáférés Infiltration tiltása Discovery Felfedezés Károk Exfiltration enyhítése Cél hozzáférés Capture védelme 6
Lehetőségek a támadás megakadályozására Felhasználók tanítása Research Hozzáférés Infiltration tiltása Károk Exfiltration enyhítése Discovery Felfedezés Cél hozzáférés Capture védelme TippingPoint megoldás Intrusion Prevention, WAF Network Security, Digital Vaccine Fortify megoldás Software security assessment Software security assurance Application events & protection ArcSight megoldás Real-time security Intelligence SIEM, Logger 7
8 Fenyegetettség kezelése: Hol, Mit és Hogyan Beazonosítás Eszköz, végpont, hozzáférés beazonosítása Hálózati, elérési információk Konfigurációs állapot információk Elemzés Megfelelő kontrol pont meghatározása Legjobb védelmi mód meghatározása Hatás minimalizálás Többszörös védelmi opciók, különböző hatás Védelmi intézkedés Felhasználói account letiltás VPN Session tiltás Switch port tiltás MAC Filter beállítás VLAN kizárás IP forgalom blokkolás IP Traffic Control Remove VPN User 8 Change ACL IP Traffic Control Disable User Internet Firewall VPN Router Mobile user Authentication, Directory Server Wired Switch Infrastructure Wireless Infrastructure Set MAC Filter Disable Switch Port Put on Quarantine VLAN Set MAC Filter
HP ArcSight és TippingPoint IPS Felfedezett incidens blokkolása Belső erőforrás HP TippingPoint IPS Kűlső támadó 2.) HP ArcSight blokkoló parancsot küld a TippingPoint IPS-nek, lezárva a külső támadó kommunikációját 1.) HP ArcSight beazonosítja naplóminta elemzés alapján a belső erőforrás nem kívánt hozzáférését. HP ArcSight ESM 9
HP ArcSight és Fortify App Defender Alkalmazás nézet ArcSight ESM: biztonsági események korreláció vizsgálata és analizis Beépített szabályok: gyors esemény riasztás, riportolás Kiterjeszthető szabályok: alkalmazás szintű kontextusban vizsgált események 10
HP Fortify és TippingPoint IPS Sebezhetőség csökkentése alkalmazás módosítással 1a.) Webinspect: sebezhetőség beazonosítás 2a.) Webinspect: TippingPoint s DV Toolkit felé minta küldése, új szűrő létrehozás 3a.) TippingPoint: egyedi szűrő alkalmazásával biztosít védelmet 1b.) Webinspect: sebezhetőség beazonosítás 2b.) Webinspect: Fortify SSC felé sebezhetőségi minta továbbitása, fejlesztés korrigálja a program kódot. 3b.) Új, megerősített alkalmazás bevezetése HP TippingPoint HP Fortify SSC HP Webinspect Sebezhető Web Alkalmazás 11
Alkalmazás biztonsági kérdések
A támadás célpontja az alkalmazás Networks Hardware Applications Security Measures Intellectual Property Switch/Router security Firewalls Customer NIPS/NIDS Data VPN Net-Forensics Anti-Virus/Anti-Spam Business DLP Processes Host FW Host IPS/IDS Trade Vuln. Assessment Secrets tools 13
84% támadások cél pontja az alkalmazás 14
Kérdések, kihívások az alkalmazás biztonság területén Monitoring / Protecting Production Software Existing Software Securing legacy applications Guaranted compliance Procuring secure software Certifying new releases In-house development Outsourced Commercial Open source 15
Mai megközelítés > reaktív és költséges Somebody builds bad software 1 IT deploys the bad software 2 4 We convince & pay the developer to fix it We are breached or pay to have someone tell us our code is bad 3 16
Cost Költséges a biztonság biztosítása 30x drágább élesbe állított alkalmazás esetén 30X 10X 15X 5X 2X Requirements Coding Integration/ component testing System testing Production After an application is released into Production, it costs 30x more than during Design. Source: NIST 17
Megközelítésünk > proaktív és szisztematikus Embed security into SDLC development process 1 In-house Outsourced Commercial Open source Leverage Security Gate to validate resiliency of internal or external code before Production 2 3 Improve SDLC policies Monitor and protect software running in Production 18
Proaktív megoldás
Fortify: Szoftver biztonsági koncepció 1 2 3 Biztonsági teszt Biztonságos fejlesztés Alkalmazás szintű kontro l Application Assessment Software Security Assurance (SSA) Application Protection In-house Outsourced Commercial Open source Assess Find security vulnerabilities in any type of software Mobile, Web, Infrastructure Assure Fix security flaws in source code before it ships Secure SDLC Protect Fortify applications against attack in production Logging, Threat Protection 20
Fortify: Alkalmazás biztonsági elemzés 21
Fortify: Alkalmazás biztonsági életciklus támogatás 22
Fortify: Mobil alkalmazás támogatás Teljes mobil ökoszisztéma támogatása Mobil támogatás: Apple ios (Objective C) Client Network Server Android Windows Phone Blackberry Hibrid Analizis Forrás kód Futó alkalmazás Protokol Analizis Credentials in memory Credentials on file system Data stored on file system Poor cert management Clear text credentials Clear text data Backdoor data Data leakage SQL Injection Cross-Site Scripting Local File Include Authentication Session Management Logic Flaws Mindhárom szinten tesztelés 23
Fortify Mobil alkalmazás életciklus támogatás Security Foundations Mobile Applications Plan Requirements Architecture & Design Build Test Production Mobile Security Development Standards Mobile Application Security Process Design Application Specific Threat Modeling and Analysis Threat Modeling CBT for Developers Mobile Secure Coding Training Mobile Secure Coding Standards Wiki Static Analysis Mobile Application Security Assessment (Static, Dynamic, Server, Network, Client) Mobile Firewall Mobile Security Policies Mobile Risk Dictionary 24
Gartner Magic Quadrant Gartner Application Security Testing MQ 2013 HP offers comprehensive SAST capabilities with Fortify's strong brand name and breadth of languages tested. The company has innovative IAST capability with Fortify SecurityScope, which integrates with its WebInspect DAST. There is strong integration within HP's security portfolio, such as integration of AST knowledge into ArcSight and DAST knowledge into TippingPoint's IPS for WAF-like protection. HP uniquely offers runtime application self-protection (RASP) technology -- Gartner 25
Köszönöm a figyelmet!