Post on 21-Sep-2020
Luki w bezpieczeństwieaplikacji istotnym zagrożeniem dla infrastrukturykrytycznejMichał Kurek, Partner KPMG, Cyber Security
Forum Bezpieczeństwo Sieci Technologicznych
—
Konstancin-Jeziorna, 21 listopada 2017
Plan prezentacji
Aktualny stan bezpieczeństwa aplikacji
Przykłady najgroźniejszych podatności
Przyczyny obecnej sytuacji
Sposoby na poprawę bezpieczeństwa aplikacji
Statystyki dotyczące podatności w aplikacjach
Źródło: Microsoft Security Intelligence Report, Volume 21, grudzień 2016
Lic
zb
a z
gła
sza
nyc
h p
od
atn
oś
ci
Aplikacje
Narzędzia systemowe
Systemy operacyjne
Przeglądarki internetowe
Niepokojące statystyki
Firmy mają problem z identyfikacją i wyeliminowaniem podatności
— Niemal połowa aplikacji jest stale podatna na atak
— Średni czas usunięcia podatności:
- Priorytet Krytyczny: 126 dni
- Priorytet Wysoki: 196 dni
Źródło: 2017 WhiteHat Security - Application Security Statistics Report
98%Paneli administracyjnych urządzeń IoT zawiera
fundamentalne luki w bezpieczeństwie
Źródło: High-Tech Bridge Application Security Trends Report 2017
83% Testowanych aplikacji zawiera istotne podatności
Źródło: Doświadczenia ekspertów KPMG
Przykłady istotnych zagrożeń w aplikacjach
Nieautoryzowany pełny dostęp do
danych aplikacji
Przejęcie kontroli nad serwerem
Przejęcie sesji lub konta innego
użytkownika
Dostęp do danych innych
użytkowników
Obejście logiki biznesowej
aplikacji
Brak świadomości zagrożeń jest głównym źródłem występowania podatności w aplikacjach
1
2
3
Przyczyny
Brak wiedzy w obszarze bezpiecznego
programowania aplikacji
Brak świadomości kadry zarządzającej
w zakresie występujących ryzyk
Bezpieczeństwo najczęściej nie jest
najwyższym priorytetem dla biznesu
Przyczyny problemówz bezpieczeństwem aplikacji
!Występowanie podatności świadczy
o słabościach w procesach i organizacji
Najczęstsze błędy związane z bezpieczeństwem aplikacji
Brak konieczności tworzenia wymagań bezpieczeństwa –
oczywistym jest, że aplikacja musi być bezpieczna
Założenie, że audyt bezpieczeństwa przed wdrożeniem aplikacji
rozwiązuje problem
Ignorowanie ryzyk dla aplikacji wewnętrznych
Brak regularnych testów bezpieczeństwa aplikacji
Metody zabezpieczeń
Wdrożenie procesów
bezpieczeństwo w procesie tworzenia
oprogramowania
zarządzanie podatnościami
zarządzanie bezpieczeństwem konfiguracji
monitorowanie bezpieczeństwa
reagowanie na incydenty bezpieczeństwa
Wdrożenie środków technicznych
separacja na poziomie sieci
filtrowanie ruchu w warstwie aplikacji
wykrywanie i przeciwdziałanie atakom
sieciowym
systemy przeciwdziałania nadużyciom
zapewnienie integralności systemu plików
Bezpieczeństwo w procesietworzenia oprogramowania (SDLC)
Główne mechanizmy kontrolne:
szkolenia
modelowanie zagrożeń
specyfikacja wymagań bezpieczeństwa
testy automatyczne
audyt bezpieczeństwa
Najlepsze praktyki:
SDL (Security Development Lifecycle – Microsoft)
OWASP SAMM (Software Assurance Maturity Model)
BSIMM (Building Security In Maturity Model)
!Koszty naprawy błędów rosną im później są one
wykrywane w cyklu rozwoju aplikacji
OWASP SAMM (Software Assurance Maturity Model)
12 obszarów najlepszych praktyk pogrupowanych w 4 funkcje
3 poziomy dojrzałości ze zdefiniowanymi: Celem kontrolnym
Głównymi zadaniami
Źródło: OWASP Software Assurance Maturity Model – version 1.5
Software Development
Governance Construction Verification Operations
Strategy &
Metrics
Policy &
Compliance
Education &
Guidance
Threat
Assessment
Security
Requirements
Secure
Architecture
Design
Review
Implementation
Review
Security
Testing
Issue
Management
Environment
Hardening
Operational
Enablement
Metodą oceny
Oczekiwanymi rezultatami
OWASP Application Security Verification Standard
Standard opracowany w celu zapewnienia jednolitego podejścia
zarówno do weryfikacji, jak i definiowania wymagań odnośnie
bezpieczeństwa aplikacji
Łącznie 16 celów kontrolnych wraz z przeszło
200 mechanizmami kontrolnymi
Cztery poziomy wymagań bezpieczeństwa uzależnione od złożoności aplikacji:
Poziom 0 (Cursory) oraz Poziom 1 (Opportunistic) – zawierają wymagania
do zastosowania w każdej aplikacji
Poziom 2 (Standard) – dla aplikacji przetwarzającej wrażliwe dane
Poziom 3 (Advanced) – dla aplikacji krytycznych z punktu widzenia
wpływu na wspierane procesy
Podsumowanie
Aplikacje są dziś źródłem największej
ilości podatności
Brak świadomości zagrożeń jest
główną przyczyną tego problemu
Konieczne jest wdrożenie kompleksowych
zabezpieczeń w tym obszarze
Zapraszamdo kontaktu
Michał Kurek
Partner
KPMG Cyber Security
michalkurek@kpmg.pl
+48 660 440 041