Beépített „szépség” a banki szoftverekben Zsemlye Tamás @HP
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Biztonsági beruházásokat indukáló trendek, kihívások A new market adversary
1
Nature & Motivation of Attacks (Fame fortune, market adversary)
Research
Infiltration
Discovery
Capture
Exfiltration
Delivery Traditional DC
2
Transformation of Enterprise IT (Delivery and consumption changes)
Private Cloud
Managed Cloud
Network Storage Servers
Consumption Virtual Desktops
Notebooks
Tablets
Policies and regulations
3
Regulatory Pressures (Increasing cost and complexity)
Basel III DoD 8500.1
2
Public Cloud
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Smart phones
Alapvető sebezhetőségi faktorok | OWASP Open Web Application Security Project • • • • •
Web alapú rendszerek biztonsági kockázatai Alkalmazások biztonság növelése, innovatív projektek OWASP Top 10 Kockázat minősítő methodológia Sebezhetőség megelőzése (alap kérdőívek)
http://www.owasp.org/
3
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
OWASP Top 10 kockázat (Mobil)
M1 – Insecure Data Storage
M6 – Improper Session Handling
M2 – Weak Server Side Controls
M7 – Security Decisions via Untrusted Inputs
M3 – Insufficient Transport Layer Protection
M8 – Side Channel Data Leakage
M4 – Client Side Injection
M9 – Broken Cryptography
M5 – Poor Authorization and Authentication
M10 – Sensitive Information Disclosure
4
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Támadási folyamat keresés beszivárgás felfedezés
Banki belső rendszerek elfogás
kiszivárgás
5
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Lehetőségek a támadás megakadályozására Felhasználók Research tanítása Infiltration Hozzáférés tiltása Discovery Felfedezés
Cél hozzáférés Capture védelme
Károk enyhítése Exfiltration
6
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Lehetőségek a támadás megakadályozására Felhasználók Research tanítása
TippingPoint megoldás
Infiltration Hozzáférés tiltása
• Intrusion Prevention, WAF • Network Security, Digital Vaccine
Discovery Felfedezés
Cél hozzáférés Capture védelme
Károk enyhítése Exfiltration
7
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Fortify megoldás • Software security assessment • Software security assurance • Application events & protection
ArcSight megoldás • Real-time security Intelligence • SIEM, Logger
Fenyegetettség kezelése: Hol, Mit és Hogyan Beazonosítás
•Eszköz, végpont, hozzáférés beazonosítása •Hálózati, elérési információk •Konfigurációs állapot információk
Elemzés •Megfelelő kontrol pont meghatározása •Legjobb védelmi mód meghatározása •Hatás minimalizálás
Védelmi intézkedés • Felhasználói account letiltás • VPN Session tiltás • Switch port tiltás • MAC Filter beállítás • VLAN kizárás • IP forgalom blokkolás
Többszörös védelmi opciók, különböző hatás Internet IP Traffic Control Remove VPN User
Change ACL IP Traffic Control Disable User 8
Firewall VPN
Mobile user Wired Switch Infrastructure
Set MAC Filter Disable Switch Port Put on Quarantine VLAN
Router Authentication, Directory Server
Set MAC Filter Wireless Infrastructure
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
8
HP ArcSight és TippingPoint IPS Felfedezett incidens blokkolása
Belső erőforrás
HP TippingPoint IPS
Kűlső támadó
2.) HP ArcSight blokkoló parancsot küld a TippingPoint IPS-nek, lezárva a külső támadó kommunikációját 1.) HP ArcSight beazonosítja naplóminta elemzés alapján a belső erőforrás nem kívánt hozzáférését. HP ArcSight ESM
9
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP ArcSight és Fortify App Defender Alkalmazás nézet
10
ArcSight ESM: biztonsági események korreláció vizsgálata és analizis Beépített szabályok: gyors esemény riasztás, riportolás Kiterjeszthető szabályok: alkalmazás szintű kontextusban vizsgált események © Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP Fortify és TippingPoint IPS Sebezhetőség csökkentése alkalmazás módosítással 1a.) Webinspect: sebezhetőség beazonosítás 2a.) Webinspect: TippingPoint’s DV Toolkit felé minta küldése, új szűrő létrehozás
1b.) Webinspect: sebezhetőség beazonosítás 2b.) Webinspect: Fortify SSC felé sebezhetőségi minta továbbitása, fejlesztés korrigálja a program kódot.
3a.) TippingPoint: egyedi szűrő alkalmazásával biztosít védelmet
3b.) Új, megerősített alkalmazás bevezetése
HP TippingPoint
HP Fortify SSC
HP Webinspect
Sebezhető Web Alkalmazás
11
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Alkalmazás biztonsági kérdések
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
A támadás célpontja az alkalmazás Networks
Hardware
Applications Intellectual Security Measures Property
• • • • • • • • • •
13
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Switch/Router security Firewalls Customer NIPS/NIDS Data VPN Net-Forensics Business Anti-Virus/Anti-Spam Processes DLP Host FW Host IPS/IDSTrade Vuln. Assessment tools Secrets
84% 14
támadások cél pontja az alkalmazás
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Kérdések, kihívások az alkalmazás biztonság területén Monitoring / Protecting Production Software
Securing legacy applications Existing Software
In-house development
Procuring secure software
Outsourced 15
Guaranted compliance
Certifying new releases
Commercial
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Open source
Mai megközelítés > reaktív és költséges
Somebody builds bad software
1
IT deploys the bad software
2 4
We convince & pay the developer to fix it 16
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
We are breached or pay to have someone tell us our code is bad
3
Költséges a biztonság biztosítása 30x drágább élesbe állított alkalmazás esetén 30X
Cost
15X 10X 5X 2X Requirements
Coding
Integration/ component testing
System testing
Production
After an application is released into Production, it costs 30x more than during Design. Source: NIST 17
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Megközelítésünk > proaktív és szisztematikus Embed security into SDLC development process
In-house
1
Outsourced Commercial Open source
2 Leverage Security Gate to validate resiliency of internal or external code before Production
3 Improve SDLC policies
18
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Monitor and protect software running in Production
Proaktív megoldás
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Fortify: Szoftver biztonsági koncepció 1 Biztonsági teszt Application Assessment
2 Biztonságos fejlesztés Software Security Assurance (SSA) In-house
20
Outsourced
Commercial
3 Alkalmazás szintű kontro l Application Protection
Open source
Assess
Assure
Protect
Find security vulnerabilities in any type of software
Fix security flaws in source code before it ships
Fortify applications against attack in production
Mobile, Web, Infrastructure
Secure SDLC
Logging, Threat Protection
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Fortify: Alkalmazás biztonsági elemzés
21
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Fortify: Alkalmazás biztonsági életciklus támogatás
22
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Fortify: Mobil alkalmazás támogatás Teljes mobil ökoszisztéma támogatása Mobil támogatás: • • • •
Apple iOS (Objective C) Android Windows Phone Blackberry
Client
Network
Server
Hibrid Analizis • Forrás kód • Futó alkalmazás • Protokol Analizis
• Credentials in memory • Credentials on file system • Data stored on file system • Poor cert management
• • • •
Mindhárom szinten tesztelés 23
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Clear text credentials Clear text data Backdoor data Data leakage
• • • • • •
SQL Injection Cross-Site Scripting Local File Include Authentication Session Management Logic Flaws
Fortify Mobil alkalmazás életciklus támogatás Security Foundations – Mobile Applications Plan
Architecture & Design
Mobile Security Development Standards
Application Specific Threat Modeling and Analysis
Mobile Application Security Process Design
Threat Modeling CBT for Developers
Mobile Security Policies
24
Requirements
Build
Test
Production
Mobile Secure Coding Training
Mobile Application Security Assessment (Static, Dynamic, Server, Network, Client)
Mobile Secure Coding Standards Wiki
Mobile Firewall
Static Analysis
Mobile Risk Dictionary
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Gartner Magic Quadrant Gartner Application Security Testing MQ 2013 • “HP offers comprehensive SAST capabilities with Fortify's strong brand name and breadth of languages tested. • The company has innovative IAST capability with Fortify SecurityScope, which integrates with its WebInspect DAST. • There is strong integration within HP's security portfolio, such as integration of AST knowledge into ArcSight and DAST knowledge into TippingPoint's IPS for WAF-like protection. • HP uniquely offers runtime application self-protection (RASP)
technology” -- Gartner
25
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Köszönöm a figyelmet!
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.