Beépített szépség a banki szoftverekben Zsemlye

Beépített „szépség” a banki szoftverekben Zsemlye Tamás @HP

© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Biztonsági beruházásokat indukáló trendek, kihívások A new market adversary

1

Nature & Motivation of Attacks (Fame  fortune, market adversary)

Research

Infiltration

Discovery

Capture

Exfiltration

Delivery Traditional DC

2

Transformation of Enterprise IT (Delivery and consumption changes)

Private Cloud

Managed Cloud

Network Storage Servers

Consumption Virtual Desktops

Notebooks

Tablets

Policies and regulations

3

Regulatory Pressures (Increasing cost and complexity)

Basel III DoD 8500.1

2

Public Cloud


Smart phones

Alapvető sebezhetőségi faktorok | OWASP Open Web Application Security Project • • • • •

Web alapú rendszerek biztonsági kockázatai Alkalmazások biztonság növelése, innovatív projektek OWASP Top 10 Kockázat minősítő methodológia Sebezhetőség megelőzése (alap kérdőívek)

http://www.owasp.org/

3


OWASP Top 10 kockázat (Mobil)

M1 – Insecure Data Storage

M6 – Improper Session Handling

M2 – Weak Server Side Controls

M7 – Security Decisions via Untrusted Inputs

M3 – Insufficient Transport Layer Protection

M8 – Side Channel Data Leakage

M4 – Client Side Injection

M9 – Broken Cryptography

M5 – Poor Authorization and Authentication

M10 – Sensitive Information Disclosure

4


Támadási folyamat keresés beszivárgás felfedezés

Banki belső rendszerek elfogás

kiszivárgás

5


Lehetőségek a támadás megakadályozására Felhasználók Research tanítása Infiltration Hozzáférés tiltása Discovery Felfedezés

Cél hozzáférés Capture védelme

Károk enyhítése Exfiltration

6


Lehetőségek a támadás megakadályozására Felhasználók Research tanítása

TippingPoint megoldás

Infiltration Hozzáférés tiltása

• Intrusion Prevention, WAF • Network Security, Digital Vaccine

Discovery Felfedezés

Cél hozzáférés Capture védelme

Károk enyhítése Exfiltration

7


Fortify megoldás • Software security assessment • Software security assurance • Application events & protection

ArcSight megoldás • Real-time security Intelligence • SIEM, Logger

Fenyegetettség kezelése: Hol, Mit és Hogyan Beazonosítás



•Eszköz, végpont, hozzáférés beazonosítása •Hálózati, elérési információk •Konfigurációs állapot információk

Elemzés •Megfelelő kontrol pont meghatározása •Legjobb védelmi mód meghatározása •Hatás minimalizálás



Védelmi intézkedés • Felhasználói account letiltás • VPN Session tiltás • Switch port tiltás • MAC Filter beállítás • VLAN kizárás • IP forgalom blokkolás

Többszörös védelmi opciók, különböző hatás Internet IP Traffic Control Remove VPN User

Change ACL IP Traffic Control Disable User 8

Firewall VPN

Mobile user Wired Switch Infrastructure

Set MAC Filter Disable Switch Port Put on Quarantine VLAN

Router Authentication, Directory Server

Set MAC Filter Wireless Infrastructure


8

HP ArcSight és TippingPoint IPS Felfedezett incidens blokkolása

Belső erőforrás

HP TippingPoint IPS

Kűlső támadó

2.) HP ArcSight blokkoló parancsot küld a TippingPoint IPS-nek, lezárva a külső támadó kommunikációját 1.) HP ArcSight beazonosítja naplóminta elemzés alapján a belső erőforrás nem kívánt hozzáférését. HP ArcSight ESM

9


HP ArcSight és Fortify App Defender Alkalmazás nézet

   10

ArcSight ESM: biztonsági események korreláció vizsgálata és analizis Beépített szabályok: gyors esemény riasztás, riportolás Kiterjeszthető szabályok: alkalmazás szintű kontextusban vizsgált események © Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

HP Fortify és TippingPoint IPS Sebezhetőség csökkentése alkalmazás módosítással 1a.) Webinspect: sebezhetőség beazonosítás 2a.) Webinspect: TippingPoint’s DV Toolkit felé minta küldése, új szűrő létrehozás

1b.) Webinspect: sebezhetőség beazonosítás 2b.) Webinspect: Fortify SSC felé sebezhetőségi minta továbbitása, fejlesztés korrigálja a program kódot.

3a.) TippingPoint: egyedi szűrő alkalmazásával biztosít védelmet

3b.) Új, megerősített alkalmazás bevezetése

HP TippingPoint

HP Fortify SSC

HP Webinspect

Sebezhető Web Alkalmazás

11


Alkalmazás biztonsági kérdések


A támadás célpontja az alkalmazás Networks

Hardware

Applications Intellectual Security Measures Property

• • • • • • • • • •

13


Switch/Router security Firewalls Customer NIPS/NIDS Data VPN Net-Forensics Business Anti-Virus/Anti-Spam Processes DLP Host FW Host IPS/IDSTrade Vuln. Assessment tools Secrets

84% 14

támadások cél pontja az alkalmazás


Kérdések, kihívások az alkalmazás biztonság területén Monitoring / Protecting Production Software

Securing legacy applications Existing Software

In-house development

Procuring secure software

Outsourced 15

Guaranted compliance

Certifying new releases

Commercial


Open source

Mai megközelítés > reaktív és költséges

Somebody builds bad software

1

IT deploys the bad software

2 4

We convince & pay the developer to fix it 16


We are breached or pay to have someone tell us our code is bad

3

Költséges a biztonság biztosítása 30x drágább élesbe állított alkalmazás esetén 30X

Cost

15X 10X 5X 2X Requirements

Coding

Integration/ component testing

System testing

Production

After an application is released into Production, it costs 30x more than during Design. Source: NIST 17


Megközelítésünk > proaktív és szisztematikus Embed security into SDLC development process

In-house

1

Outsourced Commercial Open source

2 Leverage Security Gate to validate resiliency of internal or external code before Production

3 Improve SDLC policies

18


Monitor and protect software running in Production

Proaktív megoldás


Fortify: Szoftver biztonsági koncepció 1 Biztonsági teszt Application Assessment

2 Biztonságos fejlesztés Software Security Assurance (SSA) In-house

20

Outsourced

Commercial

3 Alkalmazás szintű kontro l Application Protection

Open source

Assess

Assure

Protect

Find security vulnerabilities in any type of software

Fix security flaws in source code before it ships

Fortify applications against attack in production

Mobile, Web, Infrastructure

Secure SDLC

Logging, Threat Protection


Fortify: Alkalmazás biztonsági elemzés

21


Fortify: Alkalmazás biztonsági életciklus támogatás

22


Fortify: Mobil alkalmazás támogatás Teljes mobil ökoszisztéma támogatása Mobil támogatás: • • • •

Apple iOS (Objective C) Android Windows Phone Blackberry

Client

Network

Server

Hibrid Analizis • Forrás kód • Futó alkalmazás • Protokol Analizis

• Credentials in memory • Credentials on file system • Data stored on file system • Poor cert management

• • • •

Mindhárom szinten tesztelés 23


Clear text credentials Clear text data Backdoor data Data leakage

• • • • • •

SQL Injection Cross-Site Scripting Local File Include Authentication Session Management Logic Flaws

Fortify Mobil alkalmazás életciklus támogatás Security Foundations – Mobile Applications Plan

Architecture & Design

Mobile Security Development Standards

Application Specific Threat Modeling and Analysis

Mobile Application Security Process Design

Threat Modeling CBT for Developers

Mobile Security Policies

24

Requirements

Build

Test

Production

Mobile Secure Coding Training

Mobile Application Security Assessment (Static, Dynamic, Server, Network, Client)

Mobile Secure Coding Standards Wiki

Mobile Firewall

Static Analysis

Mobile Risk Dictionary


Gartner Magic Quadrant Gartner Application Security Testing MQ 2013 • “HP offers comprehensive SAST capabilities with Fortify's strong brand name and breadth of languages tested. • The company has innovative IAST capability with Fortify SecurityScope, which integrates with its WebInspect DAST. • There is strong integration within HP's security portfolio, such as integration of AST knowledge into ArcSight and DAST knowledge into TippingPoint's IPS for WAF-like protection. • HP uniquely offers runtime application self-protection (RASP)

technology” -- Gartner

25


Köszönöm a figyelmet!



Beépített szépség a banki szoftverekben Zsemlye

Recommend Documents