Normy ISO/IEC 27034 Aplikační bezpečnost
V Brně dne 21. listopadu 2013
Soubor norem řady ISO/IEC 27034 ISO/IEC 27034 – Information technology – Security techniques – Application security Bezpečnostní doporučení pro tvorbu, implementaci a užívání aplikač. SW Soubor norem -
1 Owerview and concept 2 Organization Normative Framework 3 Applications Security Management Process 4 Applications security validation 5 Protocols and application security control data structure 6 Security guidenance for specific applications
Část 1: Přehled a koncepce (2011) Část 2: Normativní rámce organizace Část 3: Proces řízení bezpečnosti aplikací Část 4: Validace bezpečnosti aplikací Část 5: Datová struktura protokolů a opatření bezpečnosti aplikací Část 6: Bezpečnostní pokyny y y pro specifikování datové strukturyy aplikačních opatření
Normy ISO/IEC 27034
2
Metodika aplikační bezpečnosti ISO/IEC 27034-1:2011 – prozatím vydána první část – Přehled a koncepce
Metodika aplikační bezpečnosti je postavena na: - poznávání hrozeb - zabezpečení sítě, uživatele a aplikace - zapracování bezpečnosti do vývojového procesu SW Je zaměřena na principy principy, modely a praxi praxi. Je nezávislá na technologii a platformě.
Normy ISO/IEC 27034
3
Působnost ISO/IEC 27034
Návaznosti v ISO/IEC 27034: • Obchodní a regulační g návaznosti • Technologická návaznost Normy ISO/IEC 27034
4
Pochopení ISO/IEC 27034 ISO/IEC 27034 není: • Vývojový standard pro SW aplikace • Aplikace standardu projektového řízení • Standard pro vývojový životní cyklus SW (Software (S ft Development D l t Life Lif Cycle C l - SDLC)
Normy ISO/IEC 27034
5
Pochopení ISO/IEC 27034 - pokračování ISO/IEC 27034 neřeší: • Směrnice pro fyzickou a síťovou bezpečnost • Směrnice pro kontrolu a měření (metriky) • Směrnice pro strategii bezpečnostního kódování v libovolném programovacím jazyku
Normy ISO/IEC 27xxx – Systém managementu bezpečnosti informací
6
Aplikovatelnost ISO/IEC 27034 Nrma je aplikovatelná na: • 1. vyvinuté aplikace (in-house) • 2. získané od třetích stran • 3. kde je vývoj či provoz poskytován formou outsourcingu Zamýšlené použití na: • 1. manažery (řízení nákladů na zavedení a udržování aplikační bezpečnosti) • 2. vývojáře (správné aplikování bezpečnosti v každé fázi životního cyklu aplikací) • 3. auditory (kontrola aplikace z pohledu úrovně dosažené bezpečnosti) • 4. koncové uživatele (používání bezpečných aplikací)
Normy ISO/IEC 27034
7
Klíčové principy normy ISO/IEC 27034 Definované klíčové principy v normě: - bezpečnost b č t je j požadavek ž d k - zabezpečení aplikací je závislé na kontextu z pohledu obchodního, regulačního a technologického - vhodnost investice pro zabezpečení aplikací (přiměřená bezpečnost za akceptovatelné náklady) - prokazatelnost aplikační bezpečnosti (audit)
Definice Cílené úrovně důvěry aplikace (Target application level of trust ) - pro organizaci používající aplikace je doporučena klasifikace informací -d definování fi á í normativního ti íh rámce á v organizaci i i (ONF – O Organization i ti N Normative ti F Framework) k)
A lý Analýza rizik aplikace
Normy ISO/IEC 27034
Proces P řízení rizik
Cílená úroveň důvěry aplikace
8
Chystané části normy ISO/IEC 27034-2: - popis implementace řídícího procesu aplikační bezpečnosti (ASMP) ISO/IEC 27034-3: - popis relevantních procesů v projektování vývoje aplikace ISO/IEC 27034-4: - popis certifikačních a validačních procesů ISO/IEC 27034-5: - definuje kontrolu aplikační bezpečnosti (ASC) struktury dat ISO/IEC 27034-6: - identifikuje ASC ve specifických aplikacích (web, klient-server)
Ponámka: ASMP - Applications Security Management Process ASC – Application Security Control
Normy ISO/IEC 27xxx – Systém managementu bezpečnosti informací
9
Bezpečnost aplikační vrstvy Pojem aplikační bezpečnosti lze chápat několikerým způsobem, my se však budeme držet základního informatického schématu – referenčního modelu ISO/OSI, kde budeme považovat za oblast vhodnou pro aplikační bezpečnost zejména jeho vyšší vrstvy (konkrétně pátou až sedmou) – relační, prezentační a zejména aplikační. Bezpečnost aplikační vrstvy se dnes zpravidla řeší značně intuitivně, nebo v horším případě vůbec. - v projektové fázi (nejefektivnější prosazování bezpečnosti) - v rutinním provozu (provádění bezpečnostních testů aplikace spočívá v identifikaci a analýze existujících zranitelností)
Poznámka: V působnosti aplikační bezpečnosti se lze setkat s požadavky na certifikát bezpečnosti pro danou aplikaci v konkrétním sektoru či oboru činnosti, který vystavuje certifikační autorita pro danou problematiku.
Normy ISO/IEC 27034
10
AFW Aplikační firewall chrání webové aplikace před útoky na aplikační úrovni, před krádeží a únikyy podnikových ý nebo zákaznických ý dat na principu povolování a blokování klientských požadavků. Aplikační firewall chrání webové aplikace před útoky na aplikační úrovni, před krádeží a úniky podnikových nebo zákaznických dat na principu povolování a blokování klientských požadavků. Aplikační firewall funguje na bázi hloubkové kontroly paketů (deep packet inspection, DPI), která otevírá pakety s daty, které procházejí internetovým spojením. Prohledáním paketu dokáže firewall zjistit, o jaký typ dat se jedná (video, VoIP nebo data určená pro konkrétní aplikaci na podnikové síti). Následná analýza paketů rozhodne, zda je zjištěná výměna dat legitimní. WAF (webový aplikační firewall) by měl být klíčovou součástí každé sítě s HTTP provozem, poskytující nepřetržitou ochranu provozu kritických webových aplikací. Dodatečně zvyšuje š je celko celkovou o úro úroveň eň bezpečnosti be pečnosti tím tím, že dokáže zabránit abránit útokům dříve, než zasáhnou vlastní webovou aplikaci. Normy ISO/IEC 27034
11
Bezpečnost webových aplikací Bezpečnost webových aplikací stručně řečeno znamená implementaci bezpečnostních prvků a opatření ve webových ý aplikacích samotných. ý Řešením aplikační bezpečnosti nejsou opatření typu: ochrana firewallem, ochrana pomocí IDP/IPS, používání SSL (zabezpečení komunikace), bezpečný OS, OS aplikace patche, uživatel musí mít heslo.
Nic z toho aplikační bezpečnost primárně neřeší.
Normy ISO/IEC 27034
12
Bezpečné webové aplikace Klíčové pilíře bezpečné webové aplikace: A t ti Autentizace Autorizace (řízení přístupu) Session management Validace vstupů a kódování Ochrana dat (integrita, důvěrnost) Řízení chyb Sběr a vyhodnocování auditních informací Bezpečnost administračního rozhraní Kryptografická ochrana Ochrana před specifickými útoky (pishing, DoS) Konfigurace infrastruktury
Normy ISO/IEC 27034
13
Klasifikace firewallů
Firewally a ISO/OSI model
FW
14
Klasifikace firewallů – pokračování 1 Aplikační brány (Proxy firewally) – zcela oddělují sítě a plní funkci překladu adres (NAT – Network Address Translation). jj a nejstarší j forma firewallu fungující g j na Paketovýý filtr – nejjednodušší pravidlech doručování paketů mezi adresami a porty. Stavový paketový filtr – pracují jako klasické paketové filtry filtry, ale navíc s ukládáním informací o povolených spojeních. Moderní stavové paketové filtry plní navíc ještě funkci kontroly korektnosti paketů a detekci průniků. Bezpečnostní politika FW – je nastavení pravidel pro komunikaci přes firewall (VPN, NAT, IDS).
FW
15
Klasifikace firewallů – pokračování 2 Současné firewally můžeme rozdělit do sedmi kategorií: - Osobní firewally - Vestavěné firewally - Softwarové firewally (SOHO a Enterprise) - Hardwarové firewally (SOHO a Enterprise) - Speciální firewally Osobní FW – ochrana uživatelských stanic s OS Windows (Personal FW) Vestavěné FW – implementovány v routerech, AP (jednodušší paketové filtry) SW FW – jsou j určeny č pro OS serverů ů (K (Kerio,…) i ) HW FW – většinou vlastní architektura (ASIC), nouzově PC architektura (Appliance) s OS UNIX, garance propustnosti SoHo a Enterprise – podle propustnosti (počet současných spojení, nebo počet uživatelů) Speciální FW – určeny pro konkrétní aplikaci (web, databáze, služby, …) FW
16
Oblast průmyslu a informační bezpečnost ANSI/ISA- 99 – Security for Industrial Automation and Control Systems ANSI/ISA – 99.00.01 – 2007: Part 1: Terminology, gy, Concept p and Models ANSI/ISA – 99.02.01 – 2009: Establishing an Industrial Automation and Control Systems Security program
Připravované doplňkové normy řady ISA - 99 budou věnovány způsobu používání bezpečnostního programu poté, co byl sestaven a zaveden, a technickým požadavkům na automatizační a řídicí systémy v průmyslu.
Ochrana proti vnějším útokům (Cyber Threats) a proti vnitřním incidentům v průmyslových řídících systémech .
Příkladem řešení jje Tofino Industrial Security y Solution (Belden Company „Tofino Security“) www.tofinosecurity.com
www.iebmedia.com – Industrial Ethernet Book IE FW
17
TOFINO
Tofino Argon 100
Tofino Argon 220 IE - FW
18
4 kroky nasazení Tofino Industrial Security Solution 1. krok – určení místa/míst aplikování Tofina (vytváření bezpečnostních zón)
Tofino
19
4 kroky nasazení Tofino Industrial Security Solution 2. krok – určení bezpečnostních modulů (pro požadovanou úroveň zabezpečení) Firewall (FW) Správa a kontrola konektivity ((Secure Asset Mngmt g – SAM))
Vyhledávání a identifikace síťových zařízení Vytváření VPN
Even Logger Tofino
20
4 kroky nasazení Tofino Industrial Security Solution 3. krok – určení serveru či stanice pro správu Tofina (Central Mngmt Platform - CMP)
4. krok – objednání zařízení Tofino u autorizovaného dodavatele
Tofino
21
Tofino SCADA Security Simulator
Tofino
22
