La sicurezza applicativa ai tempi dell’ASAP
-
Upload
festival-ict-2014 -
Category
Technology
-
view
87 -
download
1
description
Transcript of La sicurezza applicativa ai tempi dell’ASAP
La sicurezza ai tempi dell’ASAP
La fretta è cattiva consigliera
@thesp0nge
$ thesp0nge.inspect• Application Security Specialist
• Codesake::Dawn e wordstress project leader
• technical blogger at https://codiceinsicuro.it
• Papà && Marito && atleta di Taekwon - do ITF
• Odia la parola ASAP
As Soon As Possible
La buona progettazione non è un lusso
Ma noi lo vogliamo ASAP• Mancanza di strategia: non so
quello che voglio, ma lo voglio ora
• Cost saving: team non senior con poca esperienza e senza attitudine a lavorare sotto stress
• Time saving: troppi requisiti + troppo codice da scrivere + poco tempo = 0 test
https://flic.kr/p/7qaTZM
Roma non è stata costruita in un giorno
• Perché lo voglio ASAP?
• So cosa voglio?
• Conosco l’effort necessario per realizzarlo?
https://flic.kr/p/4RqnXP
Il potere di dire no!
• Approccio agile alla realizzazione di un prodotto
• Realizzare le funzionalità principali e poi man mano aggiungere solo quello strettamente necessario
• Non cadere nella tentazione di fare tutto
https://flic.kr/p/8xs5cc
Perché non farlo ASAP?
http://www.idtheftcenter.org/images/breach/DataBreachReports_2014.pdf
Secure As Soon As Possible
Ovvero, con raziocinio
SASAP I - Essere consapevoli• Sensibilizzare gli
stakeholder sul rischio di non eseguire test di security
• “Non siamo una banca” non è una scusa; potete essere sotto attacco proprio ora
• La sicurezza è nel business e nei processi, la tecnologia è secondaria
https://flic.kr/p/3k4LEN
SASAP II - Formazione agli sviluppatori
• Linee guida di sviluppo sicuro
• Come implemento la cifratura?
• Che algoritmo di hashing scelgo?
• Come si implementa un reset password?
• …
https://flic.kr/p/bWLxnw
SASAP III - Automatizzare
• Meno intervento umano = Meno delay = ASAP (sicuro)
• Molte parti del SSDLC si possono automatizzare
• Concentro i punti di test manuale nei momenti critici e per funzionalità core
https://flic.kr/p/i9onV9
SASAP IV - I voti• Do dei voti con in scala da A ad F
per
• livello di sicurezza perimetrale (threat modeling)
• livello di sicurezza infrastrutturale (vulnerability management)
• livello di sicurezza applicativa (code review)
• livello di sicurezza applicativa (penetration test)
http://img.wikinut.com/img/1x91f0yehycqs2ie/jpeg/0/grade-F.jpeg
Caso di studio: mettere online wordpress e dormire
la notte
Caso di studio: cosa proteggo
• Il business vuole mettere online un sito basato su wordpress
• Tra due giorni
• Vediamo perché dormirò tranquillo…
https://flic.kr/p/8Up8qK
Caso di studio: Threat model
• Intervisto lo stakeholder
• Censisco i flussi applicativi
• Disegno dove sono i server, i DB, i FW perimetrali, i WAF
• Indico i protocolli utilizzati
• (non è una parte automatizzabile)
https://flic.kr/p/fkJPh
Caso di studio: Vulnerability Management
• Scelgo uno strumento di scansione automatica
• Produco periodicamente un report con le vulnerabilità più critiche
• Concordo la mitigazione delle vulnerabilità con le persone che gestiscono quei server
• Questo processo porterà ad avere macchine gestite e sicure… nel tempo
Caso di studio: code review
• Un software in grado di eseguire una code review di un altro software è utopia
• Si può automatizzare il calcolo di metriche, la ricerca di API insicure o la taint analysis per cercare cross site scripting o sql injection
https://flic.kr/p/64tcvq
Caso di studio: WAPTUso wpscan per testare i miei wordpress per vulnerabilità legate alla
versione di wp, ai plugin ed ai temi installati
Caso di studio: WAPTUso una dashboard in Rails che prende i dati dall’output di wpscan e
presenta dati sulle scansioni
Caso di studio: WAPTIn maniera visuale ho l’andamento nel tempo delle vulnerabilità ed il
dettaglio delle issue trovate sui miei wordpress
DEMO
Posso dormire tranquilloE tu?
https://flic.kr/p/jZbArT