Безопасность Online-приложений
Безопасность online приложений / / online.xspider.ru Насколько уязвимы online-приложения? Мировая статистика Mitre: более четверти уязвимостей, обнаруженных в 2006 году приходится на Web-приложения [1]. Mitre: более четверти уязвимостей, обнаруженных в 2006 году приходится на Web-приложения [1]. Symantec «Internet Security Threat Report»: до 70% уязвимостей, используемых злоумышленниками, связаны с Web-приложениями [2]. Symantec «Internet Security Threat Report»: до 70% уязвимостей, используемых злоумышленниками, связаны с Web-приложениями [2]. Web Application Security Consortiums: 70% приложений имеют проблемы с безопасностью [3]. Web Application Security Consortiums: 70% приложений имеют проблемы с безопасностью [3]. Российская действительность До 65% Web-приложении содержат уязвимости высокой степени риска [4]. До 65% Web-приложении содержат уязвимости высокой степени риска [4]. [1] [2] [3] [4]
Безопасность online приложений / / online.xspider.ru Насколько уязвимы online-приложения?
Безопасность online приложений / / online.xspider.ru Как оценить защищенность приложения? Стандартный «инструментарий» мало применим для Web-приложений BS ISO/IEC (17799) только один раздел, напрямую касающийся прикладных систем BS ISO/IEC (17799) только один раздел, напрямую касающийся прикладных систем A.12.2Корректная обработка информации в приложениях ГОСТ Р ИСО/МЭК касается функций безопасности (аутентификация, аудит и т.д.) а не качества их реализации ГОСТ Р ИСО/МЭК касается функций безопасности (аутентификация, аудит и т.д.) а не качества их реализации База для «стандартов», «требований» и «политик» OWASP top 10 Поддерживается (последняя версия 2007 года) Только 10 уязвимостей Web Security Threat Classification / Текущая версия 1 – 2004/2004 год Готовится к выходу 2 версия
Безопасность online приложений / / online.xspider.ru Web Security Threat Classification WSTC v классов уязвимостей 24 типа атак/уязвимостей 1 Authentication 2 Authorization 3 Client-side Attacks 4 Command Execution 5 Information Disclosure 6 Logical Attacks WSTC v классов уязвимостей 32 типа атак/уязвимостей 1 Authentication 2 Authorization 3 Client-Side 4 Command Execution 5 Information Disclosure 6 Logical Flaws 7 Misconfiguration
Безопасность online приложений / / online.xspider.ru Web Security Threat Classification v 2.0 Добавлены следующие типы атак/уязвимостей: 2.4 Improper Permissions 3.3 Cross-Site Request Forgery 4.7 XML Injection - TCv2 4.8 Mail Command Injection 5.2 Data Leakage 6.5 URL Redirectors 6.6 Improper Parsing (Request/Response Smuggling/Splittng) 7.1 Application Misconfiguration 7.2 Server Misconfiguration
Безопасность online приложений / / online.xspider.ru Способы защиты Выработка и контроль требований по безопасности приложений учитывающих качество реализации Элемент Secure SDLC Элемент Secure SDLC Крайне ресурсоемкое решение Крайне ресурсоемкое решение Тяжело интегрируется во многие модели разработки Тяжело интегрируется во многие модели разработки «Оценка защищенности», «тесты на проникновение» и т.д. Уязвимости обнаруживаются после «сдачи» приложения Уязвимости обнаруживаются после «сдачи» приложения Зачастую уязвимости не устраняются (15% уязвимостей были обнаружены повторно) Зачастую уязвимости не устраняются (15% уязвимостей были обнаружены повторно) Может быть весьма ресурсоемким решением (особенно в случае анализа кода) Может быть весьма ресурсоемким решением (особенно в случае анализа кода) Сканеры уязвимостей Достаточно бюджетное решение Достаточно бюджетное решение Позволяют обнаруживать до 70% уязвимостей Позволяют обнаруживать до 70% уязвимостей Многие типы уязвимостей (особенно связанные с бизнес-логикой) не могут быть найдены сканером Многие типы уязвимостей (особенно связанные с бизнес-логикой) не могут быть найдены сканером Web Application Firewall Бюджетное решение Бюджетное решение Весьма «капризно» в настройке Весьма «капризно» в настройке Низкая эффективность Низкая эффективность Качество реализации защитных механизмов «непрозрачно» Качество реализации защитных механизмов «непрозрачно»
Безопасность online приложений / / online.xspider.ru Эффективность… c) Около половины (58%) d) Немного (33%) e) Очень мало (4%) b) Большую часть (4%) Какую часть работы аудитора может взять на себя сканер? d) Практически никогда (73%) c) Иногда (10%) e) Затрудняюсь ответить (10%) b) В половине случаев (5%) a) Часто (3%) Как часто WAF блокировал вашу работу? Web Application Security Professionals Survey
Безопасность online приложений / / online.xspider.ru Вопросы Positive Technologies