Sichere Webanwendungen mit OpenSAMM

Secure Software Development

Lifecycle

für

Webanwendungen

� OPTIMAbit GmbH arbeitet seit 2005 aktiv im Bereich sicherer SDLC.

� Das Ziel ist es, Unternehmen bei der Planung und Umsetzung zu unterstützen.

HintergrundHintergrund

Der Sicherer SDLC

Copyright OPTIMAbit GmbH, 2011

unterstützen.

� In diesem Vortrag geht es darum, ein Überblick über die wichtigste Aspekte des sicheren SDLCs zu gewinnen

� Es wird hier das Model „OpenSAMM“ (Software Assurance MaturityModel) als Beispiel verwendet.

Je komplexer eine Anwendung , desto schwieriger die Absicherung.

Verglichen mit Anwendungen, sind Netzwerke relativ einfach.

Komplexität erzeugt UnsicherheitKomplexität erzeugt Unsicherheit


Schwachstellen entstehen aus Fehlern in:

– Design / Architektur

– Implementierung

– Deployment & Konfiguration

– Laufzeitumgebung

Das Open Software Assurance Maturity Model (SAMM) definiert strategische

Maßnahmen für sichere Software. Ein OWASP Projekt

Strategische Lösung: Sicherer SDLCStrategische Lösung: Sicherer SDLC

Überblick sicherer Software Development Lifecycle (SDLC)


Andere Modelle existieren auch, z.B. Microsoft, BSI-MM.

Governance Construction Verification Deployment

Wichtige Teile eines Secure SDLCWichtige Teile eines Secure SDLC

Diese Aktivitäten sichern eine Basislinie für sichere Webapps


Governance

AppsecStandard

Ausbildung

Construction

Sicherheits-anforderungen

Sichere Frameworks

Verification

Pentest

Code Review

Deployment

Hardening

VulnerabilityMgmt

Application Security Standards:

� definieren Standards für sichere

Anwendungen auf hohem

Abstraktionsniveau

Anwendungssicherheit StandardAnwendungssicherheit Standard

Vorgaben für sicheres Design und Architektur

Policies


Abstraktionsniveau

� unterstützen technische Mitarbeiter,

Architekten und Projektleiter (Inhouse und

Outsourcing)

� sind hochstrukturiert --- keine

desorganisierte Listen von „Best Practices“

Standards

Richtlinien

Eingabevalidierung

Fehlerbehandling

Session Management

Anwendungssicherheit Standard (Inhalt)Anwendungssicherheit Standard (Inhalt)

Beispielinhalt und Umfang

Standards für:

� Allgemeine Anwendungen


Session Management

HTML & HTTP

Zugriff auf Datenbanken

Uvm…

� Webanwendungen

� Webservices

� SAP

Code Reviews sorgen für sichere

Anwendungen und erhöhte Code-

Qualität.

Es ist sinnvoll, entweder ein

Code ReviewCode Review

Ihr Code wird auf Qualität und Sicherheit geprüft

Code

DevelopersEntwicklung


Es ist sinnvoll, entweder ein

Expertenteam auszubilden oder

externe Unterstützung zu holen.

Plus: schnell und wiederholbar

Minus: False Positives, False Negatives Analyse

Tool

OPTIMA

Review Team

Tickets & Feedback

Review & Analyse

Update, Filter, Management

Kickoff Testing Analyse Reporting

Ein hochwertiger Pentest:

� ist strukturiert nach OWASP

Standards und BSI Kriterien.

Penetrationstest einer WebanwendungPenetrationstest einer Webanwendung

Qualität ist entscheidend --- Gute Tests brauchen auch Zeit


Kickoff Testing Analyse Reporting

� erkennt aktuelle Schwachstellen.

� baut primär auf manueller

Expertentest (Tools auch wichtig)

� ausführlich dokumentiert mit

nachvollziehbare

Risikobewertungen.

Ist-Aufnahme über den SDLC

� Wo steht man und was ist zu tun?

� Maßnahmen daraus ableiten

� Pentest und Code Review auf

Ausblick & EmpfehlungenAusblick & Empfehlungen

0

0,2

0,4

0,6

0,8

1Strategy & Metrics

Policy &

Compliance

Education &

Guidance

Threat AssessmentVulnerability

Environment

Hardening

Operational

Enablement


� Pentest und Code Review auf

regulärer Basis setzen

� Security Standards für Anwendungen

definieren

0 Threat Assessment

Security

Requirements

Secure

Architecture

Design Review

Code Review

Security Testing

Vulnerability

Management

� Eine ausgewogene Verteilung der Sicherheit ist wichtig

� 2011: Basisschutz soll erreicht werden

Binnen 1 Jahr den Basisschutz erreichen

Zielsetzung (Jahresplan)Zielsetzung (Jahresplan)

0

0,2

0,4

0,6

0,8

1


werden

� 2012: fortgeschrittener Schutz soll erreicht werden

Aktueller Stand

Basisschutz (2011)

Fortg. Schutz (2012)

0

Vielen Dank

für Ihre Aufmerksamkeitfür Ihre Aufmerksamkeit

Über

OPTIMbit

GmbH

Fokus Kunden Credo

IT-Sicherheit für

Anwendungen

&

Infrastrukturen

Unternehmen

ab ca. 500

Mitarbeitern

Herstellerneutrale

Beratung von

höchster Qualität

Ein komplettes AngebotEin komplettes Angebot

• Pentest, Code Quality, PoliciesSecure Software Lifecycle

• ISO 2700X, PCI-DSS Zertifizierung & Compliance


• IBM, Oracle, SAPEnterprise Systeme

• WAF, SSO, IdM, SmartCardLösungen

• Anwender, Entwickler, ManagerSeminare & Awareness

KontaktKontakt

OPTIMAbit GmbH

Dr. Bruce Sams

Marktplatz 2

85375 Neufahrn


Tel.: +49 8165/65095

Fax +49 8165/65096

[email protected]

www.optimabit.com

Sichere Webanwendungen mit OpenSAMM

Technology

Transcript of Sichere Webanwendungen mit OpenSAMM