Nebezpečí webových aplikací Tomáš Strýček Invex Forum Brno

AEC, spol. s r.o. Kdo jsme? – Významný hráč v oblasti IT security AEC – člen skupiny CLEVERLANCE Co řešíme? - IT security services ISMS Bezpečnost infrastruktury Bezpečnost aplikací Bezpečnost procesů Bezpečnostní audit Pro koho? Finanční sektor, pojišťovny, telco, utilities, industry a státní správa

Rozšířenost webových aplikací Aktuální stav bezpečnosti webových aplikací: 80% útoků směrovaných na webové aplikace Twitter (letos 2 velké úspěšné útoky) Facebook (značné množství úspěšných útoků) Google hacking obchodování s osobními údaji (cena již od 0.06$) …a jak jsou tyto aplikace bezpečné? Posun v oblasti zranitelností od infrastruktury k aplikační vrstvě

Co nás čeká? Častější útoky na webový prohlížeč není třeba ovládnout OS, vše potřebné je již v prohlížeči Sofistikovanost útoků na webové aplikace rostoucí složitost aplikací, business logika, implementace HTTPS, Web 2.0.

Jak se řeší bezpečnost webových aplikací? a) Vůbec nebo ex-post (po úniku dat, po jiném bezpečnostním incidentu) b) Penetrační testy aplikace dle OWASP a následné opravy v aplikaci a infrastruktuře (ošetření SQL-injection, XSRF, nasazení aplikačního firewallu) c) Bezpečnostní architekt při vývoji aplikace (NIST)

Access Control Awareness and Training Audit and Accountability Certification and Security Assessments Configuration Management Identification and Authentication Incident Response System and Services Acquisition System and Communications Protection System and Information Integrity Contingency Planning Maintenance Bezpečnost v cyklu SDLC - Software Development Lifecycle Risk Analysis Architecture Assessment, Secure Design Secure Development Secure Testing (including penetration tests) Integration into infrastructure Migration & Data handling Documentation Support People, processes and technology

Co to znamená pro webové aplikací - + Ušetření nákladů na řešení následků bezpečnostních incidentů Ušetření nákladů na odstranění chyb v aplikaci ex-post Zvýšení důvěryhodnosti organizace Zvýšení prvotních nákladů na vývoj Zapojení týmu bezpečnosti (architekt, analytik, tester) Přínosy implementace bezpečnosti do vývoje Analýza rizik Definice bezpečnostních požadavků (autentizace, nepopíratelnost, integrita) Návrh bezpečnostní architektury (infrastruktura, databáze, aplikace) Bezpečnostní metodika pro vývoj Školení bezpečnosti pro vývojový tým Procesy kontrol během vývoje Penetrační testy aplikace Hardering komponent IS Bezpečná konfigurace Řešení bezpečnostních incidentů Security monitoring Bezpečnostní dokumentace Audit aplikace v prostředí Analýza rizik Definice bezpečnostních požadavků (autentizace, nepopíratelnost, integrita) Návrh bezpečnostní architektury (infrastruktura, databáze, aplikace) Bezpečnostní metodika pro vývoj Školení bezpečnosti pro vývojový tým Procesy kontrol během vývoje Penetrační testy aplikace Hardering komponent IS Bezpečná konfigurace Řešení bezpečnostních incidentů Security monitoring Bezpečnostní dokumentace Audit aplikace v prostředí Vždy je třeba vycházet z hodnoty aktiva dané webové aplikace. Kolik do zabezpečení investovat?

Děkuji za pozornost Tomáš Strýček Chief of Security Division