No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg,

Transkript

1 No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen Hamburg,

2 Ausgangssituation Webanwendungen sind aus unserem heutigen Leben nicht mehr wegzudenken und für viele Anwendungsbereiche unverzichtbar geworden, z.b. für den Consumer-Bereich die Geschäftsprozesse zwischen Geschäftspartnern (B2B) die Kommunikation zwischen Bürger und Behörde (E-Government) Einige Beispiele für Anwendungsszenarien: Suche nach Produktinformationen und Produktbestellung Teilnahme an sozialen Netzwerken Online-Banking und Online-Auktionen Zugang zu Anwendungen über Web-Portale (Intranet, B2B, B2C) Teilnahme an Ausschreibungen und Bezug von Formularen Integration und Unterstützung von mobilen Geräten (Smartphones, Tablet-PCs etc.) Möglichkeiten und Vorteile durch Nutzung von Webanwendungen Beschleunigung von Geschäftsprozessen -> Erhöhung von Produktivität Nutzung als Informations- & Kommunikationsmedium -> Einsparung von Kosten Nutzung als Vertriebskanal -> eröffnet neue Geschäftsfelder

3 ABER: unsichere Webanwendungen können schnell enorme Kosten und Probleme verursachen Hackerangriffe, Datendiebstahl und Verstöße gegen den Datenschutz kann man mittlerweile fast täglich der Presse entnehmen. Schwachstellen in Webanwendungen werden immer öfter ausgenutzt, dahinter stecken meistens organisierte Gruppen oder sogar staatliche Institutionen (Industriespionage) Beispiele via o Suche nach Cross Site Scripting o Suche nach SQL Injection

4 Gründe für mangelnde Qualität und Sicherheit von Webanwendungen* Im Bestreben, diese Vorteile bestmöglich zu nutzen, werden die Augen vor den Risiken all zu häufig verschlossen. Sensible Daten und Verbindungen zum Backend werden ohne zusätzliche Sicherungen über das Web zugänglich gemacht häufig in der Annahme, der erforderliche Schutz sei durch die Netzwerk-Firewall gegeben. Webanwendungen werden in den Produktivbetrieb übernommen, ohne dass sie strenge Qualitätskontrollen in Bezug auf Sicherheitseigenschaften durchlaufen müssen. Unternehmenskritische Geschäftsprozesse werden direkt auf das Web abgebildet ohne ihre Angreifbarkeit zu untersuchen und Schutzmaßnahmen vorzunehmen. *zitiert aus dem Maßnahmenkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI):

5 Gründe für mangelnde Qualität und Sicherheit von Webanwendungen* Security Ausgaben % der Attacken % der Ausgaben 10% Web Applications 75% 90% 25% Network Server aller Attackenauf Informationssicherheit 75% finden im Web Application Layer statt. 2/3 aller Webanwendungen sind gefährdet. *Sources: Gartner, Watchfire

6 Einordnung der Sicherheit von Webanwendungen (IDS=Intrusion Detection System, IPS=Intrusion Prevention System)

7 Die Sicherheitslücken in Webanwendungen Top Ten des Open Web Application Security Project (OWASP) 1. Cross-Site Scripting (XSS) 2. Injection Flaws 3. Verstecktes Ausführen einer Datei 4. Unsichere DirectObjectReference 5. Verfälschung eines Cross-Site Requests 6. Informationsverlust und unsaubere Fehlerbehandlung 7. Broken Authentication & Session Management 8. Unsichere Kryptografie Speicherung 9. Unsichere Kommunikation 10. Fehlerhafte Abwehr von URL Zugriffen Schwachstellen Statistik ( Seiten) embership#current_owasp_organization_supporters_.26_individual_members

8 BSI Ebenen-Modell Toolunterstützte Maßnahmen Policy Testen FunktionalesTesten Sicherheitsanalyse, Penetrationtest Quelle:

9 Tool-unterstütze Umsetzung von Testanforderungen Qualitäts- Anforderungen Testplan 1 Testplan2 Testcase1 Penetrationtest Testcase2 Funktionaler Test Testcase3 Policy Test Test Suite1 Test Skript1 Test Lab Test Daten Blackbox Whitebox

10 Toolunterstützung durch IBM Rational Quality Management IBM Collab orative Application Lifecycle Management Rational Quality Manager Quality Dashboard Requirements Management Create Plan Build Tests Test Management Manage Test Lab Execute Tests Report Results Def ect Management Best Practice Processes Test Data Quality Collaboration Functional Testing Presentation: Mashups SAP Discovery Search & Query Java System z, Open Lifecycle Service i Integrations Performance Testing Web Application Quality Code Quality Storage.NET Security and Com pliance Administration: Users, projects, process Open Platform homegrown

11 Maßnahmen für bestehende Anwendungen Absicherung des Web-Infrastruktur-Netzwerkes Sicherheitsanalyse der Website als Ganzes (Policy, Functionality, Security) Sicherheitsanalyse / Penetrationstest o Anwendungen auf das Vorhandensein von Schwachstellen untersuchen Risikoanalyse Festlegung von Schutzmaßnahmen o Maßnahmen und Best Practices anwenden Ggf. Einsatz eines WebShields Sicherheit der Webanwendung als Prozess etablieren bzw. in bestehenden Sicherheitsprozess integrieren

12 Penetrationstest / Sicherheitsanalyse durch IBM Rational AppScan HTTP Request Webanwendung HTTP Response

13 IBM Rational AppScan Standard Edition

14 Maßnahmen für neue Anwendungen Bei der Neuimplementierung einer Webanwendung sollten Sicherheitsaspekte im gesamten Software-Entwicklungsprozess, also bereits von Beginn an, berücksichtigt werden. (BSI) Individuelle Bedrohungsanalyse Festschreiben der Verantwortlichkeiten Umsetzung von Schutzmaßnahmen Systemebene Technologieebene Implementierungsebene o Data Validation, Session absichern, Datenbankzugriffe absichern Logische Ebene Semantische Ebene

15 Kosten für die Behebung von Schwachstellen 80% der Entwicklungskosten durch das Identifizieren und Beheben von Fehlern! Produkt wurde released Anforderungsmanagement Phase Design/Build Phase QA/Testing Phase 960 /Fehler /Fehler 80 /Fehler 240 /Fehler Quelle: 2008 GBS Industry standard study Fehlerkosten abgeleitet unter der Annahme, dass 8h benötigt w erden um einen Fehler im Kode/Unit Test zu finden und zu beheben. Fehlerkosten für andere Phasen w urden durch die Misch-Multiplikatorrate von 80 /h berechnet.

16 Code Analyse und Eliminieren von Schwachstellen mit IBM Rational AppScan Source Code Edition Security Anforderungen: Ein Manager oder Sicherheitsexperte definiert Schwachstellen und wie diese beurteilt werden. Konfigurieren: Der Project Configuration Wizard hilft Anwendungsscans aufzusetzen. Scannen: Code wird untersucht und Ergebnisse werden geliefert. Triage: Separieren von echten und potenziellen Sicherheitslücken, um kritische Schwachstellen sofort beheben zu können Beheben: Eliminieren von Schwachstellen durch Code Änderungen oder Hinzufügen von Sicherheitsfunktionen. Überprüfen: Rescan des Codes um sicherzustellen, dass die Schwachstellen entfernt wurden.

17 IBM Rational Appscan Source Code Edition 17

18 Vorteile des Tool-unterstützen Lösungsansatzes Reduzierung von manuellen Aufwänden und Fehlerquellen durch Testautomation Schnellere Erkennung und Behebung von Schwachstellen durch Testautomation Reduzierung von Kosten im Entwicklungsprozess durch frühzeitig Erkennung und Eliminierung von Schwachstellen Nachvollziehbarkeit (Traceability) bzgl. der Umsetzung von Qualitätsanforderungen und Einhaltung von Compliance Richtlinien Revisionssichere Dokumentation

19 SVA Unterstützungsleistungen Vertrieb der IBM Software Lizenzen und Herstellerwartung sowie der ggfs. erforderlichen Hardware Durchführung eines Proof of Technology, z. B. eines einmaligen Web Application Scan mit Generierung eines Report Dokumentes Beratung und Konzeption von Qualitätsmanagement Lösungen Installation und Konfiguration