1、应用开发安全的生命周期1 我们身边的安全变化2 应用开发安全的业界实践3 的实施思路我们身边的安全变化今天我们面对的世界我们面对的世界 2008年1月8日,美国总统布什签署发布了第54号国家安全总统令,第23号国土安全总统令,即CNCI。出台该计划是布什总统认为美国网络安全需要一个国家层面的综合计划并且要付诸实施。该计划旨在保护美国的网络安全,防止美国遭受各种恶意或敌对的电子攻击并能对敌方展开在线攻击。“我的政府将采取一项新的全面的方法来保护美国的数字基础设施这种新的做法将从最高层开始,包括我的承诺:从现在起,我们的数字基础设施我们每天依赖的网络和计算机将被视为国家战略资产,他们本该就是。保护
2、这一基础设施将成为国家安全的优先事项。”-2009年5月29日,美国总统奥巴马网络空间政策审查_保证一个可信与有弹性的信息和通信基础设施报告。美国的安全战略Cyber security 中央网络安全和信息化领导小组成立2014年2月27日,中央网络安全和信息化领导小组成立。该领导小组将着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。中央网络安全和信息化领导小组成立中共中央总书记、国家主席、中央军委主席习近平亲自担任组长;李克强、刘云
3、山任副组长。成员中央网络安全和信息化领导小组着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题;研究制定网络安全和信息化发展战略、宏观规划和重大政策;推动国家网络安全和信息化法治建设,不断增强安全保障能力。机构职责:”攻击者”的显著变化 经济、政治与意识形态的驱动更加明显攻击个体从追求技术突破到追逐经济利益为主攻击群体黑客行动主义松散的黑客组织攻击团队基于政治、意识形态或商战目的的有组织团队攻击目标更重要、更明确 研制更为先进的攻击技术或工具 受攻击的目标越来越广泛他们感兴趣的东西多了电影中的场景恐怖分子托马斯和他的女友梅,曾是美国政府的特工,
4、利用黑客技术,在美国独立日当天让全美国的计算机系统集体瘫痪。他们瘫痪了华盛顿特区的交通系统(交通),进一步瘫痪纽约股票市场(金融),全国因此陷入混乱。接下来对发电部分下手,前往西维吉尼亚发电厂。达到他们控制全球的阴谋。现实中的网络战实例2010年震网病毒(Stuxnet)攻击伊朗核电站发指令使离心机高速转动,同时发指令给监控台显示离心机转速正常致使离心机烧毁,使伊朗核进程延缓两年通过互联网与核电站专网网关渗透,通过移动存储介质渗透2011年伊朗火箭爆炸发指令使火箭爆炸,方圆500平方米炸成碎片伊朗火箭之父及多名顶尖导弹专家丧命2003年美国打伊拉克进攻开始前,伊拉克军事指挥网络已经被破坏利用第
5、三方供货的打印机破坏伊拉克指挥系统分支HR财务主管特权用户持续渗透RSA令牌种子服务器洛克马丁、诺斯罗普等军工企业OdayRSA SscruID攻击身边的场景冲击波病毒(Blaster)爆发的根源代码的问题在于对pwszPath的字符串长度没有验证,从而导致wszMachineName堆栈变量的溢出。安全和漏洞之间的距离,只有几行代码!应用开发安全的业界实践常见应用安全改善手段8588687121216302966.06550478654代码级分析工具和技术软件安全架构咨询渗透测试应用安全测试和扫描计划于12个月内实施计划于一年后实施已经实施暂没有实施计划不清楚在进行了应用安全管理和控制的客户
6、里,30选择了渗透测试服务,29通过测试/扫描工具进行应用软件安全性的检测,相比之下,只有12和16的客户分别表示他们采用了代码级分析工具技术以及借助专业安全厂商进行安全架构咨询服务Source:State Of Application Security(Forrestre Research)厂商实践设计验证渗透测试安全开发流程安全开发工具安全开发安全需求威胁建模安全设计主流厂商设计-开发-测试123实施与单元测试HP DevInspect QA与系统测试HP QAInspect预生产与运营HP WebInspect 安全团队应用开发团队分析设计实现测试发布部署Web应用扫描、渗透测试WAF软
7、件安全开发生命周期“Find and fix”“Defend and defer”“Secure at the source”大多数厂商通常采用定位与修复、防护和延缓以及代码安全实现三类手段Source:Securing Your Applications:Three Ways to Play(Aberdeen Group)业务系统各阶段的修复成本0 0倍倍5 5倍倍1010倍倍1515倍倍2020倍倍2525倍倍3030倍倍3535倍倍需求需求/架构架构编码编码集成集成/组件测试组件测试系统系统/验收测试验收测试发布发布需求调研/分析人员培训代码审计渗透测试设备防护业界思路-生命周期开始获取
8、和开发执行操作与维护发布阶部署段培训需求 设计实施测试发布响应安全组织通过安全开发生命周期改进微软 SDL 安全开发生命周期SAMM 企业软件保证 成熟度模型调整与管理需求与设计验证与评估部署与操作NIST SP800-64Security Considerations in the System Development Life Cycle实施思路 NSFocus 应用安全开发生命周期安全功能设计安全开发应用安全开发生命周期(ADSL)以生命周期和深度防御的理念为基础,在重视威胁和脆弱性管理的基础上,改进系统的安全设计、实现和测试。有效降低应用软件漏洞数量级,控制安全修补成本。相关角色:业务
9、部门:业务安全需求分析架构师:安全威胁识别开发人员:系统安全实现、测试运维部门:上线测试、运维管理安全人员:安全技能支持、培训应用安全开发生命周期ADSL 实施步骤需求分析阶段安全功能设计阶段实施开发阶段测试验证阶段上线发布阶段安全需求 分析关键目标识别受攻击面分析威胁建模静态分析Fuzzing 测试渗透测试开发安全规范培训与教育安全设计方案交易数据在传输过程中明文传输,有可能被截获、篡改需求采用HTTPS对通信数据进行加密,以保障数据的保密性设计避免使用特定的危险API如strcpy,sprintf,避免缓冲区溢出漏洞实施通过动态构建SQL语句以证明对用户输入进行了过滤以避免了SQL注入攻击
10、测试入侵者通过ASP程序提交上传了页面文件,清除木马程序并提供整改建议应急安全编程规范安全技术讲解安全测试原理持续安全学习集成测试最终安全评审安全响应和预警ADSL-需求阶段需求设计实施测试发布和响应安全需求 分析关键目标识别受攻击面识别威胁建模静态分析Fuzzing 测试渗透测试开发安全规范安全设计方案集成测试最终安全评审安全响应和预警输入 业务安全分析工具和手段GB/T 18336-123(CC)等级保护 ISO 27002OWASP TOP 10输出 业务安全需求ADSL-设计阶段需求设计实施测试发布和响应安全需求 分析关键目标识别受攻击面分析威胁建模静态分析Fuzzing 测试渗透测试
11、开发安全规范安全设计方案集成测试最终安全评审安全响应和预警输入 业务安全需求工具和手段受攻击面分析工具威胁建模工具标准安全手段库输出 威胁建模报告 安全设计方案ADSL-实施阶段需求设计实施测试发布和响应安全需求 分析关键目标识别受攻击面分析威胁建模静态分析Fuzzing 测试渗透测试开发安全规范安全设计方案集成测试最终安全评审安全响应和预警输入 安全设计方案工具和手段安全开发规范安全最佳实践人工审核输出 安全测试记录安全开发规范提示为确保对并不熟悉安全的开发人员能够养成安全编码的意识,应考虑通过如安全海报、桌面提示等进行耳濡目染的影响安全开发规范与典型安全威胁相结合:OWASP TOP 10
12、SANS TOP 20访问 在开发实施初期,为提高软件开发质量,应制定团队的各项质量和安全保障的规范安全开发规范 软件开发安全规范 编译器安全、C/C+、JAVA推荐/不推荐 用法列表、安全工具说明 单元代码自查记录 代码走读检查表指导审核要求ADSL-测试阶段需求设计实施测试发布和响应安全需求 分析关键目标识别受攻击面分析威胁建模静态分析Fuzzing 测试渗透测试开发安全规范安全设计方案安全响应和预警集成测试最终安全评审输入 安全设计方案工具和手段Fuzzer渗透测试工具包输出 测试报告ADSL-发布和响应阶段需求设计实施测试发布和响应安全需求 分析关键目标识别受攻击面分析威胁建模静态分析
13、Fuzzing 测试渗透测试集成测试最终安全评审开发安全规范安全设计方案安全响应和预警输入 待上线系统工具和手段基线核查工具脆弱性评估工具最终安全评审流程输出 集成测试报告 最终安全评审结果平台建设 流程和活动支持 报告模板 威胁建模工具 攻击面分析工具 涵盖多语言的代码审计平台 开源工具 商业工具 基线和漏洞管理平台 远程安全评估工具 基线评估工具团队建设 开发人员 安全编程规范 审计工具使用 安全人员 安全常见风险 运维部门 脆弱性评估方法 基线配置 安全培训技术支撑/知识库 技术支撑 远程/现场支持 安全事件解读 安全漏洞和威胁通告 知识库 Banned API 防SQL注入/XSS库外部专家协助改善应用安全的关键实现完善的设计并进行有效验证 架构设计 代码审计 渗透测试 应用安全扫描和测试尽早介入安全,安全成本得以有效降低;并以生命周期的形式持续改进规避安全专家不足这一客观事实带来的瓶颈,使业务部门、安全管理部门和软件开发部门采用一致的方法改善安全性 无论问题最初看起来怎样,它始终是人的问题!-Gerald M.Weinberg谢谢!
