Обеспечение безопасности                        расширений в корпоративных                          информационных система...
Цель и метод         •     Cравнить степень осознания задачи по защите бизнес               приложений у “нас” и у “них” (...
Making things clear                • business software vs idleness softwareThursday, September
High-level view on BS                                        Наполнение платформы                                         ...
Ключевая особенность BS        •     Подходы к обеспечению безопасности BS и                                              ...
Уязвимости в РИС              •       Уязвимость может быть в любом компоненте РИС              •       Уязвимость может б...
Ничего не напоминает?Thursday, September
Стандартные компоненты                •     Реализация принципа ограниченности ущерба                •     Patch managemen...
Собственные компоненты                • Угрозы                      ✓   программные закладки                      ✓   уязв...
Программные закладки                •     Методически                      ✓   без спецификации - теоретически неразрешима...
Уязвимости в custom-коде                •     Методически                      ✓   определение зависимости аргументов крит...
Выводы        •     У “них”: осознание проблемы уже находится на уровне              необходимости защиты собственных расш...
Спасибо за внимание                •     Email: andrew.petukhov@internalsecurity.ru                •     WWW: http://inter...
Upcoming SlideShare
Loading in …5
×

Risspa business-app-security

1,103 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,103
On SlideShare
0
From Embeds
0
Number of Embeds
199
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Risspa business-app-security

  1. 1. Обеспечение безопасности расширений в корпоративных информационных системах Как обстоят дела у «них» и у «нас» Андрей ПетуховThursday, September
  2. 2. Цель и метод • Cравнить степень осознания задачи по защите бизнес приложений у “нас” и у “них” (на примере SAP и 1C) • Метод: ✓ определим, что же такое бизнес-приложения ✓ опишем высокоуровневую структуру бизнес-приложений и определим характерные черты бизнес-приложений (BS) ✓ используем структуру для постановки задачи комплексной защиты ✓ разделим задачи по защите на типичные и специфичные именно для BS ✓ рассмотрим подходы к решению специфичных задач ✓ сделаем выводы и поставим диагнозThursday, September
  3. 3. Making things clear • business software vs idleness softwareThursday, September
  4. 4. High-level view on BS Наполнение платформы Программы на DSL Платформа для автоматизации и контроля БП Система поддержки разработки и выполнения программ на DSL, стандартная библиотека Инфраструктура для работы РИС Многозвенная слабо связанная архитектураThursday, September
  5. 5. Ключевая особенность BS • Подходы к обеспечению безопасности BS и Система Unreal Idleness Unreal Idleness будут различаться. Почему? • Ключевой особенностью BS является Программы на DSL ✓ огромная ценность обрабатываемой информации Unreal Script ✓ критичность в свете обеспечения непрерывности и эффективности бизнес процессов Среда выполнения программ на DSL • Последствия реализации одних и тех же Unreal Engine угроз для обычных РИС и для бизнес- Инфраструктура для работы РИС приложений различаются кардинально Многозвенная слабо связанная архитектура • Неактуальные задачи для обычного ПО становятся актуальными для BS • Затраты на Application Security vs Infrastructure SecurityThursday, September
  6. 6. Уязвимости в РИС • Уязвимость может быть в любом компоненте РИС • Уязвимость может быть привнесена в РИС на любом этапе жизненного цикла ее компонента • Компоненты РИС бывают стандартными, сторонними и собственными • Чем выше в схеме компонент РИС, тем меньше его распространенность • Вероятность обнаружения уязвимости и ее Impact Factor зависит от распространенности компонента • Для распространенных компонентов формируется своя экосистема по обеспечению их безопасности • Из-за их природы, к программам на DSL не применимы существующие средства статического анализа, фреймворки для тестирования и пр. • Для собственных компонентов требования к безопаности должны предъявляться на этапе разработки, по результатам моделирования угрозThursday, September
  7. 7. Ничего не напоминает?Thursday, September
  8. 8. Стандартные компоненты • Реализация принципа ограниченности ущерба • Patch management • Best practices по внедрению, конфигурации, эксплуатации и аудиту • Системы мониторинга и обнаружения вторжений • Сканеры уязвимостей (Nessus, MaxPatrol, ERPScan для SAP, для 1с - ???) Платформа для автоматизации и контроля БП Система поддержки разработки и выполнения программ на DSL, стандартная библиотека Инфраструктура для работы РИС Многозвенная слабо связанная архитектураThursday, September
  9. 9. Собственные компоненты • Угрозы ✓ программные закладки ✓ уязвимости (прежде всего Input Validation) • Важные факторы ✓ тенденция к интеграции с веб-технологиями и выходу в Интернет ✓ отсутствие требований к безопасности собственного ПО ✓ ограниченность инструментария для анализа программ на DSL Наполнение платформы Программы на DSLThursday, September
  10. 10. Программные закладки • Методически ✓ без спецификации - теоретически неразрешимая задача ✓ варианты хоть какого-то решения: code review, сигнатурный статический анализ, динамический анализ с подсчетом покрытия • Практически ✓ SAP - статические анализаторы CodeProfiler от Virtual Forge, SCA от Fortify; предложения по code review ✓ 1С Предприятие - ???Thursday, September
  11. 11. Уязвимости в custom-коде • Методически ✓ определение зависимости аргументов критичных функций от пользовательского ввода при отсутствии его обработки ✓ варианты решения: code review, статический taint-анализ, динамический taint-анализ, black-box тестирование по словарю атак ✓ словари атак black-box сканеров должны быть расширены специализированными векторами атак • Практически ✓ SAP - статические анализаторы CodeProfiler от Virtual Forge, SCA от Fortify; предложения по code review; отчасти black-box сканеры ✓ 1С Предприятие - отчасти black-box сканерыThursday, September
  12. 12. Выводы • У “них”: осознание проблемы уже находится на уровне необходимости защиты собственных расширений • У “нас”: осознание проблемы находится на уровне необходимости защиты платформы • Диагноз: владельцы инсталляций 1С Предприятия практически беззащитны перед технически грамотными инсайдерами, имеющими доступ к конфигурациям 1СThursday, September
  13. 13. Спасибо за внимание • Email: andrew.petukhov@internalsecurity.ru • WWW: http://internalsecurity.ru/ • Web log: http://andrepetukhov.wordpress.com/ • Tel: +7 (495) 774-90-48Thursday, September

×