Risspa business-app-security

Обеспечение безопасности расширений в корпоративных информационных системах Как обстоят дела у «них» и у «нас» Андрей ПетуховThursday, September

Цель и метод • Cравнить степень осознания задачи по защите бизнес приложений у “нас” и у “них” (на примере SAP и 1C) • Метод: ✓ определим, что же такое бизнес-приложения ✓ опишем высокоуровневую структуру бизнес-приложений и определим характерные черты бизнес-приложений (BS) ✓ используем структуру для постановки задачи комплексной защиты ✓ разделим задачи по защите на типичные и специфичные именно для BS ✓ рассмотрим подходы к решению специфичных задач ✓ сделаем выводы и поставим диагнозThursday, September

Making things clear • business software vs idleness softwareThursday, September

High-level view on BS Наполнение платформы Программы на DSL Платформа для автоматизации и контроля БП Система поддержки разработки и выполнения программ на DSL, стандартная библиотека Инфраструктура для работы РИС Многозвенная слабо связанная архитектураThursday, September

Ключевая особенность BS • Подходы к обеспечению безопасности BS и Система Unreal Idleness Unreal Idleness будут различаться. Почему? • Ключевой особенностью BS является Программы на DSL ✓ огромная ценность обрабатываемой информации Unreal Script ✓ критичность в свете обеспечения непрерывности и эффективности бизнес процессов Среда выполнения программ на DSL • Последствия реализации одних и тех же Unreal Engine угроз для обычных РИС и для бизнес- Инфраструктура для работы РИС приложений различаются кардинально Многозвенная слабо связанная архитектура • Неактуальные задачи для обычного ПО становятся актуальными для BS • Затраты на Application Security vs Infrastructure SecurityThursday, September

Уязвимости в РИС • Уязвимость может быть в любом компоненте РИС • Уязвимость может быть привнесена в РИС на любом этапе жизненного цикла ее компонента • Компоненты РИС бывают стандартными, сторонними и собственными • Чем выше в схеме компонент РИС, тем меньше его распространенность • Вероятность обнаружения уязвимости и ее Impact Factor зависит от распространенности компонента • Для распространенных компонентов формируется своя экосистема по обеспечению их безопасности • Из-за их природы, к программам на DSL не применимы существующие средства статического анализа, фреймворки для тестирования и пр. • Для собственных компонентов требования к безопаности должны предъявляться на этапе разработки, по результатам моделирования угрозThursday, September

Ничего не напоминает?Thursday, September

Стандартные компоненты • Реализация принципа ограниченности ущерба • Patch management • Best practices по внедрению, конфигурации, эксплуатации и аудиту • Системы мониторинга и обнаружения вторжений • Сканеры уязвимостей (Nessus, MaxPatrol, ERPScan для SAP, для 1с - ???) Платформа для автоматизации и контроля БП Система поддержки разработки и выполнения программ на DSL, стандартная библиотека Инфраструктура для работы РИС Многозвенная слабо связанная архитектураThursday, September

Собственные компоненты • Угрозы ✓ программные закладки ✓ уязвимости (прежде всего Input Validation) • Важные факторы ✓ тенденция к интеграции с веб-технологиями и выходу в Интернет ✓ отсутствие требований к безопасности собственного ПО ✓ ограниченность инструментария для анализа программ на DSL Наполнение платформы Программы на DSLThursday, September

Программные закладки • Методически ✓ без спецификации - теоретически неразрешимая задача ✓ варианты хоть какого-то решения: code review, сигнатурный статический анализ, динамический анализ с подсчетом покрытия • Практически ✓ SAP - статические анализаторы CodeProﬁler от Virtual Forge, SCA от Fortify; предложения по code review ✓ 1С Предприятие - ???Thursday, September

Уязвимости в custom-коде • Методически ✓ определение зависимости аргументов критичных функций от пользовательского ввода при отсутствии его обработки ✓ варианты решения: code review, статический taint-анализ, динамический taint-анализ, black-box тестирование по словарю атак ✓ словари атак black-box сканеров должны быть расширены специализированными векторами атак • Практически ✓ SAP - статические анализаторы CodeProﬁler от Virtual Forge, SCA от Fortify; предложения по code review; отчасти black-box сканеры ✓ 1С Предприятие - отчасти black-box сканерыThursday, September

Выводы • У “них”: осознание проблемы уже находится на уровне необходимости защиты собственных расширений • У “нас”: осознание проблемы находится на уровне необходимости защиты платформы • Диагноз: владельцы инсталляций 1С Предприятия практически беззащитны перед технически грамотными инсайдерами, имеющими доступ к конфигурациям 1СThursday, September

Спасибо за внимание • Email: andrew.petukhov@internalsecurity.ru • WWW: http://internalsecurity.ru/ • Web log: http://andrepetukhov.wordpress.com/ • Tel: +7 (495) 774-90-48Thursday, September

Risspa business-app-security

by RISSPA on Oct 16, 2011

Accessibility

Upload Details

Usage Rights

2 Embeds 77

Statistics

Risspa business-app-security — Presentation Transcript

http://www.risspa.ru	76
http://ec2-176-34-245-108.eu-west-1.compute.amazonaws.com	1