More Related Content
Similar to 262442355 secure-development-2014 (20)
More from Inbalraanan (20)
262442355 secure-development-2014
- 1. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 1 of 11
שולחן מפגש סיכום
-
עגול
Secure Development
מידע מערכות של מאובטח פיתוח
:מנחים
רוסין סיגל
כ פיני
הן
- 2. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 2 of 11
,שלום נכבדים לקוחות
עגול שולחן במפגש השתתפותכם על תודה
Round Table
בנושא
של מאובטח פיתוח
מידע מערכות
.
.המפגש במהלך שעלו הדברים עקרי סיכום מצ"ב
במפגש
שתומצתו מהותיים נושאים עלו
מתן אלא ללקוחות גורפת המלצה זה בסיכום אין .שעלו כפי בסיכום
פרספקטיבה
של והצגה
.""מהשטח כלומר במפגש שעלו ההתלבטויות
בהקשר מידע מערכות פיתוח של בהקשר האידאלית המצב תמונת ,בדיון הנאמר פי על
.ברורה הנה אבטחה
מנהל השתתפו בדיון
.פיתוח ומנהלי סיסטם מנהלי ,מידע אבטחת י
גופי
הפרויקט של השלבים בכל מעורבים להיות צריכים המידע אבטחת
–
כולל הייזום משלב החל
הלא (בעיקר הבדיקות הפיתוח ,הניתוח בשלבי בהמשך ,התקציב ואישור העלויות הערכת
)פונקציונליות
,
ביצוע ולבסוף וידנית ממוכנת קוד סריקת כולל
PT
למצוי הרצוי בין אולם .
גדול המרחק
-
שו"ש או קטנים בפרויקטים בייחוד
קריטי שרת עדכון ,תוכנה גרסת עידכון (כגון
)ועוד בארגון
.
סדנת לקיים שהצליח מסר הארגונים אחד
ה עולם עם התמודדות
בכירים בהשתתפות סייבר
מ של המשמעות מה ראו שהמנהלים לאחר .בעלים של לרמה עד בארגון
על סייבר תקפת
ארגונם
–
הופרשו מתאימים ותקציבים הנושא של הפנמה הייתה
בהתאם
.
,בברכה
ו רוסין סיגל
כהן פיני
- 3. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 3 of 11
תוכן
עניינים
הקדמה
................................
................................
................................
........................
3
גבולות
גזרה
בפרויקט
................................
................................
................................
......
6
עמידה
בתקנ
ים
ורגולציה
................................
................................
................................
..
7
פה
קבור
הכלב
................................
................................
................................
...............
7
כלים
ל
-
static code analysis
בהקשר
אבטחת
מידע
................................
..............................
8
תקציב
אבטחת
מידע
(
בהקשר
פיתוח
)
................................
................................
................
9
הכשרות
מפתחים
ובודקים
בנוגע
לאבטחת
מידע
................................
................................
...
9
קוד
פתוח
בהקשר
של
אבטחת
מידע
................................
................................
.................
10
נספח
מיוחד
התייחסות
ספקים
ויצרנים
לנאמר
במפגש
................................
..........................
10
הקדמה
מאובטח פיתוח ומימוש יישום ,להטמעה שלמה מתודולוגיה אימצה מיקרוסופט חברת
–
Software Development Lifecycle
" ;(להלן
SDL
.)"
על נדבר בהמשך
מתודולוגית
כ הנחשבים נוספים ואתרים אחרות ממתודולוגיות חשובים אלמנטים הוספת תוך מיקרוסופט
–
Best Practices
כגון זה לנושא
OWASP
.וכדומה
המתודולוגיה בהטמעת הדרך אבני
מתודולוגית של הדרך אבני
SDL
:רגלים שלוש על מושתתות
1
.
( והעשרה לימוד
education
)
2
.
( מתמשך השתפרות תהליך
continuous process improvement
)
Education
Improvement
Accountability
- 4. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 4 of 11
3
.
( באחריות נשיאה
accountability
)
ו הפיתוח במחזור היטב משתלבת המתודולוגיה
.המידע אבטחת לנושא טבעית השלמה מהווה
.הפיתוח למחזור בהתאם המתודולוגיה מרכיב את הממחיש תרשים להלן
רבים שלבים מוגדרים המתודולוגיה ובהטמעת ,הפיתוח למחזור חופפים כאמור המרכיבים
מיקרוסופט חברת של לדוקטרינה בהתאם .בארגון המתודולוגיה יישום את מאפשרים יחד אשר
( הפיתוח שלבי חמשת כנגד נושאים עשר שישה הוגדרו
Requirements, Design,
Implementation, Verification, Release
להגדרת )
SDL
את נעביר אנו .בארגון והטמעתו
.דוגמא לקוח בחברת הנבחר לצוות המוגדרים הנושאים כל
אופטימיזציה
מתודולוגית ,כאמור
SDL
ל .וארוך מורכב תהליך הנה
מודל מיקרוסופט הגדירה כך שם
נוסף שלב פעם בכל לעבור הינה הנהוגה השיטה .המתודולוגיה ומימוש ליישום אופטימיזציה
.הפיתוח בצוות שוטף באופן ומתקיים מוטמע הנוכחי שהשלב לאחר וזאת והיישום הידע ברמת
:צוותיות יכולות המשקפים נושאים חמישה למתודולוגיה
•
Training, policy, and organizational capabilities
•
Requirements and design
•
Implementation
•
Verification
•
Release and response
נושאים מוגדרים רמה לכל .ארגונית הטמעה של רמות ארבע על מושתתים הללו הנושאים
.הפיתוח בצוות ויישום ללימוד
- 5. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 5 of 11
ד לקוח עם נעבור אנו המתודולוגיה פי על
רמה בין ויישום מעבר ונוודא הרמות לאורך וגמא
בפרויקטים והדרכה ליווי ,טיפול הכולל שבועי ליווי של מרכיב גם מציעים אנו ,כך לשם .לרמה
,שלבים לכל מתייחס הפרויקט שהיקף לציין יש .דוגמא לקוח לדרישת בהתאם נבחרים
.המתקדם עד מהבסיסי
השו הפעילויות את המשקפת טבלה להלן
.ורמה רמה בכל מיושמות ואשר נות
- 6. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 6 of 11
בשם ייעוץ מחברת לקוחה המתודולוגיה כי לציין חשוב
GRSEE
פיתוח בתהליכי המתמחה
מנכ"ל ,אדרת בן בן :קשר איש .בארגונים מאובטח
52.3866591
0
בפרויקט גזרה גבולות
בא .המידע אבטחת תחום של "הגזרה "גבולות והיא יחסית חדשה סוגיה עלתה בדיון
ופן
לצורך לארגון פריצות מניעת של נושאים על היתר בין אחראי המידע אבטחת תחום מסורתי
השחתת ,"לקוחות פרטי ("מחיקת ונדליזם לצורך פריצות מניעת ,מידע או כסף גניבת ביצוע
( שירות מתן מניעת ,)אתר
DDOS
.ועוד )
- 7. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 7 of 11
ה קולות שומעים לאחרונה אולם
אמינות של נושאים "מידע "אבטחת של התחום תחת מכללים
קשורים הם גם אליו הקשורים והנתונים עסקי תהליך של שאמינותו טוענים ולפיכך מידע
"הנורית כתובת מקליד לקוח לדוגמה .מידע לאבטחת
7
במסד נשמר בתכנות טעות בגלל אבל "
"הנורית הנתונים
8
בגי נוקטים אשר )(מעטים ארגונים ."
הבדיקות תחום שכל מחייבים זו שה
.המידע אבטחת ארגון של וכללים דרישות לפי וינהג כפוף יהיה
רק קשורים פיתוח של בהקשר המידע אבטחת שנושאי בגישה נוקטים הארגונים רוב אולם
.למעלה שהוצגה כפי בסוגיה מטפלים לא ולכן פונקציונליות הלא לבדיקות
גם מבצעים מתקדמים ארגונים
בהתאם המפתחים את ומנחים מידע אבטחת בהקשר קוד סקר
הקוד של ובדיקה לכתיבה
כי מידע אבטחת מבחינת בעייתי הדבר ארוך קלט שדה ישנו אם .
כגון לפגע פתח שהוא בעייתי קלט להכניס כזה בשדה ניתן
sql injection
אנשי אם אולם .
יש זהות תעודת שבשדה מגלים המידע אבטחת
2
תווים
מי
ותרים
בעייתי שהדבר למרות ,
בעייתי הדבר אין )אחרות במערכות זהות לתעודת להשוות קושי (יהיה פונקציונלית מבחינה
.למפתחים פניה תתבצע לא ולכן מידע אבטחת מבחינת
גם הם בתוכנה באגים יותר יש שבהם המקומות ,רבים ארגונים של ניסיונם פי על זאת עם
אבטחת לפגעי חשופים היותר
את מקבל המידע אבטחת צוות אשר ארגונים ישנם ולכן מידע
הלא הבדיקות תוצאות
פונקציונליו
ת
.הבדיקות מצוות שמתקבלות הפונקציונליות וגם
לקוחות
בשפות ושימוש במובייל אפליקציות פיתוח בעקבות התחזק מאובטח הפיתוח עולם כי ציינו
.מתקדמות תוכנה
ורגולציה בתקנים עמידה
לקוחו
כמו בינלאומיים בתקנים מעמידה שכחלק ציינו ת
ISO 270001
ושיפור שינוי ישנו
.מידע אבטחת של בהקשר הפיתוח בתהליכי
הארגון מפתחי נדרשים התקן לאותו בהמשך
מתודולוגי ואף בנושא מסודרים נהלים ,מאובטחת לכתיבה
ה
.
הכלב קבור פה
ל בהקשר השונים הארגונים בין גדולה שונות ישנה
אולם מאובטח פיתוח של ונהלים תהליכים
דעים תמימות הייתה בדיון
כי
סבירה בצורה מטופלים הגדולים הפרויקטים של המכריע רובם
במשימות ובמיוחד הקטנים בפרויקטים היא בעיקר הבעיה אולם .מאובטח פיתוח של בהיבט
- 8. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 8 of 11
כ רבים במקרים שמוגדר מה קטנות אחזקה
-
בארגוני .שו"ש
enterprise
בי
מאות יש שראל
"קטן ב"שינוי מדובר הרי כי מלא פיתוח תהליך עוברות שאינן כאלה ,ברבעון קטנות משימות
.אסון הרת להיות עלולה מאובטח פיתוח של בהקשר והתוצאה
,קושחה עדכון ,כגון דוגמאות
.ועוד ,החוצה היוצא ארגוני ממשק ,קריטי לשרת תוכנה עדכון
שבו מצב לקוח תאר דוגמה בתור
ב המשתמש בארגון
-
IE8
סטנדרטי ארגוני דפדפן בתור
באחד יוזמה עלתה
מהפרויקטים
ב זה בפרויקט להשתמש הפנימיים
-
chrome
ליישם בכדי
של מתקדמת פונקציונליות
java script
לשימוש התייחסו בפרויקט )(והמנהלים המפתחים .
ב
-
chrome
מידע שאבטחת הסתבר אולם .לאוויר הפרויקט את להעלות ורצו שולי דבר בתור
ב שימוש אישרה לא
-
chrome
.)מרוכז באופן הדפדפן את לנהל כיום היכולת חוסר (עקב
אינו מידע אבטחת מבחינת אבל פעוט נראה המפתחים שמבחינת נושא על מדובר כלומר
טריוויאל
י
בפרוי עיקוב נוצר ולכן בכלל
קט
.
בתחום האדם כוח .פרויקט בתחילת עוד שנעשה סיכונים בניהול תלוי הכל כי לציין חשוב
יש לכן .האבטחה נושא את וינחה שיישב אדם פרויקט לכל להקצות וקשה מצומצם האבטחה
המידע אבטחת דרך לעבור יש ומשמעותיים מורכבים בפרויקטים ולפחות תהליכים לייעל
.בארגון
עם להתמודד בכדי
הסוגיה
אבטחת מול צמודה עבודה המחייבים והשינויים הפרויקטים זיהוי
המידע
הארגונים אחד יצר
template
של
השינוי מהות לגבי למפתח שאלות
האם ,(לדוגמא
לנתונים נגשים שבה הדרך עדכון כולל השינוי האם ,משתמשים או בהרשאות שינוי כולל השינוי
)'וכד
מחלי השאלות על המענה ולפי
שלבים ובאיזה המידע אבטחת את לערב יש האם טים
.בפיתוח
פרויקט כל מייזום בסיסי חלק להיות אמור זה שאלון
.שינוי
ל כלים
-
static code analysis
מידע אבטחת בהקשר
שמבצעים בכלים הצורך עלה בדיון
static code analysis
כגון
checkmarks
,
c-care
ורבים
.)פתוח קוד (חלקם אחרים
בהקשר האבטחה רמת בהעלאת מסייעים הכלים לקוחות לדעת
בביצוע הצורך את מחליפים לא אלו שכלים היא הרווחת הדעה אולם פיתוח של
PT
.
ב משתמשים שבו מצב תאר הארגונים אחד
-
CCARE
,וברור טוב הנו שמתקבל הפלט כאשר
.המלצות וכולל קריטיות לפי ממוין
- 9. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 9 of 11
אינם זה מתחום כלים אולם
קוד מכסים
LEGACY
(
MF AS400
גם כמו )שנות ומערכות
ה ארגוני של המכריע רובם מבוססים עליהם חבילות
-
enterprise
ולכן
הפוטנציאלי המקום
.גדול אינו אלו בכלים להשתמש אפשר שבו
כמו בתחום ותיקים כלים ישנם ,בנוסף
HP FORTIFY
ויבמ
APPSCAN
שעלה נוסף מתחרה .
הוא האחרונות בשנים
SEEKER
בבדיקות גם התומך
דינמיות
.
.במוצר ולא הקוד את הבודקות ייעוץ חברות בשירותי נעזרים הם כי שציינו לקוחות ישנם
,אבנט ,קומסק הם בנושא שעלו ייעוץ חברות
Beyond security
.
)פיתוח (בהקשר מידע אבטחת תקציב
אבטח תקציב של בנושא
.הארגונים בין רבה שונות התגלתה הפרויקטים על "ו"גילגולו המידע ת
,הנראה פי על
אבטחת לנושא פרויקט פר מראש מקצים אינם הארגונים של המכריע רובם
בדיקות כלל (בדרך זה בתחום הוצאות מעמיסים אינם גם ורבים מידע
PT
–
עלות גודל סדר
של
20
K
₪
לבדיקה
ביצוע אך ,
PT
לפרויקטיי
WEB
טכנולוגיות על המתבססים
REST
עלול
יותר לעלות
.הפרויקט על )
של גודל סדר על דיברו פרויקט פר תקציב מקצים שכן ארגונים
5%
.הפרויקט מתקציב
מתודולוגי או נהלים אין מאובטח הפיתוח לתחום כי ציינו לקוחות כמה ,בנוסף
ה
.
נתקל הארגון
בו במצב
המידע אבטחת
מעכבת
פרויקט
הי
כתוצאה .הייזום בשלב עוד נכללה לא והיא ות
גדל הפרויקט תקציב ,מכך
.
מידע לאבטחת בנוגע ובודקים מפתחים הכשרות
ישנה שבהחלט מסתבר .מידע אבטחת בהקשר מפתחים הכשרות של הנושא עלה בדיון
מכשירים אשר ארגונים ישנם .המפתחים בקרב הנושא ותזכור לימוד לחשיבות מודעות
מפתחים
בתנאי מעמידה כחלק אשר ארגונים ישנם .לתפקיד מכניסתם כחלק
PCI
מחויבים
אולם בשנה הדרכה שעת לפחות של בתדירות למפתחים המאובטח הפיתוח נושא את לתזכר
.מהארגונים בחלק תוכנה בודקי לגבי כנ"ל .מספיקה תמיד שלא בכמות מדובר ארגונים לדברי
לא (אבל מידע אבטחת של בהקשר בסיסית בדיקה מבצעים התוכנה בודקי אלו בארגונים
תהל החלפת על מדובר
ביצוע של יך
PT
.)חיצוני
רבעון כל .החדשים למפתחים מאובטח פיתוח קורס נערך בשנה פעם כי שיתף הלקוחות אחד
ישנו .שיותר כמה בנושא המודעות את להעלות חשוב .מאובטח פיתוח על כללית הרצאה ישנה
- 10. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 10 of 11
הארגונית לתרבות ישיר קשר
-
לא הארגונים רוב .אינטרנט ארגון לעומת מסורתי ארגון
עושים
CHARGEBACK
מנהל ולכן ,אבטחה על לשלם מוכן לא הביזנס .לאבטחה
IT
זאת מקדם
להוכיח ויש נמדדים הזמן כל האבטחה בעולם .אחרון האבטחה שנושא כך
ROI
מוצרים על
ו הסיכונים ניהול עולם לכן .שקונים
GOVERNANCE
.כאן חזק משתלב
פתוח קוד
מידע אבטחת של בהקשר
סו עלתה בדיון
שאינו פתוח בקוד השימוש והיא הפיתוח לתחום ישיר באופן קשורה שאינה גיה
ויותר יותר רווח פתוח בקוד השימוש .בארגונים מסחרי
אינטרנט בחברות בעיקר
ארגוני גם מתחילים וכעת ובסטארטאפים
enterprise
מצד .מסחרי שאינו פתוח קוד ליישם
עיניי יותר פתוח קוד על שמדובר מכיוון אחד
קוד חלקי ויש במידה ולכן הקוד את רואות ם
גורמים יותר ישנם שני מצד אולם .גבוה יותר שיתגלו הסיכוי מידע אבטחת מבחינת בעייתיים
בעייתי קוד להזין עלולים אשר
–
לוודא מעוניינות הבסיסית שברמה מסחריות חברות לעומת
"רעי גורמים שבה סיטואציה כמובן ישנו (אולם מאובטח שהקוד
החברה לתוך חדרו "ם
.)המסחרית
עובדה עקב אולם מסחרי שאינו פתוח בקוד משתמש הוא שבו מצב תאר הארגונים אחד ,ואכן
.יזיק לא זה שקוד לוודא נוספות אבטחה מעטפות בארגון יצרו זו
נספח
מיוחד
התייחסות
ספקים
ויצרנים
לנאמר
במפגש
חברת התייחסות
HP
,סוויסה עמי :קשר איש
מכירות
0524265310
Ami.Suissa@hp.com
במוצר וגאים ומאובטח לפיתוח העזר כלי את רבה בחשיבות רואים אנו
Fortify
מבית
HP
.בתחום המוביל
Fortify
בארגון המאובטח פיתוח ה תהליך בתוך משתלבים בשוק אחרים כלים גם כמו
SDLC
.
ב משתמשים לרוב שהוזכר כפי
static code analysis
הכי ברמה פגיעויות מציאת שמאפשר
גם אך ,גבוהה
Dynamic code analysis
.לקוחותינו אצל נרחב בשימוש
HP
העגול בשולחן שהוזכרו מאובטח פיתוח בנושא למפתחים הדרכה שירותי מספקת גם
-
.המאובטח הפיתוח את לומד ומייד לינק מקבל הוא ,חדש עובד מגיע שכאשר כך
- 11. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 11 of 11
ש לציין יש
HP
מספקת
שירותי גם
בענן קוד בדיקת
Fortify on demand
-
שצובר שירות
.הלקוח מצד ידע מצריך ולא עבודה יום תוך תוצרים ומספק בעולם תאוצה
גוברים שהאיומים כיוון ,החברה מאחורי שעומד המחקר לגוף היא נוספת חשיבות ,לכך מעבר
ל ,עימם להתמודד תדע הסריקה שתוכנת לדאוג ויש יום כל
HP
מעל
2000
.מחקר אנשי
ה מוצר ,יזום באופן אפליקטיבים אבטחה חורי של וחסימה בפרואקטיביות גם נמצא העתיד
Application Defender
בסביבת שרצות אפליקציות על אפליקטיבית ברמה להגן מאפשר
Production
,מיידי באופן למפתחים הקוד את להחזיר צורך אין ,אבטחה חור נמצא אם וגם
Application Defender
.כך על לדווח וכמובן הפגיעויות את לחסום יודעת
נוספות שאלות יש באם לרשותכם לעמוד נשמח