Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen...
-
Upload
truongkhanh -
Category
Documents
-
view
213 -
download
0
Transcript of Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen...
![Page 1: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/1.jpg)
OWASP AppSec Germany 2009
Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen
Tobias [email protected]
Review: Marco Di Filippo ;-)Appsec Germany Nürnberg 13.10.2009
![Page 2: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/2.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
2
Die Projektgruppe (alphabetical order)
Marco Di FilippoTobias GlemserAchim HoffmannBarbara SchachnerDennis SchröderFeilang Wu
![Page 3: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/3.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
3
Um was geht's?
![Page 4: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/4.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
4
Eine Frage der Definition…
Wie der Kunde es erklärt hat Wie der Projektleiter es verstanden hat Wie der Analyst es auffasst
![Page 5: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/5.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
5
Eine Frage der Definition…
Wie der Wirtschaftsberater es verkauft Wie das Projekt dokumentiert wurde Wie es dem Kunden berechnet wurde
![Page 6: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/6.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
6
Eine Frage der Definition…
Was der Kunde wirklich gebraucht hätte
![Page 7: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/7.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
7
Um was geht's?
Erfahrungswerte von Dienstleistern und KundenWie projektiere ich intern?Wie definiere ich meine Anforderungen?Wie finde ich geeignete Dienstleister?
![Page 8: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/8.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
8
Projektverlauf
Diskussion am OWASP Stand auf der IT-SA Oktober 08Erste Anfrage an OWASP Mailing-Liste: 26.11.08Erste Antwort: 27.11.08Grober Projektablaufplan: Januar 09Erster Draft: Februar 09
![Page 9: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/9.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
9
Projektverlauf
Problem: Keine Kunden Lösung: 04.03. - 2 Kunden ☺Zweiter Draft: April 09Dritter Draft: Juni 09 (inkl. ein Ausstieg aus berufl. Gründen)„Kick-Off“ Workshop im AugustFinalisierungs-WS Mitte SeptemberVersion 1.01 auf owasp.org: 9. Oktober
![Page 10: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/10.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
10
Aufbau des Papers
Einführung und ZielsetzungAnforderungen: KundenseiteAnforderungen: DienstleisterCheckliste: Anforderungen KundenseiteCheckliste: Anforderungen Dienstleister-Angaben
![Page 11: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/11.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
11
Einführung
Kunde: Betreiber von Webanwendungen auf der Suche nach einem DienstleisterDienstleister (intern oder extern): Abteilung oder Unternehmen mit Expertise bei der Durchführung von Sicherheitsprüfungen von WebanwendungenWebanwendung: Auf Webtechnologien aufsetzende Anwendung
klassische InternetpräsenzWeb-APIWeb-Frontend von Anwendungsservern…
![Page 12: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/12.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
12
Einführung
Zielgruppe: Betreiber von Webanwendungen(Dienstleister)
Abgrenzung„untechnisch“Technische Erläuterungen, wenn für den Gesamtkontext wichtig
AktualisierungenMal schauen ☺Feedback jederzeit und gerne erwünscht!
![Page 13: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/13.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
13
Anforderungen: Kundenseite
Art der PrüfungVulnerability-Assessment (VA) / Penetrationstest der Webanwendung
Wahl der Vorgehensmodells– BSI: Durchführungskonzept für Penetrationstests– Open Source Security Testing Methodology Manual (OSSTMM)– OWASP Testing Guide– OWASP Application Security Verification Standard
Blackbox/WhiteboxLasttests/DoSSaaS - Software as a Service
![Page 14: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/14.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
14
Anforderungen: Kundenseite
Art der Prüfung IIQuellcode-AnalyseArchitektur-AnalyseProzess- und Dokumentations-Analyse (z. B. auf Basis IT-Grundschutz oder ISO 27001 „native“)
![Page 15: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/15.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
15
Anforderungen: Kundenseite
ZielformulierungDefinition der TestzieleBeschreibung der Umgebung, u. A.
ÜberblickZugriffswegeRechteprofileUmfangArchitekturDatenflußdiagramm
![Page 16: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/16.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
16
Anforderungen: Kundenseite
Organisatorische Aspekte: Initialisierung
Zieldefinition und ProjektbeschreibungAusgangssituation und BegründungZiele und MeilensteineRandbedingungen und Abgrenzungen
![Page 17: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/17.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
17
Anforderungen: Kundenseite
Organisatorische Aspekte: VorbereitungTeilnehmerProjektsteuerung und FeedbackOrt und ZeitScan-FreigabenVertraulichkeitserklärungenHaftung
![Page 18: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/18.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
18
Anforderungen: Kundenseite
Organisatorische Aspekte: AusschreibungUnkritische InformationenSo konkret als möglich
Allgemeine Kurzbeschreibungen der Systeme bzw. KomponentenVereinfachte NetzwerkpläneVereinfachte Datenflussdiagramme
Organisatorische Aspekte: Dienstleister AuswahlEigenes Kapitel..
![Page 19: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/19.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
19
Anforderungen: Kundenseite
Organisatorische Aspekte: Kick-OffÜbergabe der InformationenAlle Beteiligten an einen TischAbstimmung der Vorgehensweise
Organisatorische Aspekte: DurchführungStändiger Ansprechpartner beim KundenDefinierte EskalationswegeDefinierte Rückmelde-Strategien
Organisatorische Aspekte: ProjektabschlussBericht nach Vereinbarung (siehe Dienstleister-Auswahl)Ggf. Präsentation
![Page 20: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/20.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
20
Anforderungen: Kundenseite
Organisatorische Aspekte: ProjektabschlussBericht nach Vereinbarung (siehe Dienstleister-Auswahl)Ggf. Präsentation
Organisatorische Aspekte: ProjektnachbereitungRisikograd-Einschätzungen verifizierenVerantwortlichkeiten zuweisenBehebung der Schwachstellen prüfen
![Page 21: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/21.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
21
Anforderungen: Dienstleister-Angaben
Erforderliche Angaben: UnternehmensgeschichteAnhaltspunkte für QualitätVeröffentlichungenAktive Mitgliedschaften
Erforderliche Angaben: ProjektteamSollte von Beginn an feststehen!Mitarbeiterprofile
![Page 22: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/22.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
22
Anforderungen: Dienstleister-Angaben
Erforderliche Angaben: MethodenProjektplan, pro Phase
AufwandMeilensteine
MethodikAutomatisierte TestsManuelle Tests mit „kreativer Komponente“
Individuelle Beschreibung der Vorgehensweise!Nennung der Werkzeuge und Tools, ggf. inkl. Beschreibung
![Page 23: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/23.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
23
Anforderungen: Dienstleister-Angaben
Erforderliche Angaben: BerichtExecutive SummaryZusammenfassung der SchwachstellenAusführliche Beschreibung der Schwachstellen
Kurzbeschreibung,Auswirkung der SchwachstelleRisikoeinschätzungReferenzenggf. genaue Vorgehensweise zur Ausnutzung der Schwachstelle
Reproduzierbarkeit und Transparenz
![Page 24: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/24.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
24
Anforderungen: Dienstleister-Angaben
Weiche Faktoren: ReferenzenFast immer (individuell) möglichPrüfen!
Weiche Faktoren: VeröffentlichungenFachartikelVorträge
Weiche Faktoren: MitgliedschaftenIT-Sicherheitsrelevante OrganisationenAktiv/passiv
![Page 25: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/25.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
25
Anforderungen: Dienstleister-Angaben
Weiche Faktoren: Zertifizierungenz. B. ISO/IEC 27001 oder ISO 9001
Weiche Faktoren: Umgang mit DatenVerschlüsselter TransferSichere Speicherung
Weiche Faktoren: HaftpflichtGreift nur bei Fahrlässigkeit
![Page 26: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/26.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
26
Fazit
IT-Sicherheit ist kein VoodooGemeinsame Sprache und gemeinsames Verständnis der Ziele aller Beteiligter oberstes GebotWiederholbarkeit der PrüfungenNachvollziehbarkeit der ErgebnisseInterne Nachbereitung
![Page 27: Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung. OWASP AppSec Germany 2009](https://reader031.fdocuments.us/reader031/viewer/2022011804/5ba0073909d3f2da5b8c4dbd/html5/thumbnails/27.jpg)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
27
Danke
Alle Infos und Download auf http://www.owasp.org/index.php/Projektierung_der_Sicherheitspr%C3%BCfung_von_WebanwendungenKonstruktive Kritik an einen der Autoren per MailMorgen (14.10.) OWASP Stand auf der IT-SAAus ☺