Risspa business-app-security
description
Transcript of Risspa business-app-security
Обеспечение безопасности расширений в корпоративных информационных системах
Как обстоят дела у «них» и у «нас»
Андрей Петухов
Thursday, September
Цель и метод• Cравнить степень осознания задачи по защите бизнес приложений у “нас” и у “них” (на примере SAP и 1C)
• Метод:✓ определим, что же такое бизнес-приложения
✓ опишем высокоуровневую структуру бизнес-приложений и определим характерные черты бизнес-приложений (BS)
✓ используем структуру для постановки задачи комплексной защиты
✓ разделим задачи по защите на типичные и специфичные именно для BS
✓ рассмотрим подходы к решению специфичных задач
✓ сделаем выводы и поставим диагноз
Thursday, September
Making things clear
• business software vs idleness software
Thursday, September
High-level view on BS
Инфраструктура для работы РИСМногозвенная слабо связанная архитектура
Платформа для автоматизации и контроля БПСистема поддержки разработки и выполнения программ на DSL, стандартная библиотека
Наполнение платформыПрограммы на DSL
Thursday, September
Ключевая особенность BS• Подходы к обеспечению безопасности BS и
Unreal Idleness будут различаться. Почему?
• Ключевой особенностью BS является
✓ огромная ценность обрабатываемой информации
✓ критичность в свете обеспечения непрерывности и эффективности бизнес процессов
• Последствия реализации одних и тех же угроз для обычных РИС и для бизнес-приложений различаются кардинально
• Неактуальные задачи для обычного ПО становятся актуальными для BS
• Затраты на Application Security vs Infrastructure Security
Программы на DSLUnreal Script
Среда выполнения программ на DSLUnreal Engine
Инфраструктура для работы РИСМногозвенная слабо связанная архитектура
Система Unreal Idleness
Thursday, September
Уязвимости в РИС• Уязвимость может быть в любом компоненте РИС
• Уязвимость может быть привнесена в РИС на любом этапе жизненного цикла ее компонента
• Компоненты РИС бывают стандартными, сторонними и собственными
• Чем выше в схеме компонент РИС, тем меньше его распространенность
• Вероятность обнаружения уязвимости и ее Impact Factor зависит от распространенности компонента
• Для распространенных компонентов формируется своя экосистема по обеспечению их безопасности
• Из-за их природы, к программам на DSL не применимы существующие средства статического анализа, фреймворки для тестирования и пр.
• Для собственных компонентов требования к безопаности должны предъявляться на этапе разработки, по результатам моделирования угроз
Thursday, September
Ничего не напоминает?
Thursday, September
Стандартные компоненты• Реализация принципа ограниченности ущерба
• Patch management
• Best practices по внедрению, конфигурации, эксплуатации и аудиту
• Системы мониторинга и обнаружения вторжений
• Сканеры уязвимостей (Nessus, MaxPatrol, ERPScan для SAP, для 1с - ???)
Инфраструктура для работы РИСМногозвенная слабо связанная архитектура
Платформа для автоматизации и контроля БПСистема поддержки разработки и выполнения программ на DSL, стандартная библиотека
Thursday, September
Собственные компоненты• Угрозы✓ программные закладки
✓ уязвимости (прежде всего Input Validation)
• Важные факторы✓ тенденция к интеграции с веб-технологиями и выходу в Интернет
✓ отсутствие требований к безопасности собственного ПО
✓ ограниченность инструментария для анализа программ на DSL
Наполнение платформыПрограммы на DSL
Thursday, September
Программные закладки
• Методически✓ без спецификации - теоретически неразрешимая задача
✓ варианты хоть какого-то решения: code review, сигнатурный статический анализ, динамический анализ с подсчетом покрытия
• Практически✓ SAP - статические анализаторы CodeProfiler от Virtual Forge, SCA от
Fortify; предложения по code review
✓ 1С Предприятие - ???
Thursday, September
Уязвимости в custom-коде• Методически✓ определение зависимости аргументов критичных функций от пользовательского ввода при отсутствии его обработки
✓ варианты решения: code review, статический taint-анализ, динамический taint-анализ, black-box тестирование по словарю атак
✓ словари атак black-box сканеров должны быть расширены специализированными векторами атак
• Практически✓ SAP - статические анализаторы CodeProfiler от Virtual Forge, SCA от
Fortify; предложения по code review; отчасти black-box сканеры
✓ 1С Предприятие - отчасти black-box сканеры
Thursday, September
Выводы
• У “них”: осознание проблемы уже находится на уровне необходимости защиты собственных расширений
• У “нас”: осознание проблемы находится на уровне необходимости защиты платформы
• Диагноз: владельцы инсталляций 1С Предприятия практически беззащитны перед технически грамотными инсайдерами, имеющими доступ к конфигурациям 1С
Thursday, September
Спасибо за внимание
• Email: [email protected]
• WWW: http://internalsecurity.ru/
• Web log: http://andrepetukhov.wordpress.com/
• Tel: +7 (495) 774-90-48
Thursday, September