1应用软件安全基础

FortifySoftwareInc.主讲人:王宏FortifySoftwareInc.主题•基本概念.•软件安全的重要性.•分析软件安全越来越严重的原因和根源.•解决软件安全问题的措施和方法.FortifySoftwareInc.基本概念•软件安全的定义:在软件受到恶意的攻击下，软件能够正常运行（功能/性能)•软件安全课题:了解产生软件安全的风险并怎样去管理他们:“Buildingsecuresoftware:designingsoftwaretobesecure,makesurethatsoftwareissecure,educatingsoftwaredevelopers,architectsandusersabouthowtobuildsecurityin”FortifySoftwareInc.软件安全的重要性•信息安全的期望•信息安全的现状•软件安全漏洞的发展趋势•传统解决信息安全的努力和投资方向•软件安全在信息安全中的重要地位FortifySoftwareInc.信息安全的期望•在原理上:我们花更多钱去降低的安全事件和安全利用,以此来帮助我们:保护我们的业务不会被恶义的家伙破坏”限制责任和义务,满足法规和标准避免对公司品牌和声誉造成破坏info-secspending($)incidents&exploits(#)FortifySoftwareInc.•然而在事实上:我们每年都花了数百万的资金在信息安全上,但是效果并不如意,我们遭遇的安全问题越来越多.info-secspending($17B)impact($40B)breachesgrowdramatically-seriouslyimpacting:uptime,regulatorycompliance,liability,brandandreputation信息安全的现状FortifySoftwareInc.=5.8days(99days,2003)532%increaseinCERTincidentsreported(2000-2003)43%reportanincreaseine-crimesandintrusionsversuspreviousyearOnaverage,48newvulnerabilitiesperweekweredisclosedin1H04ThesefourfactoidsarejustasamplingofresultsfoundbytheFBI,CarnegieMellon’sSEICERTCoordinationCenter(anindustrybodythatfocusesonalertingcorporationsofsecurityvulnerabilities),andSymantecinits5thInternetSecurityThreatReport(Jan-June2004).FortifySoftwareInc.•我们的钱花在哪儿去了?•为什么我们的安全工作毫无效果?Why?FortifySoftwareInc.:NIST“Over70%ofsecurityvulnerabilitiesexistattheapplicationlayer,notthenetworklayer.It’snotjustoperatingsystemsorwebbrowsers,butalltypesofapplications-particularlyapplicationsthatautomatekeybusinessprocesses.”GartnerGroup2004软件安全在信息安全中的重要地位FortifySoftwareInc.结论目前我们信息安全的主要问题是：应用软件安全问题!!!FortifySoftwareInc.软件安全越来越严重的原因•为什么软件安全问题日益增长•黑客攻击方式的进化•传统的分层保护方案减轻系统的风险•为什么传统的基于网络的方案不工作•黑客可直接利用软件的弱点达到攻击系统•演示如何通过攻击软件达到窃取商业信息和破坏应用系统。•软件必须保护它们自己•传统学校关于安全技术的教育•软件补丁和软件安全攻击的关系•软件安全的根源问题。FortifySoftwareInc.为什么软件安全问题增长•Connectivity（互联性）•Extensibility（延展性）•Complexity（复杂性）FortifySoftwareInc.为什么软件安全问题变得如此困难?•Connectivity–TheInternetiseverywhereandmostsoftwareisonit•Complexity–Networked,distributed,mobilecodeishard•Extensibility–SystemsevolveinunexpectedwaysandarechangedontheflyThissimpleinterface……isthiscomplexprogram.NETThenetworkisthecomputer.FortifySoftwareInc.“Stealth”/AdvancedScanningTechniquesCross-SiteScriptingFortifySoftwareInc.传统的“加层”保护方案HackersWorms&VirusesMaliciousInsidersTraditionalnetwork/perimeterdefensesCriticalSoftwareAutomationOfKeyOperationalProcessesFortifySoftwareInc.软件的应用因为业务和功能的需要必须打破传统的保护层,直接与外面的系统交互WebFacingApplicationsLegacyAppIntegrationConnectivityw/Partners&SuppliersOutsourcingEmployeeSelf-ServiceFortifySoftwareInc.为什么传统的基于网络方案不工作•Key–Network–Web•RestrictAccess–Firewall–Everyonehasaccess•Authenticateusers–Windows/Unixauth–HTTPhasWEAKauthentication•Monitorforattacks–IDS/IPS–CriticaltrafficisinSSLTunnel•Trackusers(state)–UserofTCP/IPconnections–HTTPisstateless•Blockknownattacks–IPS(Self-defendingnetworks)–WebattacksareextremelyhardtodistinguishfromnormalactivityFortifySoftwareInc.(S)IMAPFTPSSHTELNETPOP3FirewallonlyallowsPORT80(or443SSL)trafficfromtheInternettothewebserver.Any–WebServer:80Firewallonlyallowsapplicationsonthewebservertotalktoapplicationserver.Firewallonlyallowsapplicationservertotalktodatabaseserver.IISSunOneApacheASP.NETWebSphereJavaSQLOracleDB2FortifySoftwareInc.