Rational应用安全生命周期管理解决方案

®IBMSoftwareGroup©2007IBMCorporationIBMRational应用安全生命周期管理解决方案IBM软件部吴文龙IBMSoftwareGroup|RationalsoftwareAgendaƒ应用安全现状概览ƒ应用安全防御技术简介ƒIBMRational应用安全解决方案ƒ产品技术介绍ƒ案例分析ƒDemoIBMSoftwareGroup|Rationalsoftware发生在我们身边的故事IBMSoftwareGroup|RationalsoftwareSource:SymantecCorporation–InternetSecurityThreatReportVolumeXIV,April2009应用安全形势日益严峻…IBMSoftwareGroup|RationalsoftwareSource:SymantecCorporation–InternetSecurityThreatReportVolumeXIV,April2009NoMoney,Nohacking!IBMSoftwareGroup|Rationalsoftware黑客技术在转移，防御手段却滞后……Source:SymantecCorporation–InternetSecurityThreatReportVolumeXIV,April2009IBMSoftwareGroup|Rationalsoftware大量应用安全攻击涌现…Source:IBMInternetSecuritySystemsX-Force®20091HTrend&RiskReportIBMSoftwareGroup|RationalsoftwareCrossSiteScripting（跨站点脚本执行）8IBMSoftwareGroup|RationalsoftwareExploitingXSS(cont.)（跨站点脚本执行）EmbeddedJavaScriptfrome-mailmessage9IBMSoftwareGroup|Rationalsoftware跨站点脚本执行–利用过程Evil.orgUserbank.com1)通过E-mail或HTTP将bank.com的链接发给用户2)用户将嵌入的脚本当做数据发送3)浏览器执行脚本后，返回数据4)在用户毫不知情的情况下，脚本将用户的cookie和session信息发送出去5)Evil.org使用偷来的session信息伪装成该用户IBMSoftwareGroup|RationalsoftwareSQLInjection11IBMSoftwareGroup|RationalsoftwareSQLInjectionExampleII12IBMSoftwareGroup|RationalsoftwareSQLInjectionExample-Exploit13IBMSoftwareGroup|RationalsoftwareSQLInjectionExample-OutcomeDemo14IBMSoftwareGroup|Rationalsoftware现状：以网络安全思路应对应用安全漏洞桌面防火墙IDS/IPSWeb应用手工打补丁、代码审核SQLInjectionCrossSiteScriptingPattern-basedAttackWebServerKnownVulnerabilitiesParameterTamperingCookiePoisoningPortScanningDoSAnti-spoofingEncoded-basedAttackIBMSoftwareGroup|RationalsoftwareNetworkServerWebApplications现状：不平衡的投入%ofAttacks%ofDollars75%10%25%90%安全投入的信息安全攻击是针对Web应用层75%75%的Web应用存在安全漏洞2/32/3IBMSoftwareGroup|Rationalsoftware•IT安全通常关注仅网络和服务器–FirewallsandIPS不能阻止应用层攻击–80,8080,443端口开放–网络扫描器不能完全发现应用漏洞•Nessus,ISS,Qualys,Nmap,etc.•IT安全专家通常源于network/infrastructure方面,对软件开发经验较少•开发人员缺乏安全培训和要求–64%的开发人员不具备编写安全代码的能力(来自MicrosoftDeveloperResearch)–开发人员不关心安全•缺乏明确的安全策略、流程以及工具大量安全事故的根源IBMSoftwareGroup|RationalsoftwareAgendaƒ应用安全现状概览ƒ应用安全防御技术简介ƒIBMRational应用安全解决方案ƒ产品技术介绍ƒ案例分析ƒDemoIBMSoftwareGroup|Rationalsoftware应用安全测试技术：单一技术向复合技术转变静态分析=白盒ƒ扫描源代码发现漏洞动态分析=黑盒ƒ模拟真实的动态攻击以发现漏洞总共潜在的漏洞总共潜在的漏洞动态分析动态分析发现的漏洞发现的漏洞静态分析静态分析发现的漏洞发现的漏洞IBMSoftwareGroup|Rationalsoftware20黑盒分析技术原理--SQL注入‘******SELECT*fromtUserswhereuserid=‘’’ANDpassword=‘foobar’IBMSoftwareGroup|Rationalsoftware21黑盒分析技术工作原理ƒ第一步:爬网://mySite/://mySite/feedback.jsp|Rationalsoftware22黑盒分析技术工作原理ƒ第一步：爬网ƒ第二步：针对找到的页面，生成进行模拟攻击IBMSoftwareGroup|Rationalsoftware23//...Stringusername=request.getParameter(username);Stringpassword=request.getParameter(password);//...Stringquery=SELECT*fromtUserswhere+userid='+username+'+ANDpassword='+password+';//...ResultSetrs=stmt.executeQuery(query);白盒分析技术原理--SQL注入UsercanchangeexecutedSQLcommandsSink-apotentiallydangerousmethodSource–amethodreturningtaintedstringIBMSoftwareGroup|Rationalsoftware24//...Stringpassword=request.getParameter(password);//...userid='+username+'+ANDpassword='+password+';//...Stringusername=request.getParameter(username);Stringquery=SELECT…+usernameResultSetrs=stmt.executeQuery(query);Stringusername=request.getParameter(username);Stringquery=SELECT*fromtUserswhere+'ResultSetrs=stmt.executeQuery(query);黑盒分析技术工作原理IBMSoftwareGroup|Rationalsoftware25漏洞分析技术对比：黑盒/动态vs.白盒/静态ƒ动态分析技术ƒ优势：测试真实的应用，确保了漏洞发现的准确性无需源码不需要了解源码和环境容易跨网络进行测试ƒ劣势：无法确定代码覆盖率遗漏设计漏洞需要应用部署好才能测试ƒ静态分析技术ƒ优势全面的漏洞扫描能够发现设计的漏洞能够高效地发现程序设计和实现的漏洞发现应用的“后门”ƒ劣势劣质的代码会引入误报代码不易获取部分漏洞只能在部署后发现软件不容易远程测试IBMSoftwareGroup|Rationalsoftware26CompositeAnalysis●准确性●无需源代码●代码覆盖率高●要求满足HTTP协议●支持多组件●需要可以部署的应用●代码/路径覆盖率高●受限于给定代码●不仅仅支持HTTP●支持部分应用的分析●按照不同程序语言/框架提供支持●无需部署应用黑盒分析技术白黑分析技术●较少前提条件●误报率增加●类似黑客的真实攻击●集成/部署的漏洞无法发现IBMSoftwareGroup|Rationalsoftware27//...Stringusername=request.getParameter(username);Stringpassword=request.getParameter(password);//...Stringquery=SELECT*fromtUserswhere+userid='+username+'+ANDpassword='+password+';//...ResultSetrs=stmt.executeQuery(query);//...Stringusername=request.getParameter(username);Stringpassword=request.getParameter(password);//...Stringquery=SELECT*fromtUserswhere+userid='+Encode(username)+'+ANDpassword='+Encode(password)+';//...ResultSetrs=stmt.executeQuery(query);应用安全漏洞的修复方式--SQLInjectionSanitizer:修改程序，避免漏洞IBMSoftwareGroup|RationalsoftwareAgendaƒ应用安全现状概览ƒ应用安全防御技术简介ƒIBMRational应用安全解决方案ƒ产品技术介绍ƒ案例分析ƒDemoIBMSoftwareGroup|Rationalsoftware全新的IBM安全战略TheIBMSecurityFrameworkCommonPolicy,EventHandlingandReportingTheIBMSecurityFrameworkCommonPolicy,EventHandlingandReportingSecurityGovernance,RiskManagementandComplianceSecurityGovernance,RiskManagementandComplianceNetwork,Server,andEnd-pointPhysicalInfrastructurePeopleandIdentityDataandInformationApplicationandProcess设计目标……9不断创新，基础架构安全和系统安全9降低安全控制的数量和复杂性9减少重复的安全投入9提升组织和业务操作的灵活性和弹性9提供可视化的、自动化的IT控制环境IBMSoftwareGroup|RationalsoftwareRational是IBMSecurityFramework的重要组成30IBMSoftwareGroup|RationalsoftwareRational应用生命周期管理质量卓越中心单元测试单元测试功能测试功能测试集成测试集成测试系统测试系统测试验收测试验收测试代码复杂度和可视化分析代码复杂度和可视化分析代码规则检