Rational应用安全生命周期管理解决方案.pdf

IBM Software Group 2007 IBM Corporation IBM Rational应用安全生命周期管理解决方案 IBM软件部 吴文龙 IBM Software Group Rational software Agenda 应用安全现状概览 应用安全防御技术简介 IBM Rational应用安全解决方案 产品技术介绍 案例分析 Demo IBM Software Group Rational software 发生在我们身边的故事 IBM Software Group Rational software Source Symantec Corporation Internet Security Threat Report Volume XIV April 2009 应用安全形势日益严峻 IBM Software Group Rational software Source Symantec Corporation Internet Security Threat Report Volume XIV April 2009 No Money No hacking IBM Software Group Rational software 黑客技术在转移 防御手段却滞后 Source Symantec Corporation Internet Security Threat Report Volume XIV April 2009 IBM Software Group Rational software 大量应用安全攻击涌现 Source IBM Internet Security Systems X Force 2009 1H Trend String password request getParameter password String query SELECT from tUsers where userid username AND password password ResultSet rs stmt executeQuery query 白盒分析技术原理 SQL注入 User can change executed SQL commands Sink a potentially dangerous method Source a method returning tainted string IBM Software Group Rational software 24 String password request getParameter password userid username AND password password String username request getParameter username String query SELECT username ResultSet rs stmt executeQuery query String username request getParameter username String query SELECT from tUsers where ResultSet rs stmt executeQuery query 黑盒分析技术工作原理 IBM Software Group Rational software 25 漏洞分析技术对比 黑盒 动态 vs 白盒 静态 动态分析技术动态分析技术 优势 测试真实的应用 确保了漏洞发现的准确性 无需源码 不需要了解源码和环境 容易跨网络进行测试 劣势 无法确定代码覆盖率 遗漏设计漏洞 需要应用部署好才能测试 静态分析技术静态分析技术 优势 全面的漏洞扫描 能够发现设计的漏洞 能够高效地发现程序设计和实现的漏洞发现 应用的 后门 劣势 劣质的代码会引入误报 代码不易获取 部分漏洞只能在部署后发现 软件不容易远程测试 IBM Software Group Rational software 26 Composite Analysis 准确性 无需源代码 代码覆盖率高 要求满足HTTP协议 支持多组件 需要可以部署的应用 代码 路径覆盖率高 受限于给定代码 不仅仅支持HTTP 支持部分应用的分析 按照不同程序语言 框架提供支持 无需部署应用 黑盒分析技术白黑分析技术 较少前提条件 误报率增加 类似黑客的真实攻击 集成 部署的漏洞无法发现 IBM Software Group Rational software 27 String username request getParameter username String password request getParameter password String query SELECT from tUsers where userid username AND password password ResultSet rs stmt executeQuery query String username request getParameter username String password request getParameter password String query SELECT from tUsers where userid Encode username AND password Encode password ResultSet rs stmt executeQuery query 应用安全漏洞的修复方式 SQL Injection Sanitizer 修改程序 避免漏洞修改程序 避免漏洞 IBM Software Group Rational software Agenda 应用安全现状概览 应用安全防御技术简介 IBM Rational应用安全解决方案 产品技术介绍 案例分析 Demo IBM Software Group Rational software 全新的IBM安全战略 The IBM Security Framework Common Policy Event Handling and Reporting The IBM Security Framework Common Policy Event Handling and Reporting Security Governance Risk Management and Compliance Security Governance Risk Management and Compliance Network Server and End point Physical Infrastructure People and Identity Data and Information Application and Process 设计目标 不断创新 基础架构安全和系统安全 降低安全控制的数量和复杂性 减少重复的安全投入 提升组织和业务操作的灵活性和弹性 提供可视化的 自动化的IT控制环境 IBM Software Group Rational software Rational是IBM Security Framework的重要组成 30 IBM Software Group Rational software Rational应用生命周期管理质量卓越中心 单元测试 单元测试 功能测试 功能测试 集成测试 集成测试 系统测试 系统测试 验收测试 验收测试 代码复 杂度和 可视化 分析 代码复 杂度和 可视化 分析 代码规 则检查 代码规 则检查 代码安 全测试 代码安 全测试 非图形 用户界 面自动 化测试 非图形 用户界 面自动 化测试 图形用 户界面 自动化 测试 图形用 户界面 自动化 测试 运行时 分析 运行时 分析 性能测 试 性能测 试 Web安 全测试 Web安 全测试 SOA测 试 SOA测 试 完善的方 法 完善的方 法 切实可行 的经验 切实可行 的经验 可裁减的 流程 可裁减的 流程 可集成的 工具 可集成的 工具 资深的咨 询顾问 资深的咨 询顾问 应用生命周期 IBM让质量卓越中心切实可行 测试流程 测试技术 版 本 管 理 版 本 管 理 流 程 管 理 流 程 管 理 质 量 流 程 人 员 度 量 质 量 流 程 人 员 度 量 应用生命周期管理质量卓越中心加快业务创新规避变更风险 IBM Software Group Rational software 应用安全不仅仅是产品 Risk Compliance management Performance measurement Security training Awareness Processes Enterprise directives Application security management Policies Standards Procedures Coding guidelines Technology Blueprints Risk Management Problem Management Incident Management Factor Analysis Threat Modeling Outsourcing Process Security Awareness SSDL for Developers and project managers Role Based Security Process Operational Risk management Internal Policies Standards Procedures External Regulations and Legislations Collection of application security metrics Reporting of Security and privacy metrics Managing application security IBM Software Group Rational software 应用安全体系模型 Principle 安全方针安全方针 描述应用安全的业务需求价值 Policy 安全策略安全策略 描述应用安全的目地 方向 愿景及责任 Standard 安全标准安全标准 应用安全实施规则 包括技术 方法及其它细节 Process 安全流程安全流程 于跨部门实施政策标准的活动 工作及程序 Procedures 安全作业指南安全作业指南 描述个人在流程上的详细工作 Architecture 安全架构安全架构 应用安全技术如何结合的细节 Products 安全产品安全产品 应用安全解决方案所选的产品及工具 Product 流程 作业 指南 架构 策略 标准 流程 作业 指南 架构 策略 标准 方针 产品 方针 产品 IBM Software Group Rational software 应用安全与软件开发生命周期的无缝集成 Components of the application life cycle Security requirements review Architecture and design review Review and augment threat models Develop security test cases use and abuse Application penetration testing Black box testing Source code reviews White Box testing Policies and standards review Gather security requirements Develop measurement and metrics criteria Develop security use and abuse cases Create threat model Monitor and control Ensure change verification Secure disposal of the applications Code walkthrough Source code reviews White Box testing Review and augment threat models Document security properties Secure configuration Application penetration testing Black Box testing Risk assessment and documentation Maintenance Deployment TestingDevelopment Architecture design Requirements gathering IBM Software Group Rational software IBM Rational 让应用安全逐步 落地落地 MaintainDeployTestDevelopDesignRequirement 10 Security Administration Maintenance 11 Security Monitoring Incident Response Management 7 Secure Rollout Plan 8 Secure Deployment Document 9 Post Deployment Security Testing 5 Security Test Cases and Security Testing 6 Automated Manual Code Review 3 Security Coding Guidelines 4 Secure Configuration Guideline 2 Security Architecture and Design 1 Security Requirement 12 Threat Modeling Threat modeling is a deliverable that will be developed iteratively and evolve over the project lifecycle IBM Products In Support Of Application Security Rational Clear Case AppScan AppScan Enterprise Policy Tetser Tivoli Rational BuidForge Rational Quality Manager AppScan Tester Ed Rational CC Rational CQ Rational BuildForge Rational RSAR AppScan Dev Ed Rational Software Architecture Rational Requirement IBM Software Group Rational software Agenda 应用安全现状概览 应用安全防御技术简介 IBM Rational应用安全解决方案 产品技术介绍 案例分析 Demo IBM Software Group Rational software IBM Rational 通过业界领先的方案 降低企业应用安全和合规风险 应用安全 质量以及合规应用安全 质量以及合规应用安全 质量以及合规应用安全 质量以及合规 应用安全 质量以及合规应用安全 质量以及合规 PrivacyQualityAccessibilitySecurity IBM Software Group Rational software Rational应用安全测试技术解读 静态代码分析静态代码分析 白盒测试白盒测试 发现代码级安全问题 代码级 安全扫描 动态测试动态测试 黑盒测试黑盒测试 向可运行的应用发送测试 模 拟黑客攻击 所有潜在的安全问题所有潜在的安全问题所有潜在的安全问题所有潜在的安全问题 动态监测动态监测动态监测动态监测静态检测静态检测静态检测静态检测全面覆盖全面覆盖 全面覆盖全面覆盖 IBM Software Group Rational software Rational应用安全解决方案的优势 包括静态 动态和运行时分析 Side by side gain the strengths of all techniques 运用组合的分析方法 集成各种检测方法的优势 CA overcomes the weaknesses of each technique such as Theoretical Static Analysis confirmed by Dynamic Analysis Dynamic Analysis Coverage measured with Runtime Analysis 非常的强调检测结果的精确性和可操作性 Innovative Static String Analysis dramatically improves accuracy Runtime Analysis maps Dynamic Analysis issues to code Correlated Dynamic Static results practically guaranteed IBM Software Group Rational software 实现集成的端到端的应用安全 需求需求需求需求编码编码编码编码构建构建构建构建安全安全安全安全 生产生产生产生产质量质量质量质量 AppScan Standard AppScan SourceAppScan Tester 安全需求定义 AppScan onDemand SaaS AppScan Enterprise Reporting Console 企业级安全检测和报告 在测试平台进行统一的在测试平台进行统一的 安全 遵从测试安全 遵从测试 在设计和之前进行在设计和之前进行 安全需求定义安全需求定义 安全审计和生产环安全审计和生产环 境监控的外包测试境监控的外包测试 安全 遵从测试 安全 遵从测试 勘查 控制 循规勘查 控制 循规 审计 审计 将安全测试集成到将安全测试集成到 开发环境开发环境 应用安全最佳实践应用安全最佳实践 在构建过程进行自在构建过程进行自 动化的安全 遵从动化的安全 遵从 测试测试 Website Compliance Policy Tester Privacy Policy Tester Accessibility Policy Tester Quality Policy Tester onDemand IBM Software Group Rational software Rational AppScan Enterprise portal Security Build Development Rational AppScan Source Ed Developer Source Ed Remediation Enterprise QuickScan Rational AppScan Standard Ed Source Ed for Security Rational AppScan Tester Ed Rational AppScan Source for Automation Standard Ed 基于IBM Rational的企业级应用安全测试平台 QA Compliance IBM Software Group Rational software AppScan Source Edition 静态白盒安全测试 IBM Software Group Rational software 43 Ounce Labs Confidential 2008 AppScan Source Edition 分析引擎 支持的源代码包括 Java JSP C C C VB NET ASP NET Classic ASP 安全知识库安全知识库 全面的规则 基于众多行业标准 CERT NIST OWASP CVE CWE 定时更新 分析引擎分析引擎 应用分解技术 优化的编译技术 候选漏洞鉴定 数据流分析 控制流分析 内 外部的程序分析 漏洞确认 基于上下文的分析技术 IBM Software Group Rational software AppScan Standard Edition Web漏洞扫描的利器 IBM Software Group Rational software AppScan黑盒测试如何工作 贯穿整个Web应用 通过在HTTP请求中插入测试用例的办法进行模拟攻击 具有业界最全面 最准确 更新速度最快得规则库 上千种测试用例可以模拟攻击数百种应用漏洞 HTTP Request HTTP Response Web Application Web Servers Application Databases IBM Software Group Rational software AppScan Tester Edition 与多种测试管理无缝集成 IBM Software Group Rational software AppScan Enterprise Web应用安全管理门户 IBM Software Group Rational software 分布式部署 集中管理 IBM Software Group Rational software 基于权限的 可定制用户界面 IBM Software Group Rational software 多种 可定制的漏洞统计报告 IBM Software Group Rational software 内置的漏洞全生命周期管理 51 IBM Software Group Rational software 漏洞攻击回放 定位漏洞形成原因 IBM Software Group Rational software 详细 有针对性的修复建议 53 IBM Software Group Rational software 内置专业的WEB安全在线培训 54 IBM Software Group Rational software Agenda 应用安全现状概览 应用安全防御技术简介 IBM Rational应用安全解决方案 产品技术介绍 案例分析 Demo IBM Software Group Rational software 56 为什么选择IBM Rational作为安全和合规解决方案 提供了跨应用生命周期的安全测试的广泛工具和技术提供了跨应用生命周期的安全测试的广泛工具和技术 唯一具备针对应用安全测试的静态和动态分等多种复合分析技术的 解决方案 唯一具备针对应用安全测试的静态和动态分等多种复合分析技术的 解决方案 与与Rational应用生命周期管理解决方方案的无缝集成 实现安全与 开发流程的无缝融合 应用生命周期管理解决方方案的无缝集成 实现安全与 开发流程的无缝融合 最小化的融入成本 强大的扩展性 与开发团队的无缝协同 与开发工具的无缝集成 IBM在安全领域每年在安全领域每年 1 5B 的研发投入的研发投入 IBM Software Group Rational software 57 国内成功案例 IBM Software Group Rational software 58 国外成功案例 1 1010大银行中的大银行中的大