Методы разработки безопасного ПО Андрей Бешков Менеджер программы информационной безопасности Microsoft Россия abeshkov@microsoft.com http://beshkov.ru http://twitter.com/abeshkov Содержание Зачем вам разработка безопасного ПО? Текущая ситуация с безопасностью ПО Практика применения SDL Программы безопасности Microsoft Почему ПО не безопасного? • Сроки запуска проекта горят • Нет ресурсов на обеспечение безопасных практик • Мы стартап – нам нужно быстрее стать популярными и заработать много денег Зачем вам разработка безопасного ПО? Новейшие исследования показывают однозначную связь между разработкой безопасного ПО и бизнес эффективностью компании: Исследование Aberdeen: Предотвращение одной уязвимости почти полностью покрывает годовые затраты на повышение безопасности разработки Предотвратить проблему с безопасностью в 4 раза дешевле чем разбираться с ее последствиями Исследование Forrester: Разработка безопасного ПО еще не стала широко распространенной практикой Компании применяющие методы SDL демонстрируют гораздо более быстрый возврат инвестиций Чем SDL помог Microsoft Результаты Microsoft SDL и Windows Количество уязвимостей, обнаруженных в течение года после выпуска 400 242 157 119 66 Windows XP Windows Vista До введения SDL ОС I ОС II ОС III После введения SDL Количество уязвимостей сократилось на 45 % Источник: доклад «Windows Vista One Year Vulnerability Report», блог Microsoft Security, 23 января 2008 г. SDL и SQL Server (исследование компании NGS Software) Количество обнаруженных и исправленных уязвимостей по кварталам, 2000-2006 гг. 20 17 Пакет обновления 3 (SP3) для SQL Server 2000 – первый выпуск, разработанный с применением процесса SDL 3 8 1 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 2000 2001 2002 2003 2004 2005 2006 Источник: Which database is more secure? Oracle vs. Microsoft (Чья СУБД безопаснее? Oracle или Microsoft?), David Litchfield, NGS Software, 21 ноября-2006 г. SDL и Internet Explorer (IE) Количество уязвимостей, обнаруженных и исправленных в течение года после выпуска Medium High 8 3 18 Internet Explorer 6 До введения SDL 14 Internet Explorer 7 После введения SDL Количество уязвимостей сократилось на 35 % Количество критических уязвимостей сократилось на 63 % Источник: Browser Vulnerability Analysis, Microsoft Security Blog, 27 ноября 2007 г. Уязвимости в ПО 4,000 3,000 3450 3474 2919 2962 3188 2707 2546 2360 2,000 1,000 0 2H06 1H07 2H07 1H08 2H08 1H09 2H09 1H10 2,000 1,800 1,600 1,400 1,200 1,000 800 600 400 200 0 1882 1562 1677 1587 1447 1693 1266 1494 1402 1208 195 2H06 1289 1191 1144 1090 98 124 83 109 98 89 126 1H07 2H07 1H08 2H08 1H09 2H09 1H10 Критическая (7 - 10) Средняя (4 - 6.9) Низкая (0 - 3.9) Доля уязвимостей Microsoft 3,500 3,280 3,322 2,822 3,000 2,869 3,042 2,594 2,500 2,417 2,215 2,000 1,500 1,000 500 170 152 97 93 146 113 129 145 2H06 1H07 2H07 1H08 2H08 1H09 2H09 1H10 0 Microsoft Не Microsoft 3,500 3079 3110 3,000 2547 2573 2807 2351 2,500 2161 2,000 1943 1,500 1,000 500 259 112 0 2H06 ОС 242 276 96 122 1H07 2H07 310 79 256 207 237 196 1H08 2H08 1H09 2H09 1H10 Браузеры Приложения Уязвимости основных производителей ПО http://secunia.com/gfx/pdf/Secunia_Half_Year_Report_2010.pdf Что говорят эксперты? «Теперь мы действительно считаем корпорацию Майкрософт лидером, поскольку после введения процесса Security Development Lifecycle [SDL] ее программное обеспечение заметно улучшилось.» Джон Пескаторе (John Pescatore) вице-президент и выдающийся аналитик Gartner, Inc (www.crn.com, 13 февраля 2006 г.) «Зачем хакерам возиться с трудной для взлома системой Vista, если хватает компьютеров, на которых установлены Acrobat Reader, слабое антивирусное ПО и последняя версия iTunes?» Халвар Флэйк (Halvar Flake) Специалистов по безопасности Конференция Microsoft BlueHat Сентябрь 2007 г. Данные о масштабах угрозы? Данные о количестве заражений вирусами были собраны с 600 миллионов компьютеров в 117 странах. С помощью средствами безопасности Microsoft таких как: • • • • • • Malicious Software Removal Tool Microsoft Security Essentials Windows Defender Microsoft Forefront Client Security Windows Live OneCare Windows Live OneCare safety scanner http://www.microsoft.com/security/sir/ Влияние SDL на уязвимость ОС от Microsoft Найдено зловредного ПО на каждую 1000 запусков антивирусных средств Windows 7 почти в 5 раз безопаснее Windows XP! Уязвимости Microsoft Office и OpenOffice http://www.h-online.com/security/news/item/Vulnerabilities-in-Microsoft-Office-and-OpenOfficecompared-1230956.html История развития SDL Процесс безопасной разработки прошел многолетнее тестирование и шлифовку в рамках Microsoft и других компаний. Введение: процесс Microsoft SDL Цели Концепция Выпуск Защита пользователей: сокращение количества уязвимостей; сокращение опасности уязвимостей. Основные принципы Практический подход Упреждение угроз - это не просто поиск ошибок Решение проблем безопасности на ранних стадиях Безопасность при разработке Безопасность после выпуска ПО SDL по этапам Решение руководства: SDL – обязательная политика в Майкрософт с 2004 г. Обуче ние Начальное обучение по основам безопасности Обучение Требо вания Определение владельца от бизнеса Анализ рисков безопасности и конфиденциальности Определение требований к качеству Проект ирован ие Моделирован ие угроз Анализ опасных областей Реали зация Выбор инструментов Блокировани е запрещенных функций Статический анализ Провер ка Динамическое тестирование и fuzzing Проверка моделей угроз и опасных областей Технология и процесс Постоянные улучшения процессов Выпуск План реагирования Заключительный анализ безопасности Архив выпусков Реа гирова ние Выполнение плана реагирования на инциденты Ответственность Фаза: Обучение Training Обучение Requirements Требования Проектирова Design ние Реали зация Implementation Verification Проверка Release Выпуск Реагирова Response ние Обследовать подготовленность организации по темам безопасности и защиты приватных данных. При необходимости создать стандартные курсы обучения. Разработать критерии качества программы обучения Содержимое должно покрывать темы, безопасного дизайна, разработки, тестирования и защиты приватных данных Определить частоту тренингов Разработчик должен пройти не менее n тренингов в год Определить минимальный приемлемый порог тренингов в группе разработки 80% процентов технического персонала должны пройти минимальные обязательные тренинги до выпуска RTM версии продукта Фаза: Обучение Как написать безопасный код на С++, Java, Perl, PHP, ASP. NET Защищенный код для Windows Vista Игра «Spot the vuln» 10 уязвимостей веб проектов - OWASP Top Ten Курсы SANS Бесплатная книга по SDL Фаза: Требования Training Обучение Requirements Требования Проектирова Design ние Реали зация Implementation Verification Проверка Release Выпуск Реагирова Response ние Возможность заложить безопасный фундамент для проекта Команда разработки определяет лидеров и консультантов по темам безопасности Назначается ответственный за безопасность Ответственный проверяет план разработки продукта, рекомендует изменения или устанавливает дополнительные требования к безопасности продукта Определить приоритет, процедуру отслеживания и исправления ошибок (bug tracking/job assignment system) Определить и задокументировать порог отбраковки продукта по ошибкам связанным с безопасностью и защитой данных Шаблоны SDL для VSTS (Spiral) Включает SDL требования как задачи SDL-based check-in policies Создание отчета Final Security Review Интеграция с инструментами сторонних производителей Библиотека пошаговых указаний SDL how-to Интегрируется с бесплатными SDL инструментами Шаблоны SDL процессов интегрируют SDL 4.1 со средой разработки VSTS SDL Threat Modeling Tool Binscope Binary Analyzer Minifuzz File Fuzzer MSF Agile + SDL шаблоны для VSTS Автоматически создает процессы соблюдения SDL в момент создания нового спринта или выполнения check in. Контролирует выполнение всех необходимых процессов безопасности Включает практики SDL-Agile в Visual Studio IDE Интегрируется с бесплатными SDL инструментами SDL Threat Modeling Tool Binscope Binary Analyzer Minifuzz File Fuzzer Фаза: Проектирование Training Обучение Requirements Требования Проектирова Design ние Реали зация Implementation Verification Проверка Release Выпуск Реагирова Response ние Определить и задокументировать архитектуру безопасности и идентифицировать критические компоненты безопасности Задокументировать поверхность атаки продукта. Ограничить ее установками по умолчанию Определить критерии выпуска обновления продукта в связи с изменением в безопасности продукта Результаты автоматизированного тестирования кроссайт скриптинг атак Устаревание криптографических алгоритмов или замена слабых алгоритмов Моделирование угроз Систематический ревью свойств продукта и его архитектуры с точки зрения безопасности Определить угрозы и меры снижения угроз SDL Threat Modeling Tool Формализует и упрощает моделирование угроз так чтобы им мог заниматься архитектор Обучает созданию диаграмм угроз Анализ угроз и мер защиты Интеграция с багтреккером Отчеты по угрозам и уязвимостям Фаза: Реализация Training Обучение Requirements Требования Проектирова Design ние Реали зация Implementation Verification Проверка Release Выпуск Реагирова Response ние Разработка кода и ревью процессов, документации и инструментов необходимых для безопасного развертывания и эксплуатации разрабатываемого продукта Спецификация утвержденных инструментов и их аналогов Статический анализ (/analyze (PREfast), FXCop, CAT.NET) Поиск случаев использования запрещенных API Применение механизмов защиты предоставляемых ОС (NX, ASLR и HeapTermination) Соблюдение специфических требований безопасности для сетевых сервисов (крос сайт скриптинг , SQL иньекции и.т.д) Использование безопасных версий библиотек и фреймворков Прочие рекомендации ( Standard Annotation Language (SAL)) Фаза: Проверка Training Обучение Requirements Требования Проектирова Design ние Реали зация Implementation Verification Проверка Release Выпуск Реагирова Response ние Начните проверки как можно раньше. В идеале сразу же после стадии “code complete”. Начните планирование процесса реагирования на обнаружение уязвимостей в выпущенном продукте Повторно проверьте поверхность атаки. Все ли вы учли? Fuzz тестирование – файлами, вводом данных в интерфейсные элементы и код сетевой подсистемы При необходимости выполнить “security push” (с каждым разом все реже) Не является заменой работе над безопасностью в процессе разработки продукта Ревью кода Тестирование на проникновение Ревью дизайна и архитектуры в свете вновь обнаруженных угроз MiniFuzz File Fuzzer MiniFuzz основной инструмент тестирования для поиска уязвимостей которые могут привести к удачным атакам на код обрабатывающий файлы. Создает поврежденные файлы Выявляет недекларированное поведение приложения Используется отдельно или в составе Visual Studio и Team Foundation Server Attack Surface Analyzer Измеряет потенциальную поверхность атаки на приложение и ОС Может использоваться разработчиками, тестировщиками, ИТ специалистами. Отображает изменения вносимые в чистую копию Windows ОС после установки приложения. Проверяет Новые или измененные файлы Ключи реестра Сервисы ActiveX Открытые сетевые порты Списки доступа ACL И.т.д Фаза: Выпуск и план реагирования Training Обучение Requirements Требования Проектирова Design ние Реали зация Implementation Verification Проверка Release Выпуск Реагирова Response ние Создать политики поддержки продукта Создать план реагирования на инциденты безопасности Software Security Incident Response Plan (SSIRP) Контакты и ресурсы внутри организации для адекватной реакции на обнаружение уязвимостей и защиту от атак 24x7x365 контакт с 3-5 инженерами, 3-5 специалистами маркетинга, и 1-2 менеджеров верхнего уровня Обратите внимание на необходимость выпуска экстренных обновлений вашего продукта из за уязвимостей в коде сторонних производителей включенном в ваш продукт. Так же может быть необходимость обновлять продукт после обновления ОС. Программа SUVP Ранний доступ к обновлениям безопасности продуктов Microsoft. Предназначена для тестирования совместимости ваших продуктов и продуктов Microsoft Бесплатна. Если хотите участвовать подойдите ко мне после доклада или напишите письмо на abeshkov@microsoft.com Отношение к обновлениям Фаза: Выпуск – Final Security Review (FSR) Training Обучение Requirements Требования Проектирова Design ние Реали зация Implementation Verification Проверка Release Выпуск Реагирова Response ние Проверить продукт на соответствие требованиям SDL и отсутствие известных уязвимостей Получаем независимое заключение готовности продукта к выпуску FSR не является: Тестом на проникновение. Запрещено ломать и обновлять продукт. Первой проверкой безопасности продукта Процессом финальной подписи продукта и отправки его в тираж Ключевая концепция: Эта фаза не используется как точка для завершения всех задач пропущенных на предыдущих стадиях Фаза: Выпуск – Архив Training Обучение Requirements Требования Проектирова Design ние Реали зация Implementation Verification Проверка Release Выпуск Реагирова Response ние План реагирования на инциденты безопасности создан Документация для клиентов обновлена Создан централизованный архив исходного кода, символов, моделей атак RTM версии продукта Фаза: Реагирование Training Обучение Requirements Требования Проектирова Design ние Реали зация Implementation Verification Проверка Release Выпуск Реагирова Response ние Инцидент случился? Идем по заранее созданному плану. Выполняем активности по плану реагирования на инциденты безопасности и выпускаем обновления в соответствии с графиком релизов Основные заблуждения об SDL SDL предназначен только для Windows® ОС SDL независим от платформы и языка разработки SDL применим только к коробочным продуктам SDL подходит для разных сценариев разработки включая бизнес приложения (LOB) и онлайн сервисы SDL предназначен для модели водопад или спираль SDL применим к разным методам разработки таким как водопад, спираль и agile Для SDL нужны инструменты разработки Microsoft Успешная реализация SDL предполагает автоматизацию с помощью инструментов. Вы можете использовать инструменты от других компаний. Чтобы реализовать SDL нужно много ресурсов. SDL подходит организациям любого размера. От разработчика одиночки до огромных корпораций. Заключение Атаки переходят на уровень приложений SDL = встраивание безопасности в ПО и культуру Существенные результаты для продуктов Microsoft Microsoft сделал процесс SDL доступным всем и считает важным помогать его распространению Ресурсы www.microsoft.com/sdl www.Secunia.org The Simplified Implementation of the SDL Блог об SDL Обратная связь Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала Спасибо! Вопросы? Код сессии CL 604 Андрей Бешков Менеджер программы информационной безопасности abeshkov@microsoft.com http://beshkov.ru http://twitter.com/abeshkov Вы сможете задать мне вопросы в зоне «Спроси эксперта» в течение часа после завершения этого доклада.