Normy ISO/IEC Aplikační bezpečnost

Transkript

1 Normy ISO/IEC Aplikační bezpečnost V Brně dne 21. listopadu 2013

2 Soubor norem řady ISO/IEC ISO/IEC Information technology Security techniques Application security Bezpečnostní doporučení pro tvorbu, implementaci a užívání aplikač. SW Soubor norem - Část 1: Přehled a koncepce (2011) Část 2: Normativní rámce organizace Část 3: Proces řízení bezpečnosti aplikací 1 Owerview and concept 2 Organization Normative Framework 3 Applications Security Management Process 4 Applications security validation 5 Protocols and application security control data structure 6 Security guidenance for specific applications Část 4: Validace bezpečnosti aplikací Část 5: Datová struktura protokolů a opatření bezpečnosti aplikací Část 6: Bezpečnostní pokyny pro specifikování datové struktury aplikačních opatření Normy ISO/IEC

3 Metodika aplikační bezpečnosti ISO/IEC :2011 prozatím vydána první část Přehled a koncepce Metodika aplikační bezpečnosti je postavena na: - poznávání hrozeb - zabezpečení sítě, uživatele a aplikace - zapracování bezpečnosti do vývojového procesu SW Je zaměřena na principy, modely a praxi. Je nezávislá na technologii a platformě. Normy ISO/IEC

4 Působnost ISO/IEC Návaznosti v ISO/IEC 27034: Obchodní a regulační návaznosti Technologická návaznost Normy ISO/IEC

5 Pochopení ISO/IEC ISO/IEC není: Vývojový standard pro SW aplikace Aplikace standardu projektového řízení Standard pro vývojový životní cyklus SW (Software Development Life Cycle -SDLC) Normy ISO/IEC

6 Pochopení ISO/IEC pokračování ISO/IEC neřeší: Směrnice pro fyzickou a síťovou bezpečnost Směrnice pro kontrolu a měření (metriky) Směrnice pro strategii bezpečnostního kódování v libovolném programovacím jazyku Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 6

7 Aplikovatelnost ISO/IEC Nrma je aplikovatelná na: 1. vyvinuté aplikace (in-house) 2. získané od třetích stran 3. kde je vývoj či provoz poskytován formou outsourcingu Zamýšlené použití na: 1. manažery (řízení nákladů na zavedení a udržování aplikační bezpečnosti) 2. vývojáře (správné aplikování bezpečnosti v každé fázi životního cyklu aplikací) 3. auditory (kontrola aplikace z pohledu úrovně dosažené bezpečnosti) 4. koncové uživatele (používání bezpečných aplikací) Normy ISO/IEC

8 Klíčové principy normy ISO/IEC Definované klíčové principy v normě: - bezpečnost č tje požadavek - zabezpečení aplikací je závislé na kontextu z pohledu obchodního, regulačního a technologického - vhodnost investice pro zabezpečení aplikací (přiměřená bezpečnost za akceptovatelné náklady) - prokazatelnost aplikační bezpečnosti (audit) Definice Cílené úrovně důvěry aplikace (Target application level of trust ) - pro organizaci používající aplikace je doporučena klasifikace informací - definování normativního rámce v organizaci i (ONF Organization Normative Framework) Analýza rizik aplikace Proces řízení rizik Cílená úroveň důvěry aplikace Normy ISO/IEC

9 Chystané části normy ISO/IEC : - popis implementace řídícího procesu aplikační bezpečnosti (ASMP) ISO/IEC : - popis relevantních procesů v projektování vývoje aplikace ISO/IEC : - popis certifikačních a validačních procesů ISO/IEC : - definuje kontrolu aplikační bezpečnosti (ASC) struktury dat ISO/IEC : - identifikuje ASC ve specifických aplikacích (web, klient-server) Ponámka: ASMP - Applications Security Management Process ASC Application Security Control Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 9

10 Bezpečnost aplikační vrstvy Pojem aplikační bezpečnosti lze chápat několikerým způsobem, my se však budeme držet základního informatického schématu referenčního modelu ISO/OSI, kde budeme považovat za oblast vhodnou pro aplikační bezpečnost zejména jeho vyšší vrstvy (konkrétně pátou až sedmou) relační, prezentační a zejména aplikační. Bezpečnost aplikační vrstvy se dnes zpravidla řeší značně intuitivně, nebo v horším případě vůbec. - v projektové fázi (nejefektivnější prosazování bezpečnosti) - v rutinním provozu (provádění bezpečnostních testů aplikace spočívá v identifikaci a analýze existujících zranitelností) Poznámka: V působnosti aplikační bezpečnosti se lze setkat s požadavky na certifikát bezpečnosti pro danou aplikaci v konkrétním sektoru či oboru činnosti, který vystavuje certifikační autorita pro danou problematiku. Normy ISO/IEC

11 AFW Aplikační firewall chrání webové aplikace před útoky na aplikační úrovni, před krádeží a úniky podnikových nebo zákaznických dat na principu povolování a blokování klientských požadavků. Aplikační firewall chrání webové aplikace před útoky na aplikační úrovni, před krádeží a úniky podnikových nebo zákaznických dat na principu povolování a blokování klientských požadavků. Aplikační firewall funguje na bázi hloubkové kontroly paketů (deep packet inspection, DPI), která otevírá pakety s daty, které procházejí internetovým spojením. Prohledáním paketu dokáže firewall zjistit, o jaký typ dat se jedná (video, VoIP nebo data určená pro konkrétní aplikaci na podnikové síti). Následná analýza paketů rozhodne, zda je zjištěná výměna dat legitimní. WAF (webový aplikační firewall) by měl být klíčovou součástí každé sítě s HTTP provozem, poskytující nepřetržitou ochranu provozu kritických webových aplikací. Dodatečně zvyšuje celkovou o úroveň bezpečnosti tím, že dokáže zabránit útokům dříve, než zasáhnou vlastní webovou aplikaci. Normy ISO/IEC

12 Bezpečnost webových aplikací Bezpečnost webových aplikací stručně řečeno znamená implementaci bezpečnostních prvků a opatření ve webových aplikacích samotných. Řešením aplikační bezpečnosti nejsou opatření typu: ochrana firewallem, ochrana pomocí IDP/IPS, používání SSL (zabezpečení komunikace), bezpečný OS, aplikace patche, uživatel musí mít heslo. Nic z toho aplikační bezpečnost primárně neřeší. Normy ISO/IEC

13 Bezpečné webové aplikace Klíčové pilíře bezpečné webové aplikace: Autentizace Autorizace (řízení přístupu) Session management Validace vstupů a kódování Ochrana dat (integrita, důvěrnost) Řízení chyb Sběr a vyhodnocování auditních informací Bezpečnost administračního rozhraní Kryptografická ochrana Ochrana před specifickými útoky (pishing, DoS) Konfigurace infrastruktury Normy ISO/IEC

14 Klasifikace firewallů Firewally a ISO/OSI model FW 14

15 Klasifikace firewallů pokračování 1 Aplikační brány (Proxy firewally) zcela oddělují sítě a plní funkci překladu adres (NAT Network Address Translation). Paketový filtr nejjednodušší a nejstarší forma firewallu fungující na pravidlech doručování paketů mezi adresami a porty. Stavový paketový filtr pracují jako klasické paketové filtry, ale navíc s ukládáním informací o povolených spojeních. Moderní stavové paketové filtry plní navíc ještě funkci kontroly korektnosti paketů a detekci průniků. Bezpečnostní politika FW je nastavení pravidel pro komunikaci přes firewall (VPN, NAT, IDS). FW 15

16 Klasifikace firewallů pokračování 2 Současné firewally můžeme rozdělit do sedmi kategorií: - Osobní firewally -Vestavěné firewally - Softwarové firewally (SOHO a Enterprise) - Hardwarové firewally (SOHO a Enterprise) - Speciální firewally Osobní FW ochrana uživatelských stanic s OS Windows (Personal FW) Vestavěné FW implementovány v routerech, AP (jednodušší paketové filtry) SW FW jsou určeny č pro OS serverů ů (Kerio, ) HW FW většinou vlastní architektura (ASIC), nouzově PC architektura (Appliance) s OS UNIX, garance propustnosti SoHo a Enterprise podle propustnosti (počet současných spojení, nebo počet uživatelů) Speciální FW určeny pro konkrétní aplikaci (web, databáze, služby, ) FW 16

17 Oblast průmyslu a informační bezpečnost ANSI/ISA- 99 Security for Industrial Automation and Control Systems ANSI/ISA : Part 1: Terminology, Concept and Models ANSI/ISA : Establishing an Industrial Automation and Control Systems Security program Připravované doplňkové normy řady ISA - 99 budou věnovány způsobu používání bezpečnostního programu poté, co byl sestaven a zaveden, a technickým požadavkům na automatizační a řídicí systémy v průmyslu. Ochrana proti vnějším útokům (Cyber Threats) a proti vnitřním incidentům v průmyslových řídících systémech. Příkladem řešení je Tofino Industrial Security Solution (Belden Company Tofino Security ) Industrial Ethernet Book IE FW 17

18 TOFINO Tofino Argon 100 Tofino Argon 220 IE - FW 18

19 4 kroky nasazení Tofino Industrial Security Solution 1. krok určení místa/míst aplikování Tofina (vytváření bezpečnostních zón) Tofino 19

20 4 kroky nasazení Tofino Industrial Security Solution 2. krok určení bezpečnostních modulů (pro požadovanou úroveň zabezpečení) Firewall (FW) Správa a kontrola konektivity (Secure Asset Mngmt SAM) Vyhledávání a identifikace síťových zařízení Vytváření VPN Even Logger Tofino 20

21 4 kroky nasazení Tofino Industrial Security Solution 3. krok určení serveru či stanice pro správu Tofina (Central Mngmt Platform - CMP) 4. krok objednání zařízení Tofino u autorizovaného dodavatele Tofino 21

22 Tofino SCADA Security Simulator Tofino 22