Web Uygulamalarınız Ne Kadar Güvende?

Transkript

1 IBM Software Group Web Uygulamalarınız Ne Kadar Güvende? Rational AppScan ile Uygulama Seviyesinde Güvenlik Erkan Özkan Rational Ürün Yöneticisi IBM Corporation

2 Gündem Rational Kalite Yönetimi Test Anlayışındaki Değişim Bizim sitemiz güvenli, çünkü... Watchfire Bir IBM Şirketi Rational Kalite Yönetiminde Watchfire ın yeri Rational AppScan ve Rational Policy Director Özet Soru ve Cevap 2

3 Rational Kalite Yönetimi Kalitenin, geliştirme yaşam çevrimi ve kullanıma aktarım işlemleri boyunca garanti altına alınmasını sağlayan süreçler ve ürünler Geliştirme yaşam çevrimi boyunca kalite yönetiminin uygulanması Kalite yönetiminin, geliştirme yaşam çevrimi boyunca sürekli, gelişmiş ve işbirliğini öne çıkarmasıyla maliyetler azalırken güvenilirlik gelişir. İş esnekliğinin sağlanması İş servislerinin fonksiyonel ve performans testinin yapılması, uyumluluk gereksinimlerinin karşılanmasını garanti ederken müşteri tatminini geliştirir. Kurumsal verimliliğin geliştirilmesi Geliştirme süreçlerindeki sıradan ve zaman alıcı adımların otomatize edilmesiye, yatırımın geri dönüşüne ilişkin zaman kısalır. IBM Rational yazılım kalite yönetimi: Yazılım sonuçları ile iş hedeflerinin bağlanması 3

4 IBM Rational Yazılımları İş yenilikçiliği ve dönüşümünde stratejik ortağınız İş Zorunlulukları Global yetenekler İş esnekliği Değer elde etme zamanı Risk ve uyumluluk yönetimi Yönetişim ve Yaşam Çevrim iyönetişimi Yazılım ve sistemlerin, kullanıma sunulması süreçlerinin yönetişimi Süreç uzmanlığı ve sayısız başarı hikayeleriyle dolu bir geçmiş Yenilikçilik ve Dönüşüm Uyum Kontrol Verimlilik 4

5 IBM Rational Software Delivery Platform Önerilerimiz Başarılı bir geçmişe dayanan yazılım ve sistem geliştirme süreçleri uzmanlığı Yönetişim uzmanlığını yansıtan paneller Süreç & portföy yönetimi Değişiklik ve kullanıma alma yönetimi Kalite yönetimi Mimari yönetimi Geliştirme üretkenliği Dağıtık geliştirme ve kullanıma sunum SOA ve servis yaşam çevrimi yönetişimi Risk ve uyumluluk yönetimi Açık teknoloji ve kullanıcı gruplarından gelen yenilikçilik 5

6 Neden Kalite Yönetimi? Maliyet/zaman: Test süreçleri, günümüzün hızlı geliştirme yaklaşımlarına ayak uyduramayacak derecede yavaş Bireysel çabalarla gelişmiş test yapabilmenin maliyeti çok büyük Düşük performans nedeniyle sistemlerin kullanım dışı olmasının maliyeti büyüyor Test süreçlerinin otomatize edilmesi, hızlandırılması ve yönetilmesi gerekli Karmaşıklık: İç etkileşimi ve bağımlılığı yüksek, servis tabanlı yazılım sistemleriyle artan karmaşa ve sık test etme gereksinimi SOA modülerliği ve tümleşik uygulamaların endüstri standardı haline gelmesi İş ve yasal mevzuata uyumluluğun garanti altına alınması, güvenlik gereksinimlerinin karşılanması Özel geliştirilmiş, dış kaynak kullanarak oluşturulmuş ve paketlenmiş çok sayıda uygulamanın yönetimi gereksinimi İletişim/işbirliği: İş ve BT ekipleri arasındaki zayıf iletişim ve bilgi paylaşımı yetersiz test çevrimleriyle sonuçlanıyor Dış kaynak kullanımının ve iş yapış şekillerinin farklı konumlar arasında dağıtık hale gelmesiyle merkezi test yönetimine olan gereksinimin artması Tüm çevrim boyunca gereksinimlerin izinin tutulamaması 6

7 Test anlayışı değişiyor... Test, kalite yönetimine dönüşme yolunda ilerliyor Süreç Yönetimi Proje Yönetimi Kurumsal Etki Bugünk nkü Endüstri Odağı Endüstrinin Gitmekte Olduğu u YönY İş Esnekliğinin Sağlanması Yazılım Kullanıma Sunma Kalitenin Erkenden Yönetilmesi Kurumsal Verimliliğin İyileştirilmesi Yönetişim Kaynak Uygunluğu Süreç Olgunluğu Manuel Test Otomatik Test Otomatik Yazılım Kalitesi Kalite Yönetimi İş Yönelimli Kalite Yönetimi 7

8 Mit: Bizim sitemiz güvenli, çünkü... Güvenlik duvarımız var! Düzenli pen-testler ile sitemizi denetliyoruz! Ağ tarayıcıları ile güvenlik açıklarımızı belirliyoruz! 8

9 Gerçek: Güvenlik amaçlı yatırımlar dengesiz dağılıyor Güvenlik Saldırı % si Web Uygulamaları Harcamalar Harcamaların % si 10% 75% 90% 25% Ağ Sunucusu 9

10 Web Uygulamalarının Mimarisine Genel Bir Bakış Uygulamalar Gizli Bilgiler Internet Güvenlik Duvarı Uyg. Sunucular Arkadaki Sunucular İstemci Katmanı (Browser) SSL Web Sunucular Veritabanları Taşınan Verinin Korunması Ağın Korunması Orta Katman Veri Katmanı 10

11 Web Uygulamaları için Ağ Savunması (yeterli değil!) Perimeter IDS IPS App Firewall Firewall Intrusion Detection System Intrusion Prevention System Application Firewall System Incident Event Management (SIEM) 11

12 Güvenlik açıkları nerede? İstemci Web Client-Side Özel Custom Bileşenler Web Services Tarafı Servisleri Web Uygulamaları Applications Üçüncü Parti Bileşenler Web Sunucusu Konfigürasyonları Web Sunucusu Veritabanı Uygulamalar İşletim Sistemi Ağ 12

13 Tehdit Türü Olumsuz Etki Örnek Etki Siteler Arası Betik Yazma OWASP Top 10 Application Attacks (Cross Site scripting) Enjeksiyon Açıkları (Injection Flaws) Zararlı Dosya Çalıştırma (Malicious File Execution) Güvensiz Doğrudan Nesne Ref. (Insecure Direct Object Reference) Siteler Ötesi İstek Sahteciliği (Cross-Site Request Forgery) Bilgi Sızıntısı ve Uygunsuz Hata İşleme (Inf. Leakage and Imp. Err. Handl.) İhlal Edilmiş Kimlik Doğrulama ve Oturum Yönetimi (Broken Authentication & Session Management) Güvensiz Kriptografik Depolama (Insecure Cryptographic Storage) Güvensiz İletişimler (Insecure Communications) URL Erişimini Kısıtlamada Bozukluk (Failure to Restrict URL Access) Kimlik bilgileri çalınması, duyarlı bilgi kaçakları Sahte sorgularla DB / LDAP / diğer sistemlerin yanıltılması Sunucuda, tüm kontrolü dahi ele alabilecek shell komutlarının çalıştırılması Saldırgan duyarlı dosyalara ve kaynaklara erişebilir Saldırgan, web uygulamalarında kör aksiyonlar çalıştırarak kendisini güvenilir bir kullanıcı olarak gösterir Saldırgan detaylı sistem bilgilerini edinebilir. Oturum anahtarlarının korunmaması ya da düzgün bir şekilde doğrulanmaması Zayıf şifreleme teknikleri nedeniyle şifrelerin kırılabilmesi Güvenli olmayan kanallardan şifrelenmemiş bilgilerin gönderilmesi Saldırgan, erişim yetkisinin olmadığı kaynaklara erişir. Saldırganın kurbanın tarayıcısında kullanıcı oturumları bilgilerin çalınmasına, web sitesine zarar verilmesine veya solucan yüklenmesiyle sonuçlanan betik çalıştırmasına izin verir. Saldırganın gönderdiği sahte veriler, istenmeyen komutların çalışmasına, verinin değiştirilmesine sebep olur. Kullanıcıdan dosya adı veya dosya kabul eden ortamları etkileyebilir. Saldırgan referansı değiştirerek yetkisi olmayan kaynaklara erişebilir. Banka hesabındaki meblanın sahibi yerine saldırgana aktarılması. Saldırganlar güvenlik açıklarını daha ciddi saldırılar erçekleştirmek/ önemli bilgileri çalmak için kullanabilir Saldırganlar şifrelerden ve kimlik denetimi ögelerinden kullanıcıya ait diğer bilgilerin elde edilmesi amacıyla yararlanabilirler. Gizlilik içeren bilgiler (SSN, kredi kartları), saldırganlar tarafından deşifre Saldırgan şifrelenmemiş bilgilere erişir ve kurbanın kimliğine bürünür. Saldırgan, login sayfasından sonra gelen bir sayfaya erişebilir. 13

14 Watchfire, bir IBM Şirketi Watchfire, web uygulamalarındaki güvenlik g açıklara kları ve web uyumluluk testi çözümleri sunar. Böylelikle B kurumların, çevrim-içi güvenlik açıklara kları ve uyumluluk noktalarına na ilişkin riskleri azaltarak ilişkili maliyetleri düşürmesined olanak sağlar. Güvenlik Gizlilik Kalite Standartlar Uyumluluk Web Uygulamalarında Güvenlik, G Kalite ve Uyumluluk 14

15 Güvenlik, Uyumluluk ve Kalite Güvenlik ve uyumluluğun, kalite çerçevesinde ele alınmasının değeri Güçlükler Değer Marka ya da müşteri ilişkilerine olumsuz etkiyen çevrim-içi güvenlik açıkları Güvenlik ve uyumluluklar konusunda özelleşmiş uzmanlığa sahip olma maliyetinin artması Web uygulamaları katmanında güvenlik çözümü eksiği Güvenlik testlerini tüm yazılım kalitesi yaşam çevrimine yayarak uygulamalarınız son kullanıcılara sunulmadan önce güvenliğin sağlanması Mevcut fonksiyonel ve performans testi yaklaşımlarına web uyumluluk testi ve kurum içi politika testlerini de ekleyerek yasal uyumluluklardan doğacak başarısızlıkların en aza indirgenmesi ve müşteri memnuniyetinin artırılması Ağ-seviyesindeki mevcut güvenlik çözümlerine web uygulamaları için güvenlik ve uyumluluk testleri de eklenince kurumsal düzeyde gelişmiş güvenlik yapısına erişilmiş olur. 15

16 IBM Rational Kalite Yönetimine Watchfire ın Katılımı Kalite, web uygulamalarının güvenlik yönetimini de sınırları içine alıyor + + Güvenlik Analistleri Uygulama Geliştiriciler Uyumluluk Sorumlusu Test Uzmanları Yazılım Ekipleri Watchfire, Rational Functional ve Performance Tester ın kapsamını genişletir Web uygulamalarının ve web servislerinin uyumluluk yönelimli güvenlik taraması ve testi Farklı yasal ve kurumsal + uyumluluk standartlarını içeren Web sitesi tarama = ve testi işlemleri Güvenlik ve uyumluluk testlerinin doğrudan geliştirme yaşam çevrimine katılması Böylelikle Güvenlik risklerinin önlenmesi İlk günden güvenli SOA Pen-test gereksiniminin ortadan kalkmasıyla maliyetin düşürülmesi Standartlara uyumluluğun proaktif olarak ispatlanmasıyla müşteri sadakatinin ve marka güvenilirliğinin arttırılması Üretime geçmeden güvenliğin sağlanması Hizmet seviyelerinin yakalanması Takım üretkenliği 16

17 Güvenlik ve uyumluluğun yazılım geliştirme yaşam çevrimine (SDLC) katılması SDLC Kodlama Birleştirme Kalite Güvence Güvenlik Üretim Geliştiriciler Güvenlik açıklarını giderme işlevinin etkin olarak geliştirme ekiplerine aktarılması Geliştiriciler Geliştiriciler Geliştiriciler ve Test Uzmanlarına güvenlik açığı saptama ve giderme yeteneği katar Güvenlik açıklarının, uygulamalar üretime alınmadan giderilebilmesi. 17

18 Kalite Yönetimi Büyük Resim Yaşam çevrimi boyunca yazılım işlevselliğinin, güvenilirliğinin, güvenlik ve performansının güvence altına alınması Kod kalitesinin artırılması Rational Application Developer Purify Plus Uygulama Geliştirme Uzmanı Gereksinim tabanlı test Rational Requisite Pro Rational ClearQuest Rational Method Composer Proje Yöneticisi İş Analisti Assess business analytics Rational Portfolio Manager, Rational Method Composer Business Analyst Kalite süreçlerinin otomasyonu ve takibi Rational ClearCase Rational Build Forge Build Uzmanı Operasyon Yöneticisi Sistem kullanılırlık zamanlarının iyileştirlmesi Tivoli Composite Application Manager Tivoli Provisioning Manager Tivoli Monitoring Test Uzmanı Fonksiyonellik, sistem performansı, güvenlik ve uyumluluğun güvence altına alınması Rational Functional, Performance & Manual Tester Rational ClearQuest, Rational AppScan, Rational Policy Tester 18

19 Watchfire Çözümleri IBM Rational AppScan IBM Rational Policy Tester Web uygulamalarının ve web servislerinin güvenlik testlerinin otomasyonu Güvenlik açıklarının belirlenmesi ve ortadan kaldırılması için gerekli masa-üstü ve kurumsal ölçekte çözümler Uygulama geliştiriciler, test uzmanları, güvenlik uzmanları ve yöneticiler için tasarlanmıştır Kurumsal boyutta raporlama ve kayıt altına alma Web sitelerinin kalite, gizlilik ve uyumluluk gereksinimlerinin karşılamasına yönelik Web Kalite ve Uyumluluk testi platformu Websitesi işlevselliğini ve olumlu kullanıcı deneyimini güvence altına alacak Web Kalite testi COBIT, ITIL, HIPPA, COPPA, & Safe Harbor gibi yasal uyumluluklarının karşılanmasına yönelik Web Gizlilik testleri 19

20 Watchfire teknolojisi nasıl çalışır? Güvenlik Gizlilik Kalite 1 Tara Standartla r 2 Analiz Et Uyumluluk 3 Raporla Detaylı ve aksiyon alınabilir bilgiler 20

21 Uygulama Güvenlik Testi Araçları AppScan Enterprise Yazılım Geliştirme Yaşam Çevriminde Web Uygulamalarının Güvenlik Testi AppScan Enterprise Edition & Quickscan AppScan Tester Edition AppScan - Standard Edition AppScan - Enterprise MSP Uygulama Geliştirme Kalite Güvence Güvenlik Denetimi Üretim Ortamı Gözlenmesi Uygulamaların Geliştirilirken Testi Kalite Sürecinin Bir Parçası Olarak Uygulamaların Testi Uygulamaların Üretime Alınmadan Önceki Testi Üretime Alınmış Uygulamaların Gözlenmesi ve Yeniden Testi 21

22 Uygulama Güvenlik Açıklarının Maliyeti Medyanın Dikkati > Marka İmajının Zedelenmesi > Hisse Değerlerinde Sert Düşüşler İletişim/Gözlem (Monitoring) Hizmetleri Maliyetleri Yasal Cezalar Denetimler Müşteri tarafından başlatılan yasal yargı süreçleri Müşteri kayıpları 22

23 Özet: Watchfire ın getirileri En geniş çapta uygulama tarayabilme teknolojisi En kritik güvenlik açıklarının belirlenebilmesi Endüstrideki en düşük yanılgı oranı Güvenlik uzmanı olmayan kişiler tarafından da kolaylıkla kullanılabilmesi Kurumsal çapta, web-tabanlı kullanım seçeneği Bilgisayar tabanlı eğitimler ve hizmetler Belirlenen güvenlik açıklarının çözümlenmesine yönelik en iyi deneyimlerin aktarımı 23

24 Soru ve Cevap Teşekkürler 24