OpenSAMM
Transcription
OpenSAMM
OpenSAMM Iden+fier et réduire le risque durant le cycle de développement logiciel Antonio Fontes OWASP -‐ Suisse Training Day Paris OWASP France 26 avril 2011 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org Infos intervenant • Antonio Fontes • 6 années d’expérience dans la sécurité « logicielle » • Directeur de la société L7 Sécurité (Genève, CH) • Spécialités: – – – – Défense des applicaGons web Développement sécurisé Tests d’intrusion ModélisaGon de menaces / esGmaGon, qualificaGon du risque • OWASP: – Comité OWASP Suisse – Responsable OWASP Suisse romande 2 OWASP France – Training Day Paris – Avril 2011 Programme • Situer le contexte et le besoin • Survol des alternaGves • OpenSAMM: – PrésentaGon – Domaines d’acGvité – AcGvités de sécurité – Scénarios de déploiement – EvaluaGon • L’approche iniGale • Ecueils • Conclusion, vos quesGons 3 OWASP France – Training Day Paris – Avril 2011 Quel besoin, pour quel contexte? 4 OWASP France – Training Day Paris – Avril 2011 Constat • MulGplicaGon des applicaGon web au sein des organisaGons • MulGplicaGon des technologies • Interconnexion des services stratégiques (backoffice/mainframe) • MulGplicaGon des unités de développement: – Nombreux cycles de développement à l’oeuvre – ExternalisaGon croissante du cycle ou parGe 5 OWASP France – Training Day Paris – Avril 2011 Le paradigme « pentest » analyse concepGon implémentaGon contrôle nyuhuhuu@flickr.com 6 OWASP France – Training Day Paris – Avril 2011 livraison maintenance Le paradigme « pentest » analyse concepGon implémentaGon contrôle livraison maintenance Observa+on du risque Risque ExposiGon au risque totalement inconnue jusqu’au test. Cycle de développement Pentest 7 OWASP France – Training Day Paris – Avril 2011 Le paradigme « pentest » analyse concepGon implémentaGon contrôle livraison maintenance Observa+on du risque Risque Release Le déploiement est (souvent) imminent. Cycle de développement Pentest 8 OWASP France – Training Day Paris – Avril 2011 Le paradigme « pentest » Alors que l’on sait que les coûts d’une modificaGon augmentent au fil du temps… 9 OWASP France – Training Day Paris – Avril 2011 Les coûts correcGfs dépendent…des résultats du test Le paradigme « pentest » 10 OWASP France – Training Day Paris – Avril 2011 Le paradigme « pentest » • Vision limitée du risque: – Par le scope – Par le délai – Par les connaissances du testeur Combien de bateaux y-‐a-‐ t’il? 11 OWASP France – Training Day Paris – Avril 2011 neilsingapore@flickr.com Le paradigme « pentest » • La réalité: – Plusieurs centaines d’applicaGons en producGon – Un SDLC par équipe de développement – Des difficultés de communicaGon – Des « urgences » et des « changements » – Etc. à Trop de « surprises » à CapitalisaGon difficile 12 OWASP France – Training Day Paris – Avril 2011 Quel est le besoin « terrain »? 1. IdenGfier le risque à à chaque phase du projet de développement! à sur la base de l’état des connaissances 2. Gérer le risque à s’aligner sur les a?entes/exigences de l’organisaBon à réduire le risque à chaque fois que c’est Risque possible à prioriser les acBons Cycle de développement 13 OWASP France – Training Day Paris – Avril 2011 Quel est le besoin « terrain »? 3. OpGmiser les coûts de la sécurité: à agir lorsque les coûts de correcBon ou déteciton sont faibles à capitaliser les erreurs 4. Disposer d’une approche formelle: à pouvant être répétée à adaptaBve: supportant des cycles (SDLC) hétérogènes à évoluBve: prévue pour une adopBon progressive à mesurable: la progression est formelle et compaBble avec une approche qualité 14 OWASP France – Training Day Paris – Avril 2011 Quel est le besoin « terrain »? 5. Une boîte à ouGls: à une approche « toolbox » facilitant le développement inter-‐unités/organisaBons à un mode d’emploi, accessible aux non-‐experts à des supports prêts à l’emploi (approche prescripBve) et agnosBques à une communauté è Modèle de maturité 15 OWASP France – Training Day Paris – Avril 2011 Les soluGons alternaGves… 16 OWASP France – Training Day Paris – Avril 2011 Touchpoints • 2007, Conçu par Cigital hqp://www.swsec.com/ • 7 acGvités de sécurité • La méthode n’est pas maintenue (mais son efficacité n’est pas remise en quesGon!) 17 OWASP France – Training Day Paris – Avril 2011 SDL • 2010 (5 itéraGons), Conçu par MicrosoS • 14 acGvités de sécurité • Approche “éditeur logiciel” – Modèle réduit pour “équipes agiles” 18 OWASP France – Training Day Paris – Avril 2011 B-‐SIMM2 • 2010 (v.2), Conçu par Cigital et ForBfy • 12 acGvités de sécurité, 4 domaines • Approche centrée sur l’observaGon: – DescripGon des cycles en œuvre dans 30 organisaGons sécurisant leurs logiciels 19 OWASP France – Training Day Paris – Avril 2011 OpenSAMM 20 OWASP France – Training Day Paris – Avril 2011 OpenSAMM • Méthodologie conçue par Pravir Chandra, beta publiée en 2008, v.1. en 2009 sur: hqp://www.opensamm.org • Ouvert, gratuit, non-‐exclusif, agnosGque: • Modèle de maturité, proposant: – 4 domaines d’acGvités (disciplines) regroupant au total 12 acGvités de sécurité (security pracBces) – 3 niveaux de maturité par domaine – Une approche « gouvernance » 21 OWASP France – Training Day Paris – Avril 2011 OpenSAMM 22 OWASP France – Training Day Paris – Avril 2011 OpenSAMM 23 OWASP France – Training Day Paris – Avril 2011 OpenSAMM 24 OWASP France – Training Day Paris – Avril 2011 OpenSAMM 25 OWASP France – Training Day Paris – Avril 2011 OpenSAMM analyse 26 concepGon implémentaGon contrôle OWASP France – Training Day Paris – Avril 2011 livraison maintenance OpenSAMM analyse 27 concepGon implémentaGon contrôle OWASP France – Training Day Paris – Avril 2011 livraison maintenance OpenSAMM analyse 28 concepGon implémentaGon contrôle OWASP France – Training Day Paris – Avril 2011 livraison maintenance OpenSAMM analyse 29 concepGon implémentaGon contrôle OWASP France – Training Day Paris – Avril 2011 livraison maintenance OpenSAMM analyse 30 concepGon implémentaGon contrôle OWASP France – Training Day Paris – Avril 2011 livraison maintenance OpenSAMM • QuesGonnaires pour l’évaluaGon du niveau de maturité (établissement des scorecards) 31 OWASP France – Training Day Paris – Avril 2011 OpenSAMM • Exemples de plans de maturité pour diverses industries: – Éditeur logiciel – Fournisseur de services en ligne – InsGtuGon financière – Secteur public 32 OWASP France – Training Day Paris – Avril 2011 OpenSAMM: l’avenir • Correspondance avec les standards et référenGels existants: COBIT, ISO 27002, PCI • Ajout de nouveaux modèles de programmes de sécurité • Ajout d’études de cas • Nouvelle version – (cycle de 6-‐12 mois à à prendre entre pince?es) 33 OWASP France – Training Day Paris – Avril 2011 Débuter avec OpenSAMM 34 OWASP France – Training Day Paris – Avril 2011 Premières acGons: • Qualifier le besoin: à Prendre la température à Démarrer ou aligner un programme de développement sécurisé à Faire paniquer la DirecGon 35 OWASP France – Training Day Paris – Avril 2011 Premières acGons: • Conduire l’évaluaGon (assessment) à UGliser les guides disponibles (feuilles Excel mises à disposiGon par la communauté) à Profondeur proporGonnelle au besoin idenGfié à Construire les scorecards: Conduire l’évaluaGon même si l’on pense qu’il n’y a rien! à Bcp d’équipes ne formalisent pas leurs acGvités de sécurité! 36 OWASP France – Training Day Paris – Avril 2011 Premières acGons: • IdenGfier l’opportunité: à Démarrer un programme de sécurité? à Formaliser/renforcer le programme existant ? à Déléguer / accompagner la mise en œuvre? Privilégier l’itéraGon à la planificaGon (éviter la « roadmap magique»)! 37 OWASP France – Training Day Paris – Avril 2011 Et ensuite? • ItéraGon: à Ajouter une acGvité? à Accroître le niveau de maturité d’une acGvité existante? 38 OWASP France – Training Day Paris – Avril 2011 A éviter… 39 OWASP France – Training Day Paris – Avril 2011 Pièges 1. Viser l’implémentaGon totale d’OpenSAMM – OpenSAMM est un modèle de maturité, pas une méthodologie! – Conserver le focus sur la réducGon de risques et les opportunités présentes au sein de l’organisaGon (compétences, ressources) – Ne pas privilégier l’implémentaGon à 100% mais renforcer les acGvités à haute valeur ajoutée! 40 OWASP France – Training Day Paris – Avril 2011 Pièges 2. Confondre « niveau de maturité » avec « maîtrise de l’acGvité » – Que l’on soit niveau 1, 2 ou 3 ne fournit aucune indicaGon quant au degré de maîtrise de l’acGvité (« prouver que l’on fait » vs. « savoir faire correctement ») – P.ex: 41 OWASP France – Training Day Paris – Avril 2011 Pièges 3. Confondre confiance et assurance – OpenSAMM est un modèle de confiance et non d’assurance. – Zones caractérisGque de fuite: • Contraintes réglementaires incomprises • Formateurs hors sujet ou peu pédagogues • Architectures/librairies considérées comme sûres alors qu’elles sont vulnérables • Tests insuffisants dans les acGvités de contrôle • Écarts/divergences entre le code testé et le code déployé • Etc. 42 OWASP France – Training Day Paris – Avril 2011 Pièges En voyez-‐vous d’autres? 43 OWASP France – Training Day Paris – Avril 2011 Conclusion • Modèle de maturité « clés en mains » à la libre disposiGon des organisaGons • Si implémenté correctement, accroît la visibilité sur les risques • Apporte un souGen à des direcGves normées ou standardisées du type « meqre en œuvre une stratégie de développement sécurisé » • Vision prescripGve de l’organisaGon générale du programme 44 OWASP France – Training Day Paris – Avril 2011 Conclusion • Vision évoluGve, adaptable aux cycles existants et technologiquement agnosGque • Un modèle supporté par la communauté, appuyé par des ouGls • Non-‐exclusif, interopérable • Toutefois: – N’apporte aucune réponse technique – La maturité du modèle de maturité lui-‐même est encore à idenGfier… 45 OWASP France – Training Day Paris – Avril 2011 QuesGons? 46 OWASP France – Training Day Paris – Avril 2011 Merci! Pour me contacter: [email protected] @starbuck3000 hqp://www.opensamm.org 47 OWASP France – Training Day Paris – Avril 2011