Continuous Security in Modernen Webanwendungen
Sicherheit eingebaut
Martin Reinhardt (Holisticon AG)
Agenda
- Continuous Delivery
- IT-Sicherheit
- Methodik
- Agil & Security
- Continuous Security
- Automatisierung
- Tools
- Ausblick
- Links
About me
- Martin Reinhardt (Holisticon AG)
Continuous Delivery
- Agile Softwareentwicklung arbeitet kleinteilig
- Software oft und zuverlässig in Produktion
- Software mit agilen Methoden kann nicht komplett (manuell) getestet werde
- Alle 2 Wochen gesamten Funktionsumfang abtesten ist utopisch
- Wesentlich ist dabei die Build Pipeline
- Wie?
- Geschwindigkeit
- Automatisierung
Build Pipeline
- wesentliches Ziel ist schnelles Feedback, also Geschwindigkeit
- Einzelne Schritt schnell abarbeiten (5 - 10 Minuten)
- Möglichst früh Fehler finden (Unit-Tests)
- Quellcode muss Continuous Delivery gerecht werden
- Warum nicht auch für Security?
- Continuous Delivery auch eine Chance für Sicherheitsaspekte
IT-Sicherheit
Warum das Ganze?
- NSA
- BDSG
- DSGVO
- Kosten
- Exploits
- CVE-2016-5000 - Apache POI Information Disclosure via External Entity Expansion (XXE)
- CVE-2016-4216 - Adobe XMP Toolkit for Java Information Disclosure via External Entity Expansion (XXE)
- CVE-2016-3081 - Remote code execution vulnerability in Apache Struts when dynamic method invocation is enabled
- CVE-2015-8103 - Remote code execution vulnerability in Jenkins remoting; related to the Apache commons-collections
Black Duck - Open Source Security Analysis
- Stand von Open Source Security in kommerziellen Anwendungen bit.ly/2yfsD2x
- 95% der Anwendungen enthalten OSS
- 67% der Anwendungen enhalten OSS Schwachstellen
- Durchschnittsalter von bekannten Schwachstellen in OSS: 1894 Tage
OWASP Top 10
- Kritischsten Risiken in Webanwendungen
- A9 - Nutzung von Komponenten mit bekannten Schwachstellen
- Schwer zu erkennen
- Bewusstsein auf Entwicklungsseite
- Sichtbarkeit
- Toolunterstützung nicht vorhanden
- Patching erfordert erneut Codeänderungen
Arten von Tests
- Funktionale Sicherheitstests
- Schwachstellen-Scanning / Fuzzing
- Penetrationstests
Continuous Security
- Testen ist nicht alles, bei Entwicklung auch nicht
- Warum also nicht auch bei Security?
- logischer Schritt für Automatisierung
- Security muss auf verschieden Ebenen betrachtet werden
- Code & Architektur (Sonar)
- Integrations-Tests (bdd-security, zap, owasp)
Security ganzheitlich
- Thema einarbeiten
- Erstellung von Security Guidelines
- Berücksichtigung von Sicherheit im Rahmen der Erstellung von User Stories
- Codescans durchführen
- Peer-Reviews durch einen Security Champion durchführen
- Penetrationstests einplanen
- Planing
- Secure Scrum
- Thread Model
- Analog zur restlichen Softwareentwicklung
Continuous Security Testing
- Tools mittlerweile verfügbar
- meist setzen diese auf OWASP auf
- Integration nicht schwieriger als bei DevOps
Node Security Project (NSP)
- Prüfung der Abhängigkeiten auf bekannte Schwachstellen
- Schlägt korrigierte Version vor
┌───────────────┬───────────────────────────────────────┐
│ │ Insecure Defaults Allow MITM Over TLS │
├───────────────┼───────────────────────────────────────┤
│ Name │ engine.io-client │
├───────────────┼───────────────────────────────────────┤
│ Installed │ 1.5.4 │
├───────────────┼───────────────────────────────────────┤
│ Vulnerable │ <= 1.6.8 │
├───────────────┼───────────────────────────────────────┤
│ Patched │ >= 1.6.9 │
├───────────────┼───────────────────────────────────────┤
│ More Info │ https://nodesecurity.io/advisories/99 │
└───────────────┴───────────────────────────────────────┘
OWASP dependency-check
- Seit 2012 verfügbar (basiert auf A9 - Komponenten mit bekannten Schwachstellen)
- Verfügbar in verschiedenen Varianten: Ant, Maven, Gradle, SBT, Jenkins
- Analyse der Abhängigkeiten zu bekannten Schwachstellen für Java & .NET
- Experimentielle Unterstützung
- CocoaPods
- Swift Package Manager
- Python
- PHP (composer)
- Node.js
- Ruby
- Prinzipiell kann jede gefundenen Schwachstelle zu Buildfehler führen
[ERROR] Failed to execute goal org.owasp:dependency-check-maven:1.4.0:check (default) ...
[ERROR]
[ERROR] Dependency-Check Failure:
[ERROR] One or more dependencies were identified with vulnerabilities
that have a CVSS score greater then '5.0':
[ERROR] commons-httpclient-3.1.jar: CVE-2014-3577
[ERROR] mysql-connector-java-5.1.37.jar: CVE-2014-0001, CVE-2013-2378, ....
[ERROR] tomcat-embed-core-8.0.33.jar: CVE-2016-3092, CVE-2013-2185, CVE-2002-0493
- Nicht praktikabel, deswegen sind Ausnhamen nötig
- Kann reduzierter Common Vulnerability Scoring System-Score (CVSS) gewählt werden
- Ausnahmen festlegen
HTML - Report
- Mit festgelegten Ausnahmen
- Ausnahmen werden in eigenem XML-Format festgelegt
<suppress>
<notes>
<![CDATA[This suppresses false positives identified on spring security. ]]>
</notes>
<gav regex="true">org\.springframework\.security:spring.*</gav>
<cpe>cpe:/a:mod_security:mod_security</cpe>
<cpe>cpe:/a:springsource:spring_framework</cpe>
<cpe>cpe:/a:vmware:springsource_spring_framework</cpe>
</suppress>
OWASP Zed Attack Proxy (ZAP)
Features
- Intercepting Proxy
- Automated Scanner
- Passive Scanner
- Brute Force Scanner
- Fuzzer
- Port Scanner
- Spider
- Web Sockets
- REST API Scanning (OpenAPI/Swagger)
Funktionsweise
- Installation auf separaten Umgebung
- Scan der Anwendung
- Proxy während Testausführung
Integration in Pipeline
- Maven Plugin: github.com/hypery2k/zap-maven-plugin
Integration in Build
- Einfache Integration
- Erweiterung möglich (Selenium Tests)
<plugin>
<groupId>de.martinreinhardt-online</groupId>
<artifactId>zap-maven-plugin</artifactId>
<configuration>
<zapHost>localhost</zapHost>
<zapPort>44444</zapPort>
<failingRiskCodeThreshold>5</failingRiskCodeThreshold>
<targetUrl>http://ngspring:41180/</targetUrl>
<authenticationType>form</authenticationType>
<username>user</username>
<password>password</password>
<shouldRunAjaxSpider>true</shouldRunAjaxSpider>
</configuration>
...
</plugin>
Sonar Integration
AWS absichern
- Security Monkey github.com/Netflix/security_monkey
- Monitoring für Sicherheitsprobleme
- Für große verteilte AWS-Anwendungen
Fazit & Ausblick
- Bibliotheken = Sicherheitsrisiko
- gerade im modernen Umfeld
- zeitnahe Aktualisierung nötig
- automatisierbar
- Absicherung möglich
- Penetrationstests durch DevOps einfach automatisierbar
- viele Tools im Bereich Testing & Automatisierung
- Spring Vault projects.spring.io/spring-vault/
- HashiCorp Sentinel hashicorp.com/blog/sentinel-announcement-policy-as-code-framework/
- Feedback ist ein Muss
- unerlässlich ein Sicherheitsbewusstsein im Team aufzubauen
"There is no one-size-fits-all solution to the complex problem of implementing a deployment pipeline."
Continuous Delivery, J. Humble, D. Farley
"There are only two types of companies: those that have been hacked, and those that will be"
Robert Miller, FBI Director, 2012
Links
Präsentation
holisticon.github.io/presentations/2017_ISD_continuous-security/
Continuous Security in Modernen Webanwendungen
Sicherheit eingebaut
Martin Reinhardt (Holisticon AG)
@mreinhardt