IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
0 j'aime290 vues
Le document traite de la sécurité des applications, mettant en avant l'importance de l'analyse de vulnérabilité et des tests de sécurité dans le développement, en particulier dans un contexte d'utilisation croissante de composants open source. Il propose des approches variées pour renforcer la sécurité des applications, y compris des techniques d'évaluation statique et dynamique, tout en soulignant les risques associés aux composants open source. Enfin, il présente les solutions IBM pour automatiser et améliorer l'analyse et la correction des vulnérabilités dans les applications.
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
- 1. Sécurité des applications: développements internes & Open Source Kamel Moulaoui kamel.moulaoui@fr.ibm.com MeeetUp Mars, 2018
- 2. 2 IBM Security Nous utilisons un scanner de vulnérabilité réseau Le mythe et les croyances subsistent Nous réalisons de l’analyse de code Nous auditons une fois par an une application par des testeurs Nos développeurs ont suivi une formation sur la sécurité des applications
- 3. 3 IBM Security Les menaces de sécurité des applications
- 4. 4 IBM Security Les menaces de sécurité des applications
- 5. 5 IBM Security Anatomie d’une application et les différentes contributions Développements internes Réutilisation de code existant Développements sous-traités Composants et librairies tiers
- 6. 6 IBM Security Open Source Open Source Open Source Open Source Open Source Open Source Open Source Open Source Open Source Open Source Open Source Et l’Open Source dans ces contributions ? Introduit par les développeurs Embarqué dans le code existant Introduit dans le code sous-traité Composants et librairies tiers provenant de l’Opens Source Composants et librairies tiers provenant d’éditeurs Forrester: How To Leverage DevOps Trends To Strengthen Applications Dec. 2016 “Approximately 80% to 90% of the code in modern applications is from open source components, and open source components that are at least two years old have three times the number of vulnerabilities. Even when developers are diligent about using newer third- party libraries, these libraries often use other libraries of their own, resulting in latent vulnerabilities that expose themselves at a later date.
- 7. 7 IBM Security Facile de créer des applications Les composants Open Source représentent en moyenne 60% à 80% du code d’une application
- 8. 8 IBM Security Quelle stratégie adopter ? Faut-il privilégier les tests statiques ou dynamiques ? Une seule technique est elle suffisante ? Qui va réaliser les tests ? Faut-il automatiser les tests ? Faut-il réaliser des tests sur toutes les applications Comment gérer la sécurité du code Open Source embarqué ? Quel effort organisationnel pour la réalisation des tests ? Comment communiquer les résultats des tests aux développeurs ? Nos applications sont-elles conformes aux règlementations ? Les Tests de sécurité dans DevOps ?
- 9. 9 IBM Security Le Constat: Étude: Comment faire de la sécurité des applications une discipline gérée stratégiquement Indépendamment menée par Ponemon Institute LLC - Mars 2016 Résultats complets du sondage Seulement "11% des sondés affirement que leur programme est mature et que le sujet est pleinement maitrisé"
- 10. L’approche et les innovations IBM
- 11. 11 IBM Security Une gamme complète de techniques d'évaluation des applications pour fournir une analyse de sécurité approfondie Analyse Statique - Analyse de Code Source - En phase de développement - Analyse par Taint / Pattern Matching Analyse Dynamique - Corrélation des tests statiques et dynamiques - Assistance à la correction par identification des lignes de code Analyse Hybride 11 - Analyse en ligne de l’application - En phase de test - Test d’intrusion par altération des requêtes http Analyse de code Coté Client - Analyse du code javascript téléchargé et exécuté coté client Analyse Run-Time - Combine l’analyse dynamique et instrumentation du serveur d’application - Plus de résultats, meilleur précision Failles de sécurité potentielles Applications Analyse Open Source - Génère un manifeste d'utilisation d'une application Open Source - Vérifie les vulnérabilités Open Source
- 12. 12 IBM Security Framework IBM pour la Sécurité des Applications Utiliser efficacement les ressources pour identifier et atténuer les risques Gestion de la sécurité des applications Surveillance D’activité de DBs Firewall d'application WebSIEM Protection Application Mobile Surveillance et protection des applications déployées Analyse Statique Analyse Dynamique Analyse des Applications pour Mobiles Analyse Open Source Intrusion Prevention Test des Applications Evaluatation des impacts métier Inventaire des applications Décision et état de Conformité Indicateurs d’état et de Progression Hiérarchisation Des Vulnérabilités
- 13. 13 IBM Security Les capacités cognitives au service des tests de sécurité des applications Intelligent Code Analytics Étend la couverture de l'analyse et élimine les faux négatifs en générant des règles de sécurité pour TOUT framework utilisé par l’application pendant l'analyse. Intelligent Findings Analytics Réduit les faux positifs jusqu'à 99% et élimine les longues procédures de revue manuelle en fournissant une revue entièrement automatisée des résultats des tests de sécurité des applications. Simple Fix Group recommendations Fournit des recommandations de correction qui aident les équipes de développement à résoudre plusieurs vulnérabilités avec une seule correction de code. AppScan Cognitive Application Security Advisor
- 14. 14 IBM Security ICA - Intelligent Code Analysis La Sécurité du code scanné nécessite de comprendre ces APIs pour pouvoir réaliser une bonne couverture. Les APIs non connues laissent des angles morts Le moteur de Sécurité Cognitive ICA inspectera tout framework utilisé dans votre application pour une analyse complète du code développé et du framework. Plus d’angle mort 100% de couverture : code développé et framework quelque soit son langage
- 15. 15 IBM Security Réduit les faux positifs Minimise les “scenarios d’attaques improbables” Fournit des recommandations de “correction” permettant de résoudre plusieurs vulnérabilités • Patents pending IFA - Intelligent Findings Analytics Machine learning with Intelligent Findings Analytics* Résultats enrichisIntelligent Findings Analytics • Construit avec Watson Machine Learning • Entrainé par les experts IBM Security • Totalement automatisé Résultats des scans
- 16. 16 IBM Security IBM Open Source Analyzer Ghost (GNU C) Heartbleed Shellshock (Bash) Poodle ASoC Open Source Analyzer • Génère un manifeste d'utilisation d'une application Open Source • Vérifie les vulnérabilités Open Source • Référentiel leader de l'industrie avec plus de 230k vulnérabilités • Proposition d’instructions de correction sur la version OSS vers laquelle il faut migrer • Intégré dans l’environnement de test de sécurité des applications
- 17. 17 IBM Security IBM Application Security on Cloud: Static Analyzer/Open Source Analyzer Findings IRX Static Analyzer Analytics (IFA) Analytics (ICA) Findings Fix Groups Open Source Analyzer IDEs Build CI/CD ASoC CLI Open Source Manifest Analysis Analysis Security Rules Open Source Vul DB
- 18. 18 IBM Security IDEs Automation ASoC DevOps – Automation Intégration dans les outils / processus de développement existants Static Analyzer Analytics (IFA/ICA) Client IBM Pen Testing Dynamic Analyzer Open Source Analyzer Mobile Analyzer ASoC CLI/REST APIs
- 19. ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions © Copyright IBM Corporation2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation,in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party. Suivez nous sur : Merci
- 21. 21 IBM Security En savoir plus sur IBM Application Security Visit the IBM Application Security Website Watch the videos on the IBM Application Security YouTube Channel Read new Application Security blog posts SecurityIntelligence.com Follow us on Twitter @ibmsecurity Watch the AppScan Overview Video How to Protect My Business from Web and Mobile Application Attacks?