Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή DevSecOps
Με την ολοένα και αυξανόμενη υιοθέτηση των πρακτικών DevOps και την άνοδο του Continuous Integration/Continuous Deployment (CI/CD) στην ανάπτυξη λογισμικού, ο κύκλος ζωής ανάπτυξης λογισμικού (SDLC) έχει επιφέρει σημαντικές αλλαγές στη βιομηχανία. Αν και αυτές οι μέθοδοι προσφέρουν πολλά πλεονεκτήματα, παρουσιάζουν επίσης μοναδικές προ κλήσεις ασφαλείας, καθώς οι εφαρμογές που αναπτύσσονται με αυτές είναι πιο επιρρεπείς σε κυβερνοεπιθέσεις συγκριτικά με τις παραδοσιακές μεθόδους ανάπτυξης λογισμικού. Το DevSecOps, ένας συνδυασμός πρακτικών ανάπτυξης (Dev), ασφάλειας (Sec) και λειτουργιών (Ops), έχει αναδειχθεί ως μια κρίσιμη προσέγγιση στην ασφάλεια λογισμικού στο σημερινό ταχέως εξελισσόμενο τεχνολογικό τοπίο. Αυτή η μεθοδολογία είναι ουσιαστική και σχετική για διάφορους λόγους. Πρώτον, αντιμετωπίζει την αυξανόμενη ανάγκη για ασφάλεια στην ανάπτυξη λογισμικού. Καθώς οι απειλές και οι επιθέσεις στον κυβερνοχώρο γίνονται πιο εξελιγμένες, η ενσωμάτωση της ασφάλειας στον αγωγό DevOps βοηθά τους οργανισμούς να εντοπίζουν και να μετριάζουν προληπτικά τις ευπάθειες από το πρώιμο στάδιο ανάπτυξης του λογισμικού, μειώνοντας τον κίνδυνο παραβίασης δεδομένων και διακοπής λειτουργίας. Δεύτερον, η ανάγκη για ταχύτερες και συχνότερες εκδόσεις λογισμικού απαιτεί μια μετατόπιση από τις παραδοσιακές πρακτικές ασφαλείας, οι οποίες συχνά προκαλούν καθυστε ρήσεις. Το DevSecOps απλοποιεί την ασφάλεια αυτοματοποιώντας τις δοκιμές και τους ελέγχους συμμόρφωσης, επιτρέποντας τη συνεχή παράδοση (CD) χωρίς να θυσιάζεται η ασφάλεια. Επιπλέον, το DevSecOps ενθαρρύνει μια κουλτούρα κοινής ευθύνης, ενισχύοντας τη συνεργασία μεταξύ προγραμματιστών, επαγγελματιών ασφάλειας και ομάδων επιχειρήσεων. Αυτή η συλλογική προσέγγιση οδηγεί σε βελτιωμένη επικοινωνία, βελτιωμένη επίγνωση των ανη συχιών για την ασφάλεια και ταχύτερη απόκριση σε αναδυόμενες απειλές. Σε μια εποχή όπου ο ψηφιακός μετασχηματισμός βρίσκεται στην πρώτη γραμμή των επιχει ρηματικών στρατηγικών, το DevSecOps είναι απαραίτητο για τη διασφάλιση της ανθεκτικότητας, της ακεραιότητας και της εμπιστευτικότητας των συστημάτων λογισμικού. Ευθυγραμμίζει την ασφάλεια με το ρυθμό της σύγχρονης ανάπτυξης λογισμικού, καθιστώντας το ένα κρίσιμο και επίκαιρο παράδειγμα για τη διαφύλαξη των ψηφιακών δεδομένων και περιουσιακών στοιχείων. Η παρούσα διπλωματική προτείνει μια μέθοδο για τη συμπλήρωση και την αυτοματοποίηση σαρώσεων ασφάλειας έργων λογισμικού με χρήση αποκλειστικά εργαλείων ανοιχτού κώδικα (Open-source software) για την πραγματοποίηση των σαρώσεων ασφάλειας, την παρακολούθηση των αποτελεσμάτων και την αυτοματοποίηση επιδιορθώσεων ευπαθειών. Η προτεινόμενη έρευνα έχει ενσωματωθεί σε υποδομή Continuous Integration/Continuous Delivery, επιτρέποντας την αυτόματη σάρωση και επιδιόρθωση τρωτών σημείων κατά τη διαδικασία και τον κύκλο ανάπτυξης και παράδοσης του λογισμικού.
Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή DevSecOps
- 1. Σχεδιασμόςκαιυλοποίησηπλήρουςκαι αυτοματοποιημένουεργαλείουελέγχωνασφάλειας έργωνλογισμικούενσωματωμένουσε υποδομή DevSecOps Επιβλέπων: Ανδρέας Συμεωνίδης Καθηγητής ΑΠΘ Διπλωματική Εργασία Εκπόνηση: Κουρεντζής Βασίλειος ΑΕΜ: 8841
- 2. ΠΕΡΙΕΧΟΜΕΝΑ Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 2 01. ΚΙΝΗΤΡΟ 03. ΜΕΘΟΔΟΛΟΓΙΑ 05. ΣΥΜΠΕΡΑΣΜΑΤΑ 02. ΣΚΟΠΟΣ 04. ΑΠΟΤΕΛΕΣΜΑΤΑ 06. ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ
- 3. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 3 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ DevOps 80% Πάνω από το 80% των επιχειρήσεων εφαρμόζουν πλέον DevOps, το οποίο θα αυξηθεί στο 94% στο εγγύς μέλλον. Πηγή: Puppet $25.5 86% Το 86% των επιχειρήσεων αναγνωρίζει ότι η αξία του DevOps είναι σημαντική. Πηγή: Harvard Business Review Η παγκόσμια αγορά DevOps θα ξεπεράσει τα 25,5 δισεκατομμύρια δολάρια το 2028. Πηγή: Linker
- 4. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 4 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ Ολοένα και αυξανόμενη ανάγκη υιοθέτησης πρακτικών DevOps στην βιομηχανία Πηγή:N-ix
- 5. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 5 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ Security • 3/10 συχνότερες διαδικτυακές επιθέσεις οφείλονται σε προβλήματα και θέματα σχεδίασης και λανθασμένων διαμορφώσεων (misconfigurations) στην ανάπτυξη λογισμικού. • Η κατηγορία Α06.Vulnerable and Outdated Components ανέβηκε τρείς θέσεις από τη θέση 9 στην έρευνα του 2017. • Ένδειξη της ανάγκης υιοθέτησης μεθόδων και πρακτικών ασφάλειας, από το πρώιμο στάδιο ανάπτυξης του λογισμικού Πηγή: OWASP Top 10 2021
- 6. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 6 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ $4.45 Εκατομμύρια: Το κόστος μιας διαρροής πληροφοριών το 2023, 15% αύξηση μέσα σε 3 χρόνια. Πηγή: IBM, Data Breach Report 2023
- 7. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 7 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ DevSecOps • Mια προσέγγιση ανάπτυξης λογισμικού που ενσωματώνει πρακτικές ασφάλειας στον κύκλο ζωής του DevOps. • Bοηθά τους οργανισμούς να εντοπίζουν και να αποκαθιστούν τα τρωτά σημεία ασφάλειας νωρίς στη διαδικασία ανάπτυξης. • Μειώνει τον κίνδυνο παραβιάσεων βελτιώνοντας τη συνολική ποιότητα του λογισμικού. Πηγή: XALT
- 8. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 8 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ Η ανάπτυξη ενός δωρεάν και open-source εργαλείου το οποίο: 1. Θα εκτελεί αυτοματοποιημένο έλεγχο ασφάλειας για πιθανές ευπάθειες τόσο από την μεριά του στατικού κώδικα (SAST) όσο και από την μεριά του δυναμικού του ελέγχου (DAST). 2. Θα είναι ενσωματωμένο σε υποδομή CI/CD με σκοπό να ικανοποιεί το κομμάτι του DevSecOps. 3. Θα παραθέτει και θα εξάγει αναφορές με τα αποτελέσματα των ευρημάτων και θα προτείνει πιθανές λύσεις για τη γρήγορη και εύκολη επιδιόρθωση τους. Τι είναι…
- 9. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 9 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ Τι είναι… 1. SCA (Security Component Analysis) 2. SAST (Static Application Security Testing) 3. DAST (Dynamic Application Security Testing) 1 2 3
- 10. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 10 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ Εργαλεία που χρησιμοποιήθηκαν *Καθαρά open-source εργαλεία Github Actions Dependabots CodeQL Zed Attack Proxy
- 11. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 11 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ DevSecOps SCA/SAST Ανάλυση στατικού κώδικα DAST Ανάλυση δυναμικής εκτέλεσης της εφαρμογής Εύρεση ευπαθειών και τρωτών σημείων στον κώδικα, προσέγγιση white box testing Εύρεση ευπαθειών και τρωτών σημείων στην υπό εκτέλεση εφαρμογή, προσέγγιση black box testing
- 12. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 12 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ Αρχιτεκτονική
- 13. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 13 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ Video Showcase
- 14. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 14 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ Αποτελέσματα Εφαρμογές – Στόχοι: 1. WebGoat 2. JuiceShop OWASP Broken Web Applications
- 15. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 15 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ Juice Shop vulnerabilities
- 16. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 16 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ • Η χρήση του εργαλείου που υλοποιήθηκε αποδεικνύεται έγκυρη και είναι εύλογη η αυτοματοποίηση του σε έργα ανάπτυξης λογισμικού. • Σε καμία περίπτωση όμως, δεν μπορούμε να παραμελίσουμε την αξία ενός χειροκίνητου ελέγχου ασφάλειας, Penetration Testing, από έναν εξειδικευμένο επαγγελματία. Συμπεράσματα • Ίσως να αποκτούσαμε καλύτερα αποτελέσματα και πιο αρκιβή αποτελέσματα, αν χρησιμοποιούσαμε commercial εργαλεία, αλλά όπως αναφέραμε η παρούσα έρευνα επικεντρώθηκε στη χρήση αποκλειστικά ανοικτού κώδικα εργαλείων, κάτι το οποίο στην βιβλιογραφία δεν έχει υλοποιηθεί.
- 17. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 17 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ • Υλοποίηση Graphical User Interface, έτσι ώστε να διευκολύνεται η χρήση του εργαλείου και να παρουσιάζονται τα αποτελέσματα με έναν πιο γραφικό και εύχρηστο τρόπο. • Υλοποίηση του συνόλου του εργαλείου σε κάποιο Docker container, έτσι ώστε να διευκολύνεται η διανομή του και η εγκατάσταση του στις διάφορες ομάδες προγραμματιστών και project ανάπτυξης λογισμικού. • Ανάπτυξη και επέκταση του εργαλείου που υλοποιήθηκε, με γνώμωνα να μπορεί να εκτελεί και άλλους πιο περίπλοκους ελέγχους ασφάλειας, όπως για παράδειγμα Behavioral Driven και Interactive ελέγχους με τη βοήθεια κάποιου automation framework όπως είναι γνωστό στη βιβiλιογραφία ως IAST (Interactive application security testing), ή και ελέγχους που να στοχεύουν πιο εξειδικευμένες κατηγορίες ευπαθειών και επιθέσεων. • Στατιστική ανάλυση των μετρικών των αποτελεσμάτων των ελέγχων του εργαλείου, συγκέντρωση και μαθηματική αξιολόγηση τους, και κατ ́επέκταση σύγκριση τους με άλλα εργαλεία σαρώσεων ελέγχων ασφάλειας που υπάρχουν στην βιομηχανία ή στη βιβλιογραφία. Μελλοντική Έρευνα
- 18. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 18 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ “There are two types of companies: those that have been hacked, and those that will be” – Robert S. Mueller, former Director of the FBI
- 19. Ευχαριστώ για την προσοχή σας! Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery Νοέμβριος 2023 19 ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ