Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Automating Web Application Security: Which tool...

Dogan Aydos
February 20, 2021

Automating Web Application Security: Which tools to use?

Dotnet Konferansi 2021

Dogan Aydos

February 20, 2021
Tweet

Other Decks in Technology

Transcript

  1. Invicti Security Changing the way web apps are secured •

    2009 yılında Ferruh Mavituna tarafından kuruldu • Proof Based Scanning ™ • 2018 yılında $40 milyon yatırım • 2005 yılında kuruldu • İlk web uygulaması güvenliği tarayıcısı • 2019 Invicti çatısı altında Netsparker ile birleşti
  2. Ajanda 1. Web uygulaması güvenliği neden önemli? Güvenliğe önem vermemenin

    zararları 2. Penetrasyon testleri Yıllardır güvenlik nasıl sağlanıyordu? 3. Reaktif önlemler WAF, RASP 4. Proaktif önlemler SAST, DAST, IAST, SCA 5. Konumlandirma Bu araçları nasıl konumlandırabiliriz?
  3. Web uygulaması güvenliği neden önemli? • Kişisel bilgi güvenliği •

    “Time to market” • Altyapı önlemlerinin yetersizliği • GDPR, KVKK cezaları • Önlem için harcanacak zaman ve bütçe çok daha az
  4. Web uygulaması güvenliği neden önemli? İhlallerin %62’si Web uygulaması katmanında

    Siber suçların maliyeti $388 milyar Her 39 saniyede bir saldırı 2013 yılından bu yana 9.727.967.988 data kaydı kaybedildi ya da çalındı
  5. Penetrasyon testleri Web uygulaması güvenliğinin geleneksel temel taşı penetrasyon testleri.

    DevSecOps ve otomatik araçların gelişimi ve gün geçtikçe daha iyi hale gelmesiyle birlikte unutulabiliyor. Kompleks akışlar ve insan gözüyle inceleme için periyodik olarak yapılması olmazsa olmaz.
  6. 1. Kompleks akışlar 2. Zafiyetlerin birbirine bağlanması 1. Çok fazla

    zaman alması 2. Ölçeklendirme Artılar Penetrasyon testleri Eksiler
  7. Reaktif Önlemler WAF, RASP • Uygulama canlıya çıktıktan sonra engellemeye

    yönelik alınan önlemler • Kolay implementasyon • Performans sorunları
  8. Reaktif Önlemler Web Application Firewall - WAF İstekler web sunucusuna

    gelmeden önce WAF tarafından filtreleniyor. Pattern-matching ile olası bir saldırı kodunuza ulaşmadan engellenmiş oluyor.
  9. 1. Kolay implementasyon 2. DoS saldırılarına karşı etkili 3. Hazır

    patternler 1. Patternlerin up-to-date tutulması 2. False positive 3. Sadece bilinen zafiyetlere karşı koruma Web Application Firewall - WAF Artılar Eksiler
  10. Reaktif Önlemler Runtime Application Self Protection - RASP Web uygulaması

    koduna bir sensör ya da middleware olarak kurulan uygulamalar. Bir saldırı business logic koduna ulaşmadan önce uygulamanız içinde filtreleniyor.
  11. 1. WAF’a göre daha detaylı koruma 2. Kod flowunu analiz

    edebilmesi 3. Daha az false positive 1. Deployment limitleri 2. Performansa muhtemel olumsuz etkisi 3. Sadece bilinen zafiyetlere karşı koruma Runtime Application Self Protection - RASP Artılar Eksiler
  12. Proaktif Önlemler SCA, SAST, DAST, IASP • Uygulama canlıya çıkmadan

    önce zafiyetleri tespit etmeye yönelik alınan önlemler • Garanti aksiyonlar • Compliancelara daha uyumlu • Ürün kalitesini arttırma • Whitebox / Blackbox
  13. Proaktif Önlemler Software Composition Analysis - SCA Web uygulamanızda kullandığınız

    3rd party paketlerdeki bildirilen zafiyetleri tespit edip, bu paketlerin güncellemesini sağlar.
  14. 1. 3rd party kod kontrolü 2. CI/CD içinde kolay entegrasyon

    1. Dar kapsam 2. Çok geç olabilir Software Composition Analysis - SCA Artılar Eksiler
  15. Proaktif Önlemler Static Application Security Testing - SAST Uygulama kodunu

    satır satır analiz edip olası zafiyetleri bulmaya çalışır. White-box
  16. 1. Hızlı tarama 2. Zafiyetin bulunduğu yerin tam tespiti 3.

    Kolay entegrasyon 1. False positive 2. Sunucu/uygulama konfigürasyon hataları 3. Servisler arası flow Static Application Security Testing - SAST Artılar Eksiler
  17. Reaktif Önlemler Dynamic Application Security Testing - DAST Çalışan bir

    uygulamayı bir saldırgan gibi önce Crawl edip sonrasında saldırılar gerçekleştirir. Black-box
  18. 1. End-to-end 2. Sunucu/uygulama konfigürasyon hataları 3. Gerçek bir saldırgan

    4. Ölçeklendirme 1. Ürün konfigürasyonu 2. Sadece zafiyetin bulunduğu endpoint bilgisi Dynamic Application Security Testing - DAST Artılar Eksiler
  19. Reaktif Önlemler Interactive Application Security Testing - IAST SAST ve

    DAST’ı birleştiren çözüm. Uygulama içine veya sunucusuna bir sensör/agent kurularak blackbox scanning yaparken içeriden de bilgi alır. White-box & Black-box > Gray-box
  20. 1. SAST ve DAST’ın en iyi yanlarını toplar 1. Muhtemel

    performans sorunları Interactive Application Security Testing - IAST Artılar Eksiler