Tweet
Tweet

Slide 1

Slide 1 text

Automating Web Application Security Which Tools to Use?

Slide 2

Slide 2 text

github.com/daydos twitter.com/doganaydos linkedin.com/in/doganaydos medium/@daydos Ben kimim? Dogan Aydos, Senior Engineering Manager @ Netsparker, Invicti

Slide 3

Slide 3 text

Invicti Security Changing the way web apps are secured ● 2009 yılında Ferruh Mavituna tarafından kuruldu ● Proof Based Scanning ™ ● 2018 yılında $40 milyon yatırım ● 2005 yılında kuruldu ● İlk web uygulaması güvenliği tarayıcısı ● 2019 Invicti çatısı altında Netsparker ile birleşti

Slide 4

Slide 4 text

Ajanda 1. Web uygulaması güvenliği neden önemli? Güvenliğe önem vermemenin zararları 2. Penetrasyon testleri Yıllardır güvenlik nasıl sağlanıyordu? 3. Reaktif önlemler WAF, RASP 4. Proaktif önlemler SAST, DAST, IAST, SCA 5. Konumlandirma Bu araçları nasıl konumlandırabiliriz?

Slide 5

Slide 5 text

Web uygulaması güvenliği neden önemli?

Slide 6

Slide 6 text

Web uygulaması güvenliği neden önemli? ● Kişisel bilgi güvenliği ● “Time to market” ● Altyapı önlemlerinin yetersizliği ● GDPR, KVKK cezaları ● Önlem için harcanacak zaman ve bütçe çok daha az

Slide 7

Slide 7 text

Web uygulaması güvenliği neden önemli?

Slide 8

Slide 8 text

Web uygulaması güvenliği neden önemli? İhlallerin %62’si Web uygulaması katmanında Siber suçların maliyeti $388 milyar Her 39 saniyede bir saldırı 2013 yılından bu yana 9.727.967.988 data kaydı kaybedildi ya da çalındı

Slide 9

Slide 9 text

Penetrasyon testleri

Slide 10

Slide 10 text

Penetrasyon testleri Web uygulaması güvenliğinin geleneksel temel taşı penetrasyon testleri. DevSecOps ve otomatik araçların gelişimi ve gün geçtikçe daha iyi hale gelmesiyle birlikte unutulabiliyor. Kompleks akışlar ve insan gözüyle inceleme için periyodik olarak yapılması olmazsa olmaz.

Slide 11

Slide 11 text

1. Kompleks akışlar 2. Zafiyetlerin birbirine bağlanması 1. Çok fazla zaman alması 2. Ölçeklendirme Artılar Penetrasyon testleri Eksiler

Slide 12

Slide 12 text

Reaktif Önlemler

Slide 13

Slide 13 text

Reaktif Önlemler WAF, RASP ● Uygulama canlıya çıktıktan sonra engellemeye yönelik alınan önlemler ● Kolay implementasyon ● Performans sorunları

Slide 14

Slide 14 text

Reaktif Önlemler Web Application Firewall - WAF İstekler web sunucusuna gelmeden önce WAF tarafından filtreleniyor. Pattern-matching ile olası bir saldırı kodunuza ulaşmadan engellenmiş oluyor.

Slide 15

Slide 15 text

1. Kolay implementasyon 2. DoS saldırılarına karşı etkili 3. Hazır patternler 1. Patternlerin up-to-date tutulması 2. False positive 3. Sadece bilinen zafiyetlere karşı koruma Web Application Firewall - WAF Artılar Eksiler

Slide 16

Slide 16 text

Reaktif Önlemler Runtime Application Self Protection - RASP Web uygulaması koduna bir sensör ya da middleware olarak kurulan uygulamalar. Bir saldırı business logic koduna ulaşmadan önce uygulamanız içinde filtreleniyor.

Slide 17

Slide 17 text

1. WAF’a göre daha detaylı koruma 2. Kod flowunu analiz edebilmesi 3. Daha az false positive 1. Deployment limitleri 2. Performansa muhtemel olumsuz etkisi 3. Sadece bilinen zafiyetlere karşı koruma Runtime Application Self Protection - RASP Artılar Eksiler

Slide 18

Slide 18 text

Proaktif Önlemler

Slide 19

Slide 19 text

Proaktif Önlemler SCA, SAST, DAST, IASP ● Uygulama canlıya çıkmadan önce zafiyetleri tespit etmeye yönelik alınan önlemler ● Garanti aksiyonlar ● Compliancelara daha uyumlu ● Ürün kalitesini arttırma ● Whitebox / Blackbox

Slide 20

Slide 20 text

Proaktif Önlemler Software Composition Analysis - SCA Web uygulamanızda kullandığınız 3rd party paketlerdeki bildirilen zafiyetleri tespit edip, bu paketlerin güncellemesini sağlar.

Slide 21

Slide 21 text

1. 3rd party kod kontrolü 2. CI/CD içinde kolay entegrasyon 1. Dar kapsam 2. Çok geç olabilir Software Composition Analysis - SCA Artılar Eksiler

Slide 22

Slide 22 text

Proaktif Önlemler Static Application Security Testing - SAST Uygulama kodunu satır satır analiz edip olası zafiyetleri bulmaya çalışır. White-box

Slide 23

Slide 23 text

1. Hızlı tarama 2. Zafiyetin bulunduğu yerin tam tespiti 3. Kolay entegrasyon 1. False positive 2. Sunucu/uygulama konfigürasyon hataları 3. Servisler arası flow Static Application Security Testing - SAST Artılar Eksiler

Slide 24

Slide 24 text

Reaktif Önlemler Dynamic Application Security Testing - DAST Çalışan bir uygulamayı bir saldırgan gibi önce Crawl edip sonrasında saldırılar gerçekleştirir. Black-box

Slide 25

Slide 25 text

1. End-to-end 2. Sunucu/uygulama konfigürasyon hataları 3. Gerçek bir saldırgan 4. Ölçeklendirme 1. Ürün konfigürasyonu 2. Sadece zafiyetin bulunduğu endpoint bilgisi Dynamic Application Security Testing - DAST Artılar Eksiler

Slide 26

Slide 26 text

Reaktif Önlemler Interactive Application Security Testing - IAST SAST ve DAST’ı birleştiren çözüm. Uygulama içine veya sunucusuna bir sensör/agent kurularak blackbox scanning yaparken içeriden de bilgi alır. White-box & Black-box > Gray-box

Slide 27

Slide 27 text

1. SAST ve DAST’ın en iyi yanlarını toplar 1. Muhtemel performans sorunları Interactive Application Security Testing - IAST Artılar Eksiler

Slide 28

Slide 28 text

Konumlandırma

Slide 29

Slide 29 text

Konumlandırma

Slide 30

Slide 30 text

Teşekkürler! https://www.netsparker.com/careers