Automating Web Application Security: Which tools to use?

Transcript

1. Automating Web Application Security Which Tools to Use?

2. github.com/daydos twitter.com/doganaydos linkedin.com/in/doganaydos medium/@daydos Ben kimim? Dogan Aydos, Senior Engineering

   Manager @ Netsparker, Invicti

3. Invicti Security Changing the way web apps are secured •

   2009 yılında Ferruh Mavituna tarafından kuruldu • Proof Based Scanning ™ • 2018 yılında $40 milyon yatırım • 2005 yılında kuruldu • İlk web uygulaması güvenliği tarayıcısı • 2019 Invicti çatısı altında Netsparker ile birleşti

4. Ajanda 1. Web uygulaması güvenliği neden önemli? Güvenliğe önem vermemenin

   zararları 2. Penetrasyon testleri Yıllardır güvenlik nasıl sağlanıyordu? 3. Reaktif önlemler WAF, RASP 4. Proaktif önlemler SAST, DAST, IAST, SCA 5. Konumlandirma Bu araçları nasıl konumlandırabiliriz?

5. Web uygulaması güvenliği neden önemli?

6. Web uygulaması güvenliği neden önemli? • Kişisel bilgi güvenliği •

   “Time to market” • Altyapı önlemlerinin yetersizliği • GDPR, KVKK cezaları • Önlem için harcanacak zaman ve bütçe çok daha az

7. Web uygulaması güvenliği neden önemli?

8. Web uygulaması güvenliği neden önemli? İhlallerin %62’si Web uygulaması katmanında

   Siber suçların maliyeti $388 milyar Her 39 saniyede bir saldırı 2013 yılından bu yana 9.727.967.988 data kaydı kaybedildi ya da çalındı

9. Penetrasyon testleri

10. Penetrasyon testleri Web uygulaması güvenliğinin geleneksel temel taşı penetrasyon testleri.

    DevSecOps ve otomatik araçların gelişimi ve gün geçtikçe daha iyi hale gelmesiyle birlikte unutulabiliyor. Kompleks akışlar ve insan gözüyle inceleme için periyodik olarak yapılması olmazsa olmaz.

11. 1. Kompleks akışlar 2. Zafiyetlerin birbirine bağlanması 1. Çok fazla

    zaman alması 2. Ölçeklendirme Artılar Penetrasyon testleri Eksiler

12. Reaktif Önlemler

13. Reaktif Önlemler WAF, RASP • Uygulama canlıya çıktıktan sonra engellemeye

    yönelik alınan önlemler • Kolay implementasyon • Performans sorunları

14. Reaktif Önlemler Web Application Firewall - WAF İstekler web sunucusuna

    gelmeden önce WAF tarafından filtreleniyor. Pattern-matching ile olası bir saldırı kodunuza ulaşmadan engellenmiş oluyor.

15. 1. Kolay implementasyon 2. DoS saldırılarına karşı etkili 3. Hazır

    patternler 1. Patternlerin up-to-date tutulması 2. False positive 3. Sadece bilinen zafiyetlere karşı koruma Web Application Firewall - WAF Artılar Eksiler

16. Reaktif Önlemler Runtime Application Self Protection - RASP Web uygulaması

    koduna bir sensör ya da middleware olarak kurulan uygulamalar. Bir saldırı business logic koduna ulaşmadan önce uygulamanız içinde filtreleniyor.

17. 1. WAF’a göre daha detaylı koruma 2. Kod flowunu analiz

    edebilmesi 3. Daha az false positive 1. Deployment limitleri 2. Performansa muhtemel olumsuz etkisi 3. Sadece bilinen zafiyetlere karşı koruma Runtime Application Self Protection - RASP Artılar Eksiler

18. Proaktif Önlemler

19. Proaktif Önlemler SCA, SAST, DAST, IASP • Uygulama canlıya çıkmadan

    önce zafiyetleri tespit etmeye yönelik alınan önlemler • Garanti aksiyonlar • Compliancelara daha uyumlu • Ürün kalitesini arttırma • Whitebox / Blackbox

20. Proaktif Önlemler Software Composition Analysis - SCA Web uygulamanızda kullandığınız

    3rd party paketlerdeki bildirilen zafiyetleri tespit edip, bu paketlerin güncellemesini sağlar.

21. 1. 3rd party kod kontrolü 2. CI/CD içinde kolay entegrasyon

    1. Dar kapsam 2. Çok geç olabilir Software Composition Analysis - SCA Artılar Eksiler

22. Proaktif Önlemler Static Application Security Testing - SAST Uygulama kodunu

    satır satır analiz edip olası zafiyetleri bulmaya çalışır. White-box

23. 1. Hızlı tarama 2. Zafiyetin bulunduğu yerin tam tespiti 3.

    Kolay entegrasyon 1. False positive 2. Sunucu/uygulama konfigürasyon hataları 3. Servisler arası flow Static Application Security Testing - SAST Artılar Eksiler

24. Reaktif Önlemler Dynamic Application Security Testing - DAST Çalışan bir

    uygulamayı bir saldırgan gibi önce Crawl edip sonrasında saldırılar gerçekleştirir. Black-box

25. 1. End-to-end 2. Sunucu/uygulama konfigürasyon hataları 3. Gerçek bir saldırgan

    4. Ölçeklendirme 1. Ürün konfigürasyonu 2. Sadece zafiyetin bulunduğu endpoint bilgisi Dynamic Application Security Testing - DAST Artılar Eksiler

26. Reaktif Önlemler Interactive Application Security Testing - IAST SAST ve

    DAST’ı birleştiren çözüm. Uygulama içine veya sunucusuna bir sensör/agent kurularak blackbox scanning yaparken içeriden de bilgi alır. White-box & Black-box > Gray-box

27. 1. SAST ve DAST’ın en iyi yanlarını toplar 1. Muhtemel

    performans sorunları Interactive Application Security Testing - IAST Artılar Eksiler

28. Konumlandırma

29. Konumlandırma

30. Teşekkürler! https://www.netsparker.com/careers