您位于: 首页 OWASP峰会 OWASP2010中国峰会 Pravir Chandra:架构审核和威胁建模

Pravir Chandra:架构审核和威胁建模

 

OWASP Open SAMM Project Lead Pravir Chandra

 

演讲实录:

翻译:Pravir Chandra是OWASP  Open SAMM的创建人。在Pravir过去的5年,他进行安全评估,最大的问题是没有安全的评估解决安全问题。OWASP利用人,最主要的是人,然后是流程,最后才是技术,人是最重要的,有很好的受教育的人员。

 

首先,Pravir做一个回顾,现在已经存在着安全流行的方式,让大家理解这些模型,最后做一些有趣的比较,进而应用这些模型。在本期演讲之 后,首先评估一个企业已经存在的一些软件安全过程,然后可以构造一些项目可以被考虑的过程,也可以把整个项目展示出很具体的提高,最后在整个企业里面定义 以及测量和安全相关的系统。

 

现在回顾一些安全问题。CLASP是一个已经有5年历史的框架,将安全放在整个过程中。这个叫触点开发的,它是在传统领域进行了开发,这些点进 行了很多检测。在这个过程中,我们学到了很多东西,从各种不同类型中学到的东西,它在很多的企业可以使用,它是很重的活动,他是一个大的系统,但是他并不 是一个小的企业。

 

触点这样项目可以告诉大家很高端的东西,但是它不会有很多的细节让我们了解,应该怎么执行我们的安全策略。CLASP搜集了很多种,一共有24 种活动,他们没有优先顺序,他们现在流行了很多新的活动。所有的这些模型他们都很好,因为他们可以对安全专家来说,如果对非安全的专家,这些都是不好的。 对于一个成熟的模型而言,有一个很重要的驱动就是一个软件厂商他们在这个过程中需要很长的时间,他们的变化是非常慢的,尤其在软件开发的社区里面,需要很 多才能关系到小的改变。对每个企业没有不同的,我们需要有风险模型来决定一个企业什么最重要的在于采取什么不同的风险。

 

比较重要的一点在这个过程中,所有的指令是非常直接的,不应该有任何错误的地方。任何一个地方必须提供足够的细节给大家,成熟模型必须很简单而 且可以被弘扬。SAMM的业务功能覆盖4个方面,一个是管理、构建、验证和部署。因为对业务而言他们只是针对这4个方面,他们对安全没有直接相关的东西。 对于每一个业务功能我们都定了三个安全行为,SAMM的基础,如果一个企业要完成的话,必须有多个SAMM的安全基础。

 

第一个是拥有12个区域,12个领域,第一个是策略和量度。第二部分讲策略和法律。该行业对这个业务相关的话,我们应该有策略。管理的三个方面 就是教育和渠道,每个人都应该自己在这个过程中扮演什么角色。第二个业务功能是构建部分,构建部门第一个领域是威胁分析,它的目的就是使大家了解,你的企 业可能使用的过程中,会遇到什么样不同的攻击。第二部分是安全需求,它定义具体对应用指数的需求和安全的需求。最后一部分讲的是安全的体系架构,在这个企 业软件产生的过程中,我们的目的就是产生更多可用的安全构建,在这个过程中有的。再验证模块上,我们有三部分,一个是设计、代码和安全测试。

 

Pravir曾经教过很多课,课的内容就是关于安全设计,他问过一些开发人员一些问题,他就问他,你可以把两个软件放我手上吗?这个过程中,这 个回答并不是唯一的,因为软件有很多形式,也可以以运行的过程存在,也可以以设计的形式存在。所以这次为什么我们有三个领域,一个是设计部分,第二个是代 码,第三个是在安全运行的情况下,如何进行安全测试。

 

最后一部分是关于部署,部署的第一点是脆弱性管理,它的目的就是让企业知道你的应用程序里面可能会面临什么样的问题,然后进行管理。第二点就是 环境的硬化。它的目的就是说,因为现在所有的软件并不是单独存在的,很多目的就是要在这个过程能够验证使用一些不同的安全。最后一部分就是运行,它的目的 就是从开发商手里到运行者手里。

 

在每一个安全行为下面,都定了三个级别,三个级别对于人相当人而言就是成熟的。这是一个简单的例子,在教育和迟到这个模块里,第一级别就是把教 育传递给不同的人,第二个是有不同的人,第三个级别是在第二个级别的基础上提供一些测试。在每一个级别里面,在每一个组建的级别里面,我们应该期待一些什 么成果,它有一个成功的例子。这从两个角度使用了这个模型。

 

首先呢有一个简单的问卷表,就是一个对和错的问卷表,你可以再一个小时完成,就可以知道你们的企业大概是什么样,如果整个做完12个领域的话, 你可以知道你企业在这12个领域里面到底得分多少。接下来我们一般就会产生一个说法,它的目的就是让你很直观地看到,在这个企业里面我们的问题。另一个模 型特点就是可以提供一个路线图,让你知道下一步可以走到哪里。现在很多的模板针对不同的企业,有软件商、政府服务机构和金融机构。如果你的企业不属于那4 种,或者你不想使用存在的路线图的样板你可以自己做,你应该知道什么对你的企业最重要。在我们的Case Studies,我们有一些介绍,如何使你们的企业提高下一步的工作。

 

SAMM1.0现在可以在网上下载。有一个中文版的也可以下载。我现在要谈一谈SAMM和这个是什么关系,以及你如何来工作。SAMM得到了很 多专家的贡献,包括在不同领域其中有IT的管理者。这些组织在支持SAMM,我得感谢它们。OpenSAMM是我们的一个工程,我们有一个网址。现在的版 本是2009年3月份发布的,在这个过程中,我们发现了很多提高的地方,接下来6个月我们应该发布下一个。SAMM将来的计划就是意识到其他存在的标准语 句,当你们使用SAMM的时候你可以知道他对于其它的标准是什么?现在构建更多的路线图以及构建更多的,现在我们已经有西班牙语和日语的翻译,如果你们愿 意帮助我们请加入我们。

 

接下来你干什么,你首先去下载SAMM模式。第二件事你可以阅读SAMM的执行警戒,大概会有5分钟。第三你可以给自己做一个评估,给你们企业做一个评估,SAMM有一些专门的表格可以做评估,大概需要20分钟。最后一步就是在你的企业里面具体负责的相关人谈一谈。