软件安全基础知识

软件安全基础知识

Software Security

Fortify China Consultant:WangHong hwang@http://www.77cn.com.cn

软件安全基础知识

主要内容软件安全基本概念软件安全的重要性分析软件安全越来越严重的原因和根源解决软件安全问题的措施和方法

软件安全基础知识

基本概念软件安全：----在软件受到恶意的攻击下，软件能够正常运行(功能/性能)

软件安全研究：----了解产生软件安全风险的原因，并怎样去规避他们

构建安全软件：----在软件的设计、开发、测试与管理等每一个环节都要保证软件的安全性，同还要不断对开发人员，设计人员和用户进行安全知识的教育

“ Building secure software: designing software to be secure, make sure that software is secure,educating software developers,architects and users about how to build security in”

软件安全基础知识

为什么软件安全如此重要？信息安全的期望信息安全的现状软件安全漏洞的发展趋势传统解决信息安全的方法软件安全在信息安全中的重要地位

软件安全基础知识

信息安全的期望理论上:我们花很多钱在信息安全建设上，安全问题应该被少，安全事件发生机率应该被降低。

info-sec spending ($)

保护我们的业务不会被恶义的家伙破坏”

限制责任和义务,满足法规和标准

incidents& exploits (#)

避免对公司品牌和声誉造成破坏

软件安全基础知识

信息安全的现状事实上:我们每年都花了数百万的资金在信息安全上,但是效果并不如意,我们遭遇的安全问题越来越多.

impact ($40B)

info-sec spending ($17B)

软件安全基础知识

CERT 2007年报告据CERT-CC报道：全球安全漏洞现在每天以40个漏洞速度增长

软件安全基础知识

为什么？为什么我的努力毫无作用？我们的安全建设都做了什么？

软件安全基础知识

传统的安全建设投资

软件安全基础知识

然而实际的问题“75% of hacks occur at the application level” - Gartner, 2005"92% of reported vulnerabilities are in apps, not networks" - NIST

75% of hacks occur at the application levelEncryption Module0% 1% 2% 2% 3% 15% 41%

Network Protocol Stack Other Communication Protocol Hardware Operating System Non-Server Applications36%

Server Applications

Source: NIST

软件安全基础知识

我们错误投资方向

Security% of AttacksWeb Applications

Spending% of Dollars 10%

75%

90%

25%Sources: Gartner, IDC, Watchfire

Network Server

软件安全基础知识

不同时代不同的安全问题特点

Application

How involved have we been with software?

Host

In 1990’s, we secured the host In 1980’s, we secured the network

Network

软件安全基础知识

上世纪的安全策略

软件安全基础知识

软件安全问题越来越严重原因软件自身变化黑客攻击方式的进化传统的分层保护方案减轻系统的风险传统的基于网络的方案不工作黑客可直接利用软件的弱点达到攻击系统软件必须保护它们自己传统学校关于安全技术的教育软件补丁和软件安全攻击的关系软件安全的根源问题。

软件安全基础知识

软件自身变化Connectivity(互联性) Extensibility(延展性)

Complexity (复杂性)

软件安全基础知识

软件自身变化

软件自身的变化，满足日益增长的需求为安全漏洞的滋长提供了天然的环境。

Connectivity The Internet is everywhere and most software is on it Complexity Networked, distributed, mobile code is hard Extensibility Systems evolve in unexpected ways and are changed on the fly

The network is the computer.

…is this complex program .NET This simple interface…