Proactive Security Strategy

The Web Application Security Consortium (WASC) has made a very hany cross-reference. As it states on their website:

“This view contains a mapping of the WASC Threat Classification’s Attacks and Weaknesses with MITRE’s Common Weakness Enumeration, MITRE’s Common Attack Pattern Enumeration and Classification, OWASP Top Ten 2010 RC1 (original mapping with OWASP Top Ten from Jeremiah Grossman & Bill Corry) and SANS/CWE and OWASP Top Ten 2007 and 2004 (original mapping from Dan Cornell, Denim Group)”

The 49-listed WASC Threat Classifications are all mapped to atleast one of the other lists. A really helpfull guide when you use automated scanners and their report templates don’t match.

Here is the link.

De mensen die met de overheid te maken hebben en bezig zijn met beveiliging krijgen te maken met de AV23. In deze vorm bedoel ik niet de “Athletische Vereeniging 1923 Amsterdam”, maar is de publicatie ‘Beveiliging van persoonsgegevens’ die door het Cbp (Centrum bescherming persoonsgegevens) is uitgegeven. De AV23 bevat een groot aantal richtlijnen die helpen met het bepalen van het risico niveau bij het soort persoonsgegevens. Daarnaast worden er een behoorlijk aantal maatregels genoemd die moeten helpen om de informatie binnen een bepaalde klasse veilig te houden.

Maar wat betekend dit nu voor jouw als ontwikkelaar. Hoe kan jij nu controleren of je wel de juiste dingen gedaan hebt die van je verwacht worden. Hier kan de Application Security Verification Standard (ASVS) van de Open Web Application Security Project (OWASP) bij helpen. De ASVS is een basis voor het controleren van beveiligingseisen voor webapplicaties. Deze controles zijn verdeeld in vier niveaus die cumulatief zijn. Dus om level drie te kunnen halen moeten ook alle eisen voor level een en twee ook gehaald zijn.

Hier komt nu het mooie van deze niveaus, deze zijn redelijk goed te mappen op de risico klassen uit de AV23.

In de ASVS voor niveau 1 wordt gezegd dat dit goed is voor applicaties waar zekerheid rond de beveiliging moet zijn, risicoklasse 0 geeft geen extra eisen dan welke noodzakelijk zijn voor zorgvuldige bedrijfsvoering.

ASVS niveau 2 is typisch toepasbaar voor applicaties dat persoonlijke transacties verwerkt of persoonlijke identificeerbare gegevens verwerkt, risicoklasse 1 heeft het over beperkt aantal persoonsgegevens.

Op deze manier kunnen ook de volgende niveaus op elkaar gemapt worden. Met deze mapping heb je duidelijk wat er van je verwacht wordt om te kunnen zeggen dat de applicatie aan de gevraagde risico klasse voldoet.

Net gelezen, het Software Assurance Maturity Model (SAMM) heeft een uitbreiding gekregen. Nick Coblentz heeft een interview template ontwikkeld waarmee het huidig Maturity model voor een organisatie bepaald kan worden. De eerste versie is nu verkrijgbaar.

Bekijk hem hier (html format) online, of download hem hier (xls format).

Na de release van BSI-MM is nu ook SAMM uitgebracht. SAMM is een open framework wat een organisatie kan helpen bij het formuleren en uitzetten van een strategie voor software security. SAMM is een OWASP project wat in samenwerking met Fortify is gerealizeerd. Op het hoogste niveau definieerd SAMM vier kritische functies. Elke functie heeft een drietal voorschriften en elk voorschrift heeft drie niveaus als doelen.

Als je ditzo leest ziet het hetzelfde uit als BSI-MM. Dit is niet verbasing wekkend als je er achterkomt dat ze dezelfde basis hebben. Eerst was er e studie waar Fortify aan meehielp. Pas op het moment dat Cigital/Fortify een ander idee had over de richting waarin het model moest gaan is er een splitsing gekomen.

Beide modellen hebben wel dezelfde structuur, maar verschillen van inhoud. Op de website van SAMM zal in de toekomst meer uitleg gegeven gaan worden over de verschillen tussen de twee.

“Naar een paar uur rijden kwamen wij aan in Belgie.Na enig speurwerk om de locatie te vinden werden wij beloond met pizza en cola.

Na de korte introductie door Sebastien Deleersnyder, OWASP BeLux kwamen de sprekers aan de beurt.

In de introductie zijn de volgende zaken aan bod gekomen: OWASP is verdubbeld in het laatste jaar en nu 30 corporate sponsors heeft. Er is nu een werknemer in dienst van OWASP in Amerika die meetings organiseert en dergelijke. Mensen werden gestimuleerd om ook in hun LinkedIn profiel de OWASP groep te selecteren. Er komt 19-22 mei een europese AppSec conferentie, dus dat kan alvast gereserveerd worden in de agenda’s. Deze meeting zal plaats vinden in Brussel en dus voor alle PaSS leden vanuit Nederland een hele mooie gelegenheid om daar naartoe te gaan.

Tomas Vanhoof van de ISSA had daarna een kort praatje. ISSA was 1 van de organisatoren van de avond. Ze geven veel advies aan bedrijven en zijn betrokken bij certificeringen. Ze informeren vooral veel overheden. Geinteresseerden kunnen meer informatie vinden op www.issa.org.

De tweede presentatie ging over het gebrek aan communicatie tussen Operations en Development en dat daardoor grote problemen ontstaan, voornamelijk in het project en budget, omdat er geen voorbereidingen zijn getroffen.
De presentatie ging over de impact die centrale logging, patch management,identity & access management, loadbalancing, antivirus etc kan hebben op een applicatie en hoe deze kleine wijzigingen in en rond de applicatie een groot verschil kunnen maken in het kader van beveiliging.

Swa Frantzen en Herman Stevens hadden een presentatie over, Security awareness programs for development. Deze laatste presentatie was een soort sales pitch en daar kunnen we misschien wat elementen uit halen. Er was een discussie aan het einde waarin ik mij afvroeg hoe zij vanaf het begin van een project de resources en tijd beschikbaar maken om security validaties uit te voeren. Daar was niet helemaal een goed antwoord op gegeven, maar het geeft aan dat anderen het ook niet helemaal weten en dat de industrie zelf nog steeds aan het patchen is (of de invoering stilzet indien het niet voldoet aan eisen, zodat je een extensie traject in valt).

Tijdens onze terugreis nog verder gesproken over OWASP en PaSS en daar kwamen een aantal zaken naar voren:
Vanuit de architectuur hoek is het moeilijk om de OWASP Top Ten te belichten omdat het zich heel veel op het niveau van implementatie bevindt. Als we dan voornamelijk denken aan preventie, denk ik dat deze groep zich voornamelijk moet richten (met A&BS?) op het identificeren en kwantificeren van Risk, Impact, Probability en Estimate (RIPE). Hiermee geef je management dan informatie om beslissingen mee te nemen, terwijl het identificeren van risico alleen niet voldoende is. Impact moet dan gezien worden als het opbouwen van een geldplaatje samen met marketing / legal om schade aan imago b.v., non-compliance met standaards en dat soort zaken op papier te hebben staan.
28 november een interessante conferentie bij CG (Papendorpseweg 100). Daar wordt specifiek gepraat over applicatie beveiliging en een aantal andere zaken. Er is zelfs een mystery speaker. Ik hoop jullie allemaal daar weer te zien.”

De Owasp bluesband met Dennis ‘from the wrist’ Visschers

Het was in het op een na bekendste jazz-cafe van milaan, Scimmie voor de insiders, dat de OWASP bluesband werd opgericht.

Op de dag voor de conferentie is de organisatie maar eens een avondje de stad gaan verkennen.
Na bij een duur uitziend cafe te zijn afgewezen omdat het daar te vol was, zijn ze naar het eerst volgende cafe gegaan waar wel voldoende ruimte was.
Het cafe kwam een beetje sjebbig over, maar had bij nader inzien toch de juiste vibe! Toen werd natuurlijk besloten om de volgende dag hier weer terug te komen met nog eens 40 man extra!
Toen de eigenaar van het cafe dit vernam, werd dat initiatief verwelkomd door de OWASP groep een podiumplek toe te wijzen.
De dag erna gaf men kennis van het heugelijke feit dat de OWASP blues band was opgericht, alwaar onze collega Dennis Visschers ook zijn kunsten mocht vertonen…

Na de pauze op de eerste dag werd het tijd voor een demonstratie van de laatste versies van WebGoat (2.0) en WebScarab (NG).
Terwijl 95% van de conferentie geboeid naar de verhalen over Advanced Web Hacking zat te luisteren, heeft Dave Wichers de nieuwste features van WebGoat en WebScarab gedemonsteerd.
Naast nieuwe features bevat WebGoat ook nieuwe lessons voor bijvoorbeeld webServices.

WebScarab krijgt een nieuwe gebruikers interface, maar op dit moment zijn nog niet alle features daarheen geport. De ontwikkelaar heeft pas een kindje gekregen en is daarom de komende tijd niet volledig met WebScarab bezig. We zullen dus nog even moeten wachten op de nieuwe interface!

Dave Wichers, OWASP conferences chair, hield een verhaal over hoe het bedrijf SANS, gespecialiseerd in netwerk security, een secure-programmeer-certificering wil ontwikkelen om hun eigen expertises uit te breiden (en geld te verdienen).

SANS is een groot bedrijf met heel veel klanten en het wil zich gaan bewegen op het vlak van applicatie security. Omdat ze zoveel klanten hebben, hebben ze ook een goede marktingang voor andere security aspecten, waaronder applicatie security. SANS wil mede daarom graag certificeringsmogelijkheden gaan bieden aan programmeurs. Deze bestaan immers nu nog niet.

Volgens SANS wil de markt graag exact weten hoe goed een programmeur secure kan programmeren, daarom zijn ze zelf een Secure Programming Skills Assessment aan het ontwikkelen.

Omdat er echter nog niet veel expertise op dat gebied aanwezig is binnen dit bedrijf, heeft men OWASP gevraagd om te assisteren.
Dit assisteren kan in principe door opgaven te ‘doneren’ voor deze Secure Programming Skills Assessment, wat elk OWASP lid individueel kan doen.
Ook heeft SANS voor dit project samenwerking gezocht (en gevonden) met universiteiten, dus er zijn al veel mensen bezig met het maken van opgaven.

Als eerste wil men een security certificering voor C en voor Java ontwikkelen en daarna voor andere talen.
Pas wanneer er 5000+ opgaven in de database staan, wordt er certificeringsexamens afgelegd.

Persoonlijk vond ik het een gemiste kans voor SANS dat ze zelf niet de conferentie aanwezig waren om dit project te promoten. Dave Wichers heeft het verhaal nu (op uitstekende manier) verteld, maar hij vertelde erbij dat SANS geld aan wil verdienen aan dit project. Dat ze van dat geld niets aan de opgave-contributeurs afstaan, zal voor veel mensen een reden zijn om niet deel te nemen aan dit OWASP project.

Binnen de track 1 werd stond het CLASP (Comprehensive, Lightweight Application Security Process) als laatste punt voor de lunch op de agenda. Het CLASP project heeft recentelijk zijn naam van “Comprehensive, Lightweight Application Security Project” naar “Playbook” gewijzigd, zodat de naam beter bij de doelen van het project aansluit.

CLASP ziet zich niet als vervanging van of concurrent van de bestaande processen met betrekking tot het ontwikkelen van veilige software. CLASP verstaat zich als aanvulling voor het goed implementeren van deze.

Zoals de naam doet vermoeden, een draaiboek creëren voor het ontwikkelen van veilige applicaties. Dit wil het CLASP project bereiken door het aanleveren van checklijsten met betrekking tot applicatie security binnen het ontwikkelproces.

De producten van CLASP zijn in 7 aspecten opgedeeld:

1. Concept View: Waarin de overige Views, Uses-Cases en de CLASP resources worden uitgelegd
2. Role-Based View: Beschrijft de verschillende rollen binnen een software development proces en hun verantwoordelijkheden
3. Activity-Assement View: Is de mapping tussen de verschillende, door CLASP geïdentificeerde (security) activiteiten en de door CLASP gedefinieerde rollen.
4. Activity-Implementation View: Beschrijft verschillende, door CLASP gedefinieerde “Activities”. Hun doelen en resultaten.
5. Vulnerabilities View: Beschrijft verschillende vulnerabilities. Hierbij worden de ernstigheid, waarschijnlijkheid van exploitatie, hoe te voorkomen en voorbeleden genoemd.
6. Vulnerabilities Use-Cases: Beschrijft in een gemakkelijk te begrijpen manier, met specifieke voorbeelden, de samenhang tussen design zonder oogmerk op veiligheid, de sourcecode en de hieruit mogelijk resulterende kwetsbaarheid van de applicatie.
7. CLASP Resources: Geeft een inzicht in de meest belangrijke concepten welke als basis van CLASP te gronde liggen.

Een van de ‘evangelisten’, Dinis Cruz kwam ons vertellen over toekomstplannen van OWASP. Dit deed hij op zo’n energieke en snelle manier dat het meteen duidelijk werd waar zijn titel “Evangelist” vandaan komt.

Een van de taken die op dit moment opgepakt wordt is een security certificering. Dit wil men op vier gebieden gaan ontplooien:

• Black box testing
• White box testing
• Code review
• Engineering

Naarmate de tijd vordert en het niveau van de kandidaten hoger wordt, zal de zwaarte van het examen aangepast worden. Dit om de lat steeds hoger te leggen en verbetering te blijven krijgen in de kwaliteit van software in het algemeen.

Net zoals de Autumn of Code is OWASP ook dit seizoen de ‘Spring of Code’ gestart met een legio aan projecten. Dit keer wordt het niet van het ‘overschot’ gefinancierd, maar is de hele Spring of Code in het budget van OWASP opgenomen.

Verder wordt er nog een boek uitgegeven, The guide to application security testing, waardoor mensen makkelijker geld kunnen doneren door dit boek te kopen. Dan krijg je, in tegenstelling tot een donatie, ook nog iets fysieks voor je geld.

Tot nu toe werd het merk OWASP nog niet heel erg scherp gecontroleerd. Vanaf nu gaat men beter kijken naar hoe de naam OWASP wordt gebruikt en wíe de naam gebruikt. Op deze manier wordt het duidelijker wie wat heeft gedaan in welke OWASP projecten. Daarnaast wil OWASP op deze manier ook beter grip krijgen op goed gebruik van hun naam.

Ook wil men het meer stimuleren dat lokale chapters bij elkaar op bezoek gaan om kennis uit te wisselen. Dit vergroot de kwaliteit van applicaties en het niveau van de mensen die bij de ontwikkeling ervan zijn betrokken.

Bijna aan het eind van de presentatie werd de nieuwe OWASP top 10 (2007) gelanceerd en werd er meegedeeld dat er plannen zijn voor een OWASP top 10 for managers en een OWASP top 10 best practices.

Als laatste wordt er nog gebruik gemaakt van de gelegenheid om het “lid worden” aan te prijzen. Leden kunnen projecten ondersteunen als ook sturen.