Security Dashboard e OWASP Testing Guide

Introduzione

Uno degli obiettivi principali delle aziende è quello di sviluppare applicazioni che riducano al massimo il rischio derivante dal loro utilizzo. La verifica che i rischi di sicurezza e privacy siano stati identificati, valutati ed indirizzati appropriatamente è un processo fondamentale al fine della riduzione dei rischi stessi.

La OWASP Testing Guide indirizza detta verifica, le cui attività di dettaglio, come visto nel post precedente,  sono supportate da CAST MRI, ma vi è la necessità di una governance centralizzata del processo di risk reduction.

Nota: La risk reduction è una tecnica di gestione del rischio che comporta la riduzione delle conseguenze tecniche e finanziarie di un evento avverso, p.e. un fault dei sistemi dovuti all’exploit di una vulnerabilità di sicurezza.

La Security Dashboard di Cast

La CAST Security Dashboard è la soluzione che fornisce una vista integrata dei rischi di sicurezza dell'intera applicazione, dettagliandone tutte le carenze e vulnerabilità.

Le funzionalità della dashboard consentono a tutti gli stakeholder di verificare, il prima possibile, i livelli di sicurezza dell’applicazione ed indirizzare così la risoluzione delle vulnerabilità presenti riducendo i livelli di rischio complessivi.

La OWASP Testing Guide e la Security Dashboard

Come visto in precedenza, le quattro attività cardine indicate dalla testing guide di OWASP sono:

• Manual Inspections & Reviews
• Threat Modeling
• Code Review
• Penetration Testing

Dato che le attività di Penetration Testing comportano attività di analisi dinamica delle applicazioni fuori dal perimetro della piattaforma CAST, vediamo come la dashboard ci è di supporto sulle altre attività.

Manual Inspections & Reviews

Una volta effettuato l’onboarding e l’analisi dell’applicazione, gli esiti vengono resi disponibili agli utenti tramite la Security Dashboard.

In primis, la rappresentazione grafica dello schema architetturale dell’applicazione permette di verificare eventuali non conformità agli standard di architettura applicativa dell’organizzazione.

Gli analizzatori CAST sono in grado di seguire una vulnerabilità, dal front-end al back-end dell’applicazione, anche se i vari layer applicativi sono implementati in tecnologie/linguaggi differenti.

Questo aspetto, che rende CAST uno strumento di analisi unico nel panorama degli strumenti SAST a livello enterprise, supporta, inoltre, l’individuazione delle modalità più adatte di Security Testing dell’applicazione.

Threat Modeling

La navigazione delle interfacce della dashboard consente un'analisi sistematica dei rischi rilevati. 

L'applicazione, infatti, viene scomposta dal punto di vista delle tecnologie, delle funzionalità e delle connessioni che la compongono. Le vulnerabilità sono quindi scomposte e riportate sotto diversi punti di vista, ovvero:

• Technical Criteria: dall'interfaccia di Risk Investigation è possibile fare una revisione degli indicatori determinando su quali fattori tecnici di rischio (Secure Coding, Programming Practices, Architecture, etc.) si concentrano le violazioni.

• Tecnologie: dall'interfaccia di Application Browser è possibile analizzare dove si concentrano le violazioni rispetto alle tecnologie utilizzate e agli oggetti impattati dalle violazioni.
  
•  Transazioni: dall'interfaccia Transactions è possibile analizzare la concentrazione delle violazioni rispetto alle transazioni rilevate ed agli oggetti impattati dalle violazioni

   

La Security Dashboard fornisce anche indicazioni sull'importanza delle vulnerabilità rilevate permettendo così di procedere con ordine nella loro mitigazione.

• Top riskiest Transactions, viene utilizzato un valore il Transaction Risk Index (TRI) che è un indicatore del rischio per la transazione all'interno della misura di integrità della sicurezza.

Code Review

La Security Dashboard consente una analisi puntuale delle vulnerabilità del codice; infatti, navigando le interfacce è possibile entrare nel dettaglio delle violazioni fino ad arrivare al singolo modulo software ed alla singola linea di codice dove si verifica la violazione.

Ciò permette un notevole risparmio di energia e tempo nella risoluzione, data anche la presenza di esempi di testi dettagliati e code snippet per la risoluzione della vulnerabilità.

CAST Security Dashboard consente quindi di supportare tutti gli stakeholder di un Secure SDLC, nell’esecuzione delle attività di Security Testing e garantire una governance efficace di dette attività.