développement sécurisé avec microsoft.net et hp fortify

Sécurité

HP FortifySoftware Security

Center et Microsoft VS .NetHaleh Nematollahy

Security Solutions Architect

HP Enterprise Security Products - Fortify

Sécurité#mstechdays

NetworksHardware

Security Measures

• Switch/Router security• Firewalls• NIPS/NIDS• VPN• Net-Forensics• Anti-Virus/Anti-Spam• DLP• Host FW• Host IPS/IDS• Vuln. Assessment tools

LES APPLICATIONS CIBLES CYBER-ATTAQUE

Intellectual Property

Customer Data

Business Processes

Trade Secrets

Applications


84%des brèches sont au niveau de l’application

*Gartner, 2013

LE PROBLEME


SECURITÉ LE DEFI

In-houseDevelopment

Outsourced

Commercial

Open source

Achat de logiciels Securisées

ValidationComformité

Certification NouvellesReleases

Sécurisation des applications

héritées


L'APPROCHE ACTUELLE> RÉACTIVE, CHÈRE

$convaincre et payer un développeur pour corriger

4$ $Nous nous faisons pirater ou nous payons quelqu'un pour nous dire que notre code est mauvais

3Quelqu'un construit logiciel avec des failles 1

In-house Outsourced Commercial Open source

IT déploie le mauvais logiciel

2


30X

15X

10X

5X

2X

FIXING THINGS LATE IS FRUSTRATING30x more costly to secure in production

Une fois qu’une application est en production, le cout de remédiassions est 30x plus élevé .

Cost

Source: NIST

ProductionSystem testing

Integration/ component testing

CodingRequirements


Logiciels existants ou nouvellement créés 1 Good code

APPROCHE INTÉRIMAIRE> PLUS SÛR ET RENTABLE

In-house Outsourced Commercial Open source

Mettre en œuvre des points de sécurité pour déterminer si le logiciel est résistant avant de déployer en production

2

Travailler avec les Développeurs afin de localiser et de corriger les vulnérabilités

3Surveiller et protéger les logiciels fonctionnant en production

4


HP FORTIFY SOFTWARE SECURITY CENTERTrouver et corriger les problèmes de sécurité dans le développement, Fortify les applications contre les attaques

• Économiser la sécurité, les audits et les pen tests

• Réduit les risques de logiciel avec un minimum d'effort et de coût

• Protèger les applications contre les attaques en supprimant les failles de sécurité lors du développement

IN-HOUSE OUTSOURCED

COMMERCIAL OPEN SOURCE

Fortify Solutions

Actual Attacks

Real-Time ProtectionOf Running Application

Hackers

Vulnerability Management

Static Analysis Via Build Integration

Source CodeMgt System

Dynamic Testing InQA Or Production

VulnerabilityDatabase

IDE Plug-ins for MS Visual Studio

Developers(onshore or offshore)

Remediation

Correlate Target Vulnerabilities With Common Guidance and Scoring

Application Lifecycle

Development, Projectand ManagementStakeholders

Defects, Metrics And KPIs Used To Measure Risk

Threat IntelligenceRules Management

Normalization(Scoring, Guidance)

Correlation(Static, Dynamic,

Runtime)

Static Analysis Dynamic Analysis Runtime Analysis


SOFTWARE SCANNING PROCESS

Fortify SSC

MS VS Developers

Auditor /Security

Build / Scan on TFS Static Code Analysis (SCA)

Code Repository

Bug Tracking using MS TFS

Check in Code

Scheduled Check-out, Build and Scan

Upload Scan Results

Auditor Reviews Results

Submit Findings to Bug Tracker

Developer Fixes Bug / Security Finding

Repeat as Necessary

.fpr file

Scan Fix

démo

Design/UX/UI#mstechdays

Sécurité

démo

Design/UX/UI#mstechdays

Sécurité

HP FORTIFY SOFTWARE SECURITY CENTER ET MS VS .NET

• Scan/Analyser Webgoat.Net avec Fortify SCA dans MS VS 2013 .Net

• Réviser résultats dans VS 2013

• Fix SQLi, XSS dans VS 2013

• Scan/analyser avec Fortify SCA dans MS VS 2013

• Upload/télécharger les résultats sur Fortify Software Security Center

• Démonstration de Software Security Center

• Générer des Reports


FIND, FIX AND FORTIFYHP Fortify Software Security Center

1

2

3

4

Find & Fix Trouver et corriger les problèmes de sécurité dans MS. Net développement

Fortify Fortifier les applications contre les attaques

Save Économiser le développement

Reduce Réduire le risque des applications

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Digital is business

Thank you

MerciThank you

développement sécurisé avec microsoft.net et hp fortify

Technology