BlueHat Asia: От антипаттернов к обеспечению надежности: Раскрытие потенциала поиска вариантов скачать в хорошем качестве

BlueHat Asia: От антипаттернов к обеспечению надежности: Раскрытие потенциала поиска вариантов

В этом докладе на BlueHat Asia Парул Гарг (руководитель группы поиска вариантов уязвимостей в Azure Security, Microsoft) и Шрихарша Паллеконда (старший инженер по безопасности, Microsoft) объясняют, как поиск вариантов уязвимостей помогает организациям перейти от исправления единичных ошибок к устранению системных антипаттернов безопасности в продуктах и ​​сервисах. Используя в качестве аналогии расследование подделки «супердоллара», докладчики показывают, как одна аномалия может выявить более широкую, развивающуюся закономерность, и как тот же подход применим к безопасности программного обеспечения. Поиск вариантов уязвимостей фокусируется на выявлении повторяющихся классов дефектов (антипаттернов), отслеживании того, как они «мутируют» в новые варианты, и активном пресечении всех возможных путей атаки. В ходе сессии рассматривается реальный пример утечки токенов носителя в портале Azure: атака с использованием ссылки в один клик, при которой параметры, контролируемые злоумышленником, могут привести к тому, что код портала на стороне клиента будет отправлять аутентифицированные запросы (включая заголовки Authorization) на вредоносный домен, незаметно похищая токены, которые можно использовать для доступа к ресурсам Azure. Далее в докладе демонстрируется полный процесс: ➤ Анализ причин (источники, приемники и факторы, приведшие к ошибке) ➤ Извлечение шаблонов (предварительные условия, постусловия, влияние и «что еще может пойти не так?») ➤ Поиск вариантов в масштабе (поиск новых вариантов и новых экземпляров в разных службах) Чтобы сделать этот процесс воспроизводимым и измеримым, докладчики представляют модель APEX (Anti-pattern Evaluation and Execution), которая структурирует поиск вариантов по этапам от исследования и оценки рисков до надежных мер по смягчению последствий и непрерывного обеспечения безопасности. Они также рассматривают практические методы обнаружения — статический анализ (регулярные выражения, CodeQL), сканирование во время выполнения/динамическое сканирование, анализ логов и анализ конфигурации — и то, как метрики позволяют расставлять приоритеты и добиваться устойчивого прогресса. В заключение доклада приводятся ключевые выводы о создании надежной программы поиска вариантов: сосредоточьтесь на причинах, способствующих возникновению уязвимостей, думайте о межсервисном взаимодействии, используйте структурированную среду, такую ​​как APEX, и измеряйте то, что действительно важно для достижения долгосрочных улучшений в области безопасности.