torsdag 9 juni 2011

OWASP AppSensor Project

Colin Watson körde dagens sista presentation på ett projekt som intresserat mig ett tag, nämligen OWASP AppSensor Project. Projektet är för närvarande till största delen tips på ett antal punkter där man i applikationen kan bygga in sensorer på intrång/intrångsförsök, och vilka reaktioner man kan ge på det.

AppSensor har förslag på över 50 detektionspunkter inuti applikationen, och förslag på över dussinet svar då ett angrepp tros ha upptäckts. Det hela ska jämföras med mer traditionella försvar så som brandvägg, IDS, WAF m.m. som inte har någon kunskap om själva applikationslogiken (hittar inte angrepp), och som har relativt få svar vid ett misstänkt intrång ("larma/inte larma" eller "blocka/inte blocka").

Två centrala frågor bakom AppSensor lyder "Är applikationen under attack nu?" och "Har några okända sårbarheter blivit utnyttjade idag?". Ifall de tre svarsalternativen som ges är "Ja", "Nej" och "Jag vet inte" så syftar AppSensor till att stryka det tredje alterantivet och ge klarhet på hur ofta attacker sker. Framförallt är AppSensor aktuellt om applikationen har mycket motiverade angripare, så det anknöt väl till förmiddagens presentation om APT. Men även om så inte är fallet, kan det vara mycket intressant att bara implementera loggning vid indatavalidering för att få lite mätpunkter på hur många attacker som riktas mot applikationen.

AppSensor utgår från fem olika steg:

  1. Upptäckande av händelse
  2. Analys
  3. Avgörande om ett angrepp pågår
  4. Val av svarsmetod
  5. Exekvering av svaret

Syftet är att upptäcka "elaka" händelser och agera på dem utan att för den sakens skull råka utsätta användare som gör oväntade saker för negativa konsekvenser.

För stunden är AppSensor till stor del på ett idéstadie, där man själv får stå för implementationen. Det finns viss förvisso kod inlagd i ESAPI, men än så länge läggs alltså mycket av implementering på de enskilda applikationerna som väljer att använda sig av informationen i AppSensor Project. Det som kan komma framöver är exempelvis en dashboard som det visades ett demo på idag. Via en ordentlig dashboard skulle information bli lättillgänglig även för ledningen, som då skulle få en mycket större insikt i de faktiska angreppsförsök som nästan alla applikationer på Internet råkar ut för. Och i det ligger naturligtvis mycket pedagogiskt värde.

Det ska bli riktigt intressant att se hur det här projektet utvecklar sig de kommande åren. Om jag får spekulera är det här något som vi kommer få se mycket mer av i särskilt säkerhetskritiska applikationer.

Inga kommentarer: