首席信息安全官应用安全指南V10

首席安全官（CISO）应用安全指南Version1.0(November2013)项目负责人及主要作者MarcoMorana合著者，提供者和审阅TobiasGondrom,EoinKeary,AndyLewis,StephanieTanandColinWatson翻译者樊山、贺新朋、胡晓斌、郝轶、陈东、陈亮首席安全官们（CISO）负责从治理、合规性和风险的角度对待应用的安全性。首席安全官应用安全指南旨在帮助CISO根据自己的角色、职责、观点和需要管理应用安全计划。应用安全最佳实践和OWASP的资源在整个指南中被引用。©2013OWASPFoundationThisdocumentislicensedundertheCreativeCommonsAttribution-ShareAlike3.0license前言本指南已经得到了OWASP的项目重启计划的支持，并且符合OWASP的核心价值，指南的开发体现内容的开放性、创新性的想法和概念，将完整内容发布给遍及全球的应用安全领域内严格中立和无特定商业利益偏向的供应商。该指南还开发有关OWASP核心价值如能“促进实施和促进遵守的标准、程序和应用安全控制”，并提供免费和开放的内容，在不以盈利为目的的OWASP原则下提高基于风险的应用安全方法。CISOOWASP应用安全指南项目的领导者是MarcoMorana。ColinWatson,EoinKeary,TobiasGondrom和StephanieTan为本指南的原始内容的开发做出贡献。。这个项目是OWASP与CISO调查项目负责人TobiasGondrom同时开发。同步运行这两个项目的目标是使用2013CISO调查结果，并通过强调其中的OWASP项目/资源解决这些需求，进而通过具体的CISO的需求定制指南。OWASP首席安全官应用安全指南2013年11月版在2013年美国APPSEC大会提出，该会议在2013年11月18日至23日纽约举行。手册序言简介应用安全的利益相关者中，CISO（CISO）负责从治理、合规性和风险的角度考虑应用安全性。本指南旨在帮助CISO根据CISO的角色、职责、观点和需要来管理应用安全计划。本指南中引用应用安全最佳实践和OWASP的资源。OWASP是一个非赢利组织，其宗旨是“使应用程序的安全可见，并赋予应用安全与利益相关者正确的信息，并用于管理应用程序的安全风险”本指南可帮助CISO从信息安全和风险管理的角度管理应用安全计划。从信息安全的角度来看，对组织的资产进行保护是很有必要的，这些资产包括公民、客户端和客户敏感数据，存储这些数据的数据库,数据库服务器所在的基础设施，以及最后也是最重要的用于访问和处理这些数据的应用和软件。除了业务和用户数据，应用程序和软件也是CISO要保护的资产。其中一些应用程序和软件为组织产生了收益并为客户提供关键业务功能。例如，为客户提供商务服务以及应用和软件，为客户销售产品的应用和软件。在软件应用被认为是业务关键信息资产的情况下，这些应该在人力资源、培训、流程、标准和工具中得到特别的关注。本指南的范围是Web应用安全和结构与组件的安全，如Web服务器，应用服务器和数据库的安全；这不包括其他不相关的具体应用的安全。例如，支撑应用和构成一个有价值的资产的网络基础设施的安全属性，如保密性，完整性和可用性同样需要得到保护。（樊山）目标本指南能够帮助CISO从曝光的新威胁和合规性要求方面考虑管理应用安全风险。该指南可以帮助CISO们：使应用安全对CISO可见确保应用符合隐私安全、数据保护和信息安全相关法规优先修复有风险的业务漏洞为构建应用安全提供指导意见分析针对应用的网络威胁并找出对策衡量和管理应用安全风险和流程受众群体CISO高级安全经理高级技术经理（胡晓斌）内容摘要事实上，应用应该被视为组织的资产，这“本身”就是一个把应用界定在符合信息安全策略和标准之内的很好的理由。应用是否符合信息安全策略和标准通常取决于存储在应用中的资产数据的分类，暴露给用户的应用类型（例如互联网、内联网、外联网）及应用与数据支持（例如存取机密资料、汇款、支付、用户管理等）功能的风险类型。从信息安全的角度来看，应用应该在组织的特定脆弱性评估和应用安全需求范围内。安全性验证和应用认证遵循特定的安全要求，如安全设计、安全编码，安全操作。这些往往是应用安全标准目标的一部分。因此，合规性是应用程序的安全性的一个重要方面，也是首席安全官们的职责所在，但不是唯一职责。应用安全的扩展安全领域也是CISO的职责。这些可以概括为（GRC）治理、风险及合规性。从治理的角度，首席安全官们负责机构应用安全流程，角色和职责的制定并且管理软件开发人员，同时对软件开发人员进行软件安全培训和安全意识教育，如对信息安全人员/管理人员进行防御性编码和脆弱性风险管理的培训。从风险管理的角度来看，CISO管理的风险还包括应用安全风险，如针对特定应用的威胁通过利用安全控制的空白以及应用程序的漏洞窃取用户机密数据的风险。在CISO的安全域中，遵守法规和安全标准往往会得到该组织的执行管理层最多的关注。本指南的目的，是帮助CISO满足合规性要求，以及利用合规性要求作为投资应用安全的理由。对于一些组织来说，管理安全事故风险，如信用卡欺诈，窃取个人身份信息，侵犯知识产权和机密数据，这些安全事件会吸引大多数的行政管理层的注意力，特别是当该组织已被数据泄露的安全事故所影响时。（贺新朋）第一部分投资应用安全的原因在这个数字时代，国有和私营组织通过Web应用为越来越多的市民、客户、顾客和员工提供服务。通常，这些Web应用在互联网上提供“高可信服务”，其中包括承受高风险的业务功能。这些Web应用成为越来越多欺诈者和网络罪犯的目标。导致许多拒绝在线访问，数据泄露和网络欺诈等事件。CISO们（CISOs）的职责是执行应用安全控制措施，以避免、缓解和减轻影响该组织实现其使命时可能存在的安全风险。这种不断变化的威胁形式进一步推动了组织对审计、法律和合规性的需求。首席安全官们必须为一个应用安全计划投资建立一个商业案例。这个商业案例应当作为安全威胁的对策映射到业务和必要的服务计划之上。行业安全的投入标准和定量风险计算可以为安全预算投资需求提供支持。（胡晓斌）第二部分管理应用安全风险的准则CISO（以下简称：首席安全官CISO）必须找出首要关注的安全问题。为了决策如何管理应用安全风险，首席安全官需要评估为修复已知弱点所采取的控制措施的成本效益。为了降低应用程序的风险等级，成本与效益的权衡是决定采用哪些安全控制措施的关键因素。首席安全官经常需要向决策层解释风险，说明一旦应用受到攻击、敏感数据被破坏时对业务造成的潜在影响。当存在以下三个风险要素时，安全风险就成为业务风险：威胁的可能性漏洞的暴露程度资产价值为了系统地考虑风险等级的排序，首席安全官可以参考《通用弱点评价体系V2》(CVSSv2)。为了定期地与业务管理部门沟通应用风险，首席安全官可以考虑提供“《安全威胁意识报告》（emergingcyber-threatawareness）”给业务管理部门。与企业高管沟通首席安全官需要真正地从业务风险的全局去考虑信息安全风险。不仅是合规和安全弱点，也包括组织的信息资产相关的威胁、安全事件等安全态势。首席安全官清晰地将安全态势信息传递给决策层有助于说明对信息安全措施进行投入的价值。当然也需要将目前的成本与采取其他安全措施的成本，和一旦发生安全事件造成的损失进行比较。目前一旦发生安全事件所造成的损失要比合规性检查或审计没有通过的成本要大得多，往往安全事件会让首席安全官丢了自己的工作，同时影响到公司的声誉和效益。威胁建模通过自上向下的方法来识别威胁和控制措施，向首席安全官介绍需要考虑到的威胁建模技术（第三部分也会描述）。威胁建模技术将所需保护的应用进行分解，分析其攻击界面和面临的威胁，所采取的相关对策、差距及不足。运用新技术移动应用、Web2.0以及云计算服务这些新的应用技术和平台也引申出了新的威胁和防护技术。应用的变更也同样是风险源，尤其是当一些新的或不同的技术都集成在同一个应用中。随着应用的发展，新的服务被提供给用户、客户和雇员等更多的人，这就需要我们去关注和处置如移动设备、Web2.0等新技术和云计算等新的服务方式所带来的安全弱点。采用风险管理框架以评估新技术带来的风险是必不可少的，以确定采取哪些控制措施来降低这些新风险的等级。本指南将向首席安全官提供指引，以应对由新技术的采用所有带来的新的威胁、漏洞和风险。移动应用风险举例:设备遗失或被窃、恶意软件、多路通信信道泄露、弱身份认证；措施举例:制定移动安全标准，通过审计来评估移动应用中的弱点、安全配置以及个人设备中的应用数据。Web2.0风险举例:社交媒体的安全、内容管理、第三方技术和服务的安全；措施举例:安全API，验证码（CAPTCHA），在提交和交易确认过程中使用特殊的安全令牌。云计算服务风险举例:多租户部署、云计算部署带来的安全问题、第三方风险、数据泄漏，来自内部恶意的拒绝服务攻击。措施举例:云计算安全评估，对云计算供应商的合规性审计，人员尽职调查，存储和传输过程中的加密，监控.目前的攻击者（威胁代理）更多是为了经济利益去攻击应用，以获取敏感数据和公司内部的信息，以及通过欺骗方式获得竞争优势信息（例如网络间谍），从而损害用户利益。为了降低这些攻击者（威胁代理）所带来的风险，有必要确认风险的接受水平、安全事件发生的可能性及影响、识别应用漏洞可能被利用的场景。这些弱点一旦被利用会对组织和业务造成严重影响。（郝轶）第三部分应用安全计划从整个风险管理策略来看，应用安全风险的缓解不是一次性的而是一项持续的活动，需要密切关注新出现的威胁，并规划和部署新的安全措施，以消减这些新威胁。包括规划采取新的应用安全活动、流程、控制措施和培训。在规划新的应用安全流程和控制措施时，对于首席安全官而言，为了实现业务使命，了解在哪个应用安全领域进行投资是非常重要的。要建立和发展一个有效的应用安全计划，首席安全官们必须:映射业务优先到安全优先使用安全计划的能力成熟度模型评估当前的状态使用安全计划的能力成熟度模型建立目标状态映射业务优先到安全优先所有的安全优先级必须能够映射业务重点。这是致力于建立所有安全倡议的重要性，并展示企业管理安全性如何支持业务的第一步。它还向安全人员演示了工作人员如何支持这种使命。使用安全计划的成熟度模型评估目前的状态访问过程成熟度是通过应用安全和软件安全过程的先决条件。常被组织采纳的标准之一是考虑组织在应用安全领域的能力和组织在这些领域操作的成熟度。这些应用程序安全领域的例子包括应用安全治理、脆弱性风险管理、合规性和应用安全工程，如设计和实现安全的应用程序。特别是在应用安全工程的情况下，采用软件安全保障往往是必要的，而没有实施这类软件安全性，是因为它由第三方供应商直接控制生产。在这种情况下要考虑的一个因素是使用成熟度模型来衡量软件的安全保证。采用安全软件开发生命周期（S-SDLC）测量软件的安全保证是一个先决条件。在高级S-SDLC中包含软件开发生命周期内的培训和工具中“构建安全”的安全活动。这些活动的例子可能包括软件的安全流程/工具如构建风险分析/威胁建模，代码的安全性评价/静态源代码分析，应用安全测试/应用漏洞扫描和软件开发人员安全编码。OWASP软件保证成熟度模型，以及几个专用于软件安全的OWASP项目和S-SDLC和本指南都可以做为参考。使用安全计划的成熟度模型建立目标状态并非所有的组织都需要达到最高的成熟度。成熟度应该维持在一个能够管理影响业务的安全风险的水平。显然，这在不同的组织之间有所不同（变化），并且这和业务有关，以及能接受的作为来自安全组织的持续合作以及透明度的一部分的风险有关。一旦目标状态是确定的，CISO应该建立一个确定其解决已知问题的战略，以及检测和减轻新的风险的路线图。OWASP提供了几个项目和指南，来帮助CISO制定和实施应用安全计划。除了阅读本节中的指南，请