La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

22 Fun with Fuzzing : les outils SDL SEC306 Eric Vernié Division Plateforme et Ecosystème Microsoft France Eric Mittelette Division.

Présentations similaires


Présentation au sujet: "22 Fun with Fuzzing : les outils SDL SEC306 Eric Vernié Division Plateforme et Ecosystème Microsoft France Eric Mittelette Division."— Transcription de la présentation:

1

2 22 Fun with Fuzzing : les outils SDL SEC306 Eric Vernié Division Plateforme et Ecosystème Microsoft France ericv@microsoft.com Eric Mittelette Division Plateforme et Ecosystème Microsoft France ericmitt@microsoft.com

3 33 SDL Approche

4 44 SDL En bref

5 55 Illustration Microsoft Security Development Lifecycle (SDL)

6 66 Efficacité de SDL Quelques chiffres 94 % des vulnérabilités ciblées au niveau de la couche application SDL produit des améliorations de sécurité mesurables pour Microsoft Réduction des failles de sécurité de 91% dans SQL Server Réduction des failles de sécurité de 45% dans Windows Réduction des failles de sécurité de 35% dans Internet Explorer Impact majeur dans les services en ligne également Les sites non-SDL (développement tierce) ont des taux beaucoup plus élevés d'incidents de sécurité

7 77 SDL Principes et processus Paradigme SD 3 +C Sécurité dès la conception Sécurité par défaut Sécurité du déploiement Communications Paradigme PD 3 +C Respect de la vie privée dès la conception Respect de la vie privée par défaut Respect de la vie privée dans le déploiement

8 88 SDL dans le cycle de vie du projet FormationFormation Formation de base ExigencesExigences Analyse des risques sur la sécurité et le respect de la vie privée Définir de jalons de qualité ConceptionConception Modélisation des menaces Analyse de la surface d'attaque Mise en oeuvre Outils spécifiques Fonctions bannies Analyse statique VérificationVérification Tests dynamiques / par fuzzing Vérification du modèle de menaces et de la surface d'attaque PublicationPublication Plan de réponse Revue finale de sécurité Archivage RéponseRéponse Réponse à proprement parler

9 99 SDL et les niveaux de maturité Ou en êtes vous vs SDL et une approche sécurisé ?

10 10 SDL Optimisation Model

11 11 SDL – les outils MiniFuzz File Fuzzer Détection de bugs dans la manipulation de fichier BinScope Binary Analyzer Outil de vérification des binaires (C/C++) vs les préconisation SDL (compilateurs settings et flags) SDL Process Template for VSTS Template a intéger dans VSTS et TFS pour une gestion agile de SDL SDL Threat Modeling Tool Outil de modélisation des menaces FxCop Analyse des binaires managed vs les préconisations SDL

12 12 SDL – les outils SiteLock Permet de bloquer l’usage d’ActiveX a certain domaines (internet) Code Analysis for C/C++ (/analyze in Visual Studio) Flags pour le compilateur C/C++ permettant une analyse statique du code (à combiner avec les annotation SAL) Anti-Cross Site Scripting (Anti-XSS) v3 BETA Librairie d’anti cross scripting v3 Code Analysis Tool.NET (CAT.NET) v1 CTP Outil complementaire d ’analyse statique de code managé Banned.h Les fonctions (C/C++) a bannir de vos codes vs les préconisations SDL

13 13 Démos Des outils, c’est fait pour être démontré !

14 14 Ressources SDL Tools http://msdn.microsoft.com/en-us/security/sdl-tools- download.aspx SDL Documentation http://msdn.microsoft.com/fr-fr/security/default.aspx Blog M Howard http://blogs.msdn.com/michael_howard

15


Télécharger ppt "22 Fun with Fuzzing : les outils SDL SEC306 Eric Vernié Division Plateforme et Ecosystème Microsoft France Eric Mittelette Division."

Présentations similaires


Annonces Google