Valmisohjelmiston sovellusturvallisuuden arviointi OWASP-metodologian avulla
Liimatta, Eino (2013)
Liimatta, Eino
HAAGA-HELIA ammattikorkeakoulu
2013
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2013100515865
https://urn.fi/URN:NBN:fi:amk-2013100515865
Tiivistelmä
Suurin osa yrityksistä ja julkisista organisaatioista hankkii käyttämänsä sovellukset räätälöitävinä valmisohjelmistoina, jolloin niiden sovellusturvallisuuden arviointi on vaikeaa. Tämän opinnäytetyön tarkoituksena on selvittää valmisohjelmistojen sovellusturvallisuuden arvioinnin mahdollisuuksia ja rajoitteita käyttäen Open Web Application Security Project (OWASP) -säätiön tuottamaa, julkista sovellusturvallisuuden arvioimisen ja testaamisen metodologiaa sekä avoimen lähdekoodin verkkoturvallisuustyökaluja.
Opinnäytetyön tavoitteena oli muodostaa kriittinen kokonaiskuva OWASP metodologian soveltamisesta käytännössä valmisohjelmistojen sovellusturvallisuuden arviointiin ja testaamiseen. OWASP-metodologiaa tutkittiin sekä teoreettisesti että käytännön tapaustutkimuksena IBM InfoSphere MDM Collaboration Server -ohjelmistotuotteen sovellusturvallisuuden arvioimiseksi.
OWASP-metodologia rajattiin tutkimuksessa dokumentteihin OWASP Testing Guide 2008 v3.0 ja OWASP Application Security Verification Standard 2009. Tapaustutkimus suoritettiin suljetussa virtuaaliympäristössä ja sovellusturvallisuuden testaamiseen käytettiin Kali Linux -distribuutiota ja sen sisältämiä avoimen lähdekoodin verkkoturvallisuusohjelmistoja. Testaaminen suoritettiin mustalaatikko-menetelmää käyttäen etsimällä haavoittuvuuksia, joita voidaan havaita ja joita voidaan hyödyntää järjestelmän ulkopuolelta.
Tutkimuksen tulosten perusteella OWASP-metodologia antaa hyvän teknisen perustan sovellusturvallisuuden arvioinnille. OWASP-metodologian soveltuvuus valmisohjelmistojen arviointiin ei osoittautunut täysin kattavaksi, koska OWASP-dokumentaation laatu on vaihtelevaa eri sovellusturvallisuuden osa-alueiden kohdalla. OWASP metodologiassa on puutteita riskienhallinnan osalta. OWASP-metodologian heikkouksia kuitenkin kompensoi laajempien organisaation tietoturvan hallinnan viitekehysten käyttäminen sen rinnalla. Valmisohjelmiston kohdalla korostuu myös tietojärjestelmässä käsiteltävän informaation organisaatiolle tulevan substanssiarvon tunnistaminen, joka auttaa tietoturvan hallinnan kohdistamisessa kriittisiin osa-alueisiin.
Opinnäytetyön tavoitteena oli muodostaa kriittinen kokonaiskuva OWASP metodologian soveltamisesta käytännössä valmisohjelmistojen sovellusturvallisuuden arviointiin ja testaamiseen. OWASP-metodologiaa tutkittiin sekä teoreettisesti että käytännön tapaustutkimuksena IBM InfoSphere MDM Collaboration Server -ohjelmistotuotteen sovellusturvallisuuden arvioimiseksi.
OWASP-metodologia rajattiin tutkimuksessa dokumentteihin OWASP Testing Guide 2008 v3.0 ja OWASP Application Security Verification Standard 2009. Tapaustutkimus suoritettiin suljetussa virtuaaliympäristössä ja sovellusturvallisuuden testaamiseen käytettiin Kali Linux -distribuutiota ja sen sisältämiä avoimen lähdekoodin verkkoturvallisuusohjelmistoja. Testaaminen suoritettiin mustalaatikko-menetelmää käyttäen etsimällä haavoittuvuuksia, joita voidaan havaita ja joita voidaan hyödyntää järjestelmän ulkopuolelta.
Tutkimuksen tulosten perusteella OWASP-metodologia antaa hyvän teknisen perustan sovellusturvallisuuden arvioinnille. OWASP-metodologian soveltuvuus valmisohjelmistojen arviointiin ei osoittautunut täysin kattavaksi, koska OWASP-dokumentaation laatu on vaihtelevaa eri sovellusturvallisuuden osa-alueiden kohdalla. OWASP metodologiassa on puutteita riskienhallinnan osalta. OWASP-metodologian heikkouksia kuitenkin kompensoi laajempien organisaation tietoturvan hallinnan viitekehysten käyttäminen sen rinnalla. Valmisohjelmiston kohdalla korostuu myös tietojärjestelmässä käsiteltävän informaation organisaatiolle tulevan substanssiarvon tunnistaminen, joka auttaa tietoturvan hallinnan kohdistamisessa kriittisiin osa-alueisiin.