در AdminControl ، برنامه Android و برنامه iOS ما به تازگی تأیید MASVS 2.0 را پشت سر گذاشت. و ما این کار را با تصمیم گیری در مورد الزامات امنیتی و کنترل های با استفاده از یک بازی انجام دادیم. در اینجا چگونه …
در آوریل 2023 ، OWASP نسخه v2.0.0 “استاندارد تأیید امنیت برنامه های تلفن همراه” را منتشر کرد. نسخه جدید سه سطح تأیید به نام L1 ، L2 و R. را حذف می کند. الزامات تأیید گروه کنترل امنیت به عنوان “پروفایل های آزمایش امنیتی” دوباره کار کرد و به راهنمای تست امنیت برنامه های کاربردی موبایل OWASP یا “MASTG” منتقل شد. این پروفایل ها اکنون با استاندارد NIST (انستیتوی استاندارد استاندارد و فناوری) OSCAL (زبان ارزیابی کنترل امنیت باز) مطابقت دارند. این استاندارد به همراه راهنمای تست امنیت برنامه های کاربردی موبایل OWASP (MASTG V1.7) استفاده می شود که حداقل 82 تست را انجام می دهد که یک تستر نفوذ موبایل باید انجام دهد تا تأیید کند که برنامه تلفن همراه از استاندارد MASVS پیروی می کند.
این می تواند برای هر تیم توسعه تلفن همراه بسیار زیاد باشد که بتواند تمام الزامات و تست هایی را که MASV و 575 صفحه راهنمای Mastg Long با آنها به ارمغان می آورد ، انجام دهد ، اما اگر من به شما بگویم که یک بازی برای تصمیم گیری در مورد نیازهای امنیتی اولیه ، تست ها وجود دارد و اجرای برای تصویب تأیید MASV؟
نحوه تصویب تأیید MASV با طراحی
در AdminControl ، جایی که من کار می کنم ، می خواستیم یک برنامه جدید موبایل اندرویدی را برای خدمات پورتال هیئت مدیره خود تهیه کنیم. از آنجا که ما امنیت سرویس های شبکه های خود را در برابر ASVS L2 و برنامه های تلفن همراه خود در برابر MASVS L2+R معیار می کنیم ، ما به یک روش چابک نیاز داشتیم تا اطمینان حاصل کنیم که تمام نیازهای MASVS و راهنمای کامل MASTG (که 575 صفحه طول دارد) در نظر گرفته شد. هنگام ایجاد طرح امن برای برنامه جدید موبایل. در غیر این صورت ، ما خطر ارائه یک برنامه ناامن را به کاربران آگاه امنیتی خود می کنیم و تأیید MASVS را شکست می دهیم.
خوشبختانه ما یک بازی به نام OWASP Cornucopia را کشف کرده بودیم که می تواند برای شناسایی نیاز امنیت برنامه استفاده شود ، یک طراحی امن ایجاد کرده و مدل سازی تهدید را انجام دهد. فقط یک مشکل وجود داشت. این بازی برای توسعه برنامه های موبایل منظور نشده است. 
من می دانستم که ما فقط نمی توانیم راهنمای تست امنیت برنامه کاربردی برنامه تلفن همراه 575 صفحه را در دور توسعه دهندگان برنامه های تلفن همراه حذف کنیم. با انجام این کار ، یا زمان توسعه را به طور گسترده طولانی می کند ، یا در نهایت نادیده گرفته می شود. خوشبختانه ، پروژه OWASP Cornucopia به دنبال ایجاد نسخه جدید موبایل OWASP Cornucopia بود. بنابراین من با پروژه Cornucopia OWASP که در آن Xavier Godard ابتکار ساخت نسخه جدید را گرفته بود ، در تماس بودم. در طی 3 ماه آینده ما جدید “OWASP Cornucopia – Edition App Mobile” را به پایان رساندیم. ما آن را به استاندارد تأیید امنیت برنامه تلفن همراه OWASP (MASVS V2.0) و راهنمای تست امنیت برنامه کاربردی موبایل OWASP (MASTG V1.7) نقشه برداری کردیم و شش لباس 13 کارت به علاوه دو جوکر را ایجاد کردیم که نام کت و شلوار از MASVS گرفته شده است: بسترهای نرم افزاری و کد (PC) ، احراز هویت و مجوز (AA) ، شبکه و ذخیره سازی (NS) ، انعطاف پذیری (RS) ، رمزنگاری (CRM) و Cornucopia (CM) که حاوی تهدیدات مربوط به الزامات حریم خصوصی MASVS بود ، و جایی که ما نیز به آنها اضافه کردیم کارتهای نامطبوع مربوط به بدافزار موبایل. سپس ما از بازی برای شناسایی الزامات امنیتی برنامه های موبایل ، انجام مدل سازی تهدید و تکمیل یک طرح امن برای برنامه جدید موبایل خود استفاده کردیم.
9 ماه پس از شروع برنامه کاربردی موبایل برنامه جدید موبایل ، یک شرکت خارجی آزمایش نفوذ و تأیید MASVS 2.0 را با مشخصات MAS L2+R انجام داد و تأیید کرد که برنامه تلفن همراه فقط با یک شدت کمتری از همه شرایط را تصویب کرده است بشر
اما چرا ما به این تعداد سرمایه گذاری در تلاش های فوق العاده در ایجاد یک بازی مدل سازی تهدید رفتیم؟
مدل سازی تهدید به عنوان ابزاری برای تغییر تلاش های امنیتی باقی مانده
در AdminControl ، ما مدتها در تلاش بودیم تا توسعه دهندگان را به طور فعال در جلسات مدل سازی تهدید شرکت کنند. بیشتر آنها معمولاً ساکت می ماندند ، بیش از حد خجالت می کشند تا در مکالمه شرکت کنند. آنها به شدت به ورودی مهندسان امنیتی و قهرمانان امنیتی متکی هستند تا الزامات امنیتی و کنترل های مورد نیاز را برای اجرای طراحی امنیتی و- نشانگر تدوین کنند.
آنها به ندرت در جلسات مدل سازی تهدید ابتکار عمل می کردند یا به انجام مدل سازی تهدید و جمع آوری نیاز کمک می کردند. ما همچنین دریافتیم که آزمایش کنندگان فقط روی آزمایش نیازهای عملکردی برای اجرای نرم افزار تحت آزمایش تمرکز می کنند و هرگز خود آزمایش نفوذ را انجام نمی دهند. بنابراین ما متوجه شدیم که ما باید به تیم های توسعه مجموعه ای از تهدیدها و خطرات قابل اجرا در حال حاضر تعریف شده را که می توانند از آن انتخاب کنند و در مورد آنها صحبت کنیم ، ارائه دهیم و این می تواند به عنوان محرک برای کمک به آنها در صورت نیاز به امنیت و کنترل خود باشد.
با انجام این کار ، در قالب یک بازی ، به افزایش مالکیت شرکت کنندگان در طی این روند کمک کرد ، اگرچه این کارت ها صحبت می کردند ، اما آنها کسانی بودند که در حال انتخاب ، توضیح ، امتیاز دادن به امتیاز و جلب توجه بودند.
این به طرز چشمگیری به افزایش انگیزه و مالکیت در طی فرآیند کمک کرده است و در مقیاس بندی امنیت برنامه برای شرکت هایی که توسعه نرم افزار را انجام می دهند مهم بوده است. انتخاب قهرمانان امنیتی از تیم ها دیگر دشوار نیست و مدل سازی تهدید ، برنامه ریزی و آزمایش بسیار ساده تر از گذشته است.
از آنجا که مهندسان امنیت برنامه دیگر تنگناها در فرآیندهای توسعه چابک نیستند ، مقیاس تلاش های امنیتی برنامه بسیار آسان تر شده است. Cornucopia در حال توانمندسازی و آموزش تیم های توسعه است که چگونه می توانند مدل سازی تهدید را انجام دهند ، چه چیزی را آزمایش و پیاده سازی کنند ، چه برنامه ریزی کنند و چگونه کار امنیتی را اجرا کنند. این به ما کمک می کند تا سریعتر تحویل دهیم ، تیم ها را مستقل تر کنیم و تلاش های امنیتی را به جای خود تغییر دهیم. مهندسان امنیت برنامه مورد نیاز هستند ، اما تمرکز به سمت تسهیل ، تشویق و آموزش است.
وب سایت جدید Cornucopia OWASP
این امر بیشتر با وب سایت جدید OWASP Cornucopia و کدهای -QR که اکنون راه اندازی می کنیم ساده شده است. این وب سایت به تیم های توسعه این امکان را می دهد تا خیلی راحت تر نیازهای امنیتی و کنترل های تقویت کننده روشهای امنیتی کاربردی تغییر مکان چپ و چابک را پیدا کنند. با نگاهی به آینده ، ما با استفاده از Cornucopia OWASP به همراه سایر منابع OWASP ، به تیم های توسعه قدرت خواهیم داد. ما معتقدیم که ادغام راه حل آنلاین با سایر ابزارها باعث افزایش بهره وری و سازگاری می شود. نداشتن همان اطلاعات در چندین سیستم باعث می شود تا اطلاعات صحیح و به روز نگه داشتن اطلاعات را آسان تر کنید. ما روی افزایش قابلیت همکاری بین Cornucopia OWASP و سایر پروژه های OWASP کار خواهیم کرد. با این کار ، ما همچنین به شما کمک می کنیم تا تلاش های امنیتی برنامه خود را مقیاس بندی کرده و تیم های توسعه عملکردی صلیب چابک خود را توانمند سازیم و ما به دنبال دیگران هستیم که دوست دارند در سفر ما شرکت کنند.
ما به دنبال پشتیبانی شما هستیم
OWASP Cornucopia در مورد جامعه است. ما بدون کمک همه افرادی که از OWASP Cornucopia پشتیبانی کرده اند به هیچ کجا نرسیده ایم به همین دلیل است که ، هنگام تهیه نسخه اول OWASP Cornucopia ، کالین واتسون اگرچه این ایده عالی خواهد بود اگر بازیگران تهدید در آن باشند. این کارت ها از اعضای و کارمندان بنیاد OWASP نام داشتند. نسخه برنامه تلفن همراه از آن سنت پیروی می کند. به همین دلیل است که ما نام های بازیگر تهدید را انتخاب کردیم ، برای سناریوهای تهدید روی کارت ها ، از هیئت مدیره جهانی OWASP ، کارمندان OWASP ، اعضای پروژه و رهبران فصل OWASP از سراسر جهان ، اما ما هنوز به حمایت شما احتیاج داریم. ما به دنبال داوطلبانی هستیم که مایلند به ما در بهبود وب سایت جدید کمک کنند و مایل به ترجمه این مواد به زبان های مختلف برای اطمینان از توسعه دهندگان که انگلیسی به عنوان زبان مادری خود ندارند ، نیازهای امنیتی و کنترل های ارائه شده را درک می کنند آنها ما همچنین به دنبال ایده ها و کمک به حفظ و بهبود وب سایت جدید هستیم تا اطمینان حاصل شود که به ابزاری ارزشمند برای همه افراد که به دنبال حل چالش های امنیتی برنامه هستند ، تبدیل می شود.
بیاموزید که چگونه Cornucopia OWASP را بازی کنید:
https://www.youtube.com/watch؟v=xxtpxozihow
OWASP یک بنیاد غیرانتفاعی است که دنیایی را بدون نرم افزار ناامن تر پیش بینی می کند. مأموریت ما این است که جامعه جهانی باز باشد که از طریق آموزش ، ابزارها و همکاری ، نرم افزار را تأمین می کند. ما صدها پروژه منبع باز را حفظ می کنیم ، کنفرانس های آموزشی و آموزشی پیشرو در صنعت را اجرا می کنیم و از طریق بیش از 250 فصل در سراسر جهان ملاقات می کنیم.
