微软SDL 软件安全设计初窥

SDL-软件安全设计初窥 — safer applications begin with secure design — Cryin@insight-labs.org 摘要：本文详细介绍微软软件安全开发生命周期（SDL）相关概念，并讨论要遵循 SDL 过程所应执行的各种安全活动，其中着重对软件安全设计的原则进行探讨。并对 STRIDE 威胁建模方法进行深入介绍。安全开发生命周期（SDL）是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。安全应用从安全设计开始，软件的安全问题很大一部分是由于不安全的设计而引入的，微软用多年的经验总结出了安全开发生命周期（SDL），并提出了攻击面最小化、STRIDE 威胁建模等多种方法辅助安全人员对软件进行安全设计。安全设计对于软件安全的重要性尤为可见。第 1页共 12页一. 前言 1.1 SDL 介绍安全开发生命周期（SDL）即 Security Development Lifecycle，是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。自 2004 年起，微软将 SDL 作为全公司的计划和强制政策，SDL 的核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动，以减少软件中漏洞的数量并将安全缺陷降低到最小程度。安全开发生命周期 (SDL)1 是侧重于软件开发的安全保证过程，旨在开发出安全的软件应用。 1.2 SDL 安全活动简单来说，SDL 是微软提出的从安全角度指导软件开发过程的管理模式，在传统软件开发生命周期 (SDLC) 的各个阶段增加了一些必要的安全活动，软件开发的不同阶段所执行的安全活动也不同，每个活动就算单独执行也都能对软件安全起到一定作用。当然缺少特定的安全活动也会对软件的安全性带来影响。图 1：微软 SDL 安全活动简图我曾今有幸参加过微软安全专家 Michael Howard 及 Taha Mir 关于 SDL 及威胁建模的培训，作为《软件安全开发生命周期》一书的作者，Michael Howard 不只一次强调，安全培训是 SDL 最核心的概念，软件是由设计人员设计，代码是有开发人员编写。同样，大部分软件本身的安全漏洞也是由设计及编码人员引入，所以对软件开发过程中的技术人员进行安全培训这点至关重要。 1 https://www.microsoft.com/en-us/SDL/process/design.aspx 第 2页共 12页可以看到在整个 SDL 周期中，除了安全培训这项活动，还在软件发布后增加了安全应急响应的相关活动，而目前国内大多数公司目前已经基本上具备了安全应急响应的活动和职能部门，同时包括安全编码规范、代码审计、渗透测试等安全活动也都已经基本具备甚至个别企业已经比较成熟。但在软件设计阶段的安全活动则相对较少，据我了解仅个别大型跨国企业才拥有安全设计等相关的安全活动。而根据微软多年的实践和经验，软件的安全问题很大一部分是由于不安全的设计而引入的。在设计阶段造成的安全缺陷在后期修复的成本和时间都相对较高。STRIDE 威胁建模的创始人之一 Taha Mir 曾说过“safer applications begin with secure design”，即安全应用从安全设计开始，相应的微软 SDL 也提出了若干核心的安全设计原则，并提出了如攻击面最小化、STRIDE 威胁建模等多种方法辅助安全人员对软件进行安全设计，本文就针对当前国内企业在软件设计阶段安全活动发展相对欠缺的安全设计进行探讨。二. 安全设计核心原则 SDL 安全设计核心原则:  Attack Surface Reduction：攻击面最小化  Basic Privacy: 基本隐私  Least Privilege: 权限最小化  Secure Defaults: 默认安全  Defense in Depth：纵深防御  Threat Modeling：威胁建模 2.1 攻击面最小化攻击面是指程序任何能被用户或者其它程序所访问到的部分，这些暴露给用户的地方往往也是最可能被恶意攻击者攻击的地方。攻击面最小化即是指尽量减少暴露恶意用户可能发现并试图利用的攻击面数量。软件产品的受攻击面是一个混合体，不仅包括代码、接口、服务，也包括对所有用户提供服务的协议。尤其是那些未被验证或者远程的用户都可以访问到第 3页共 12页的协议，安全人员在攻击面最小化时首先要对攻击面进行分析，攻击面分析就是枚举所有访问入库、接口、协议一剂可执行代码的过程，从高层次来说，攻击面分析着重于:  降低默认执行的代码量  限制可访问到代码的人员范围  限定可访问到代码的人员身份  降低代码执行所需权限常见的攻击面分析技巧如下表: Higher Attack Surface Lower Attack Surface On by default Off by default Open socket Close socket UDP TCP Anonymous access Authenticated user access Constantly on On as needed Internet accessible Local subnet accessible 表 1 攻击面分析常用技巧攻击面最小化在微软的应用实践示例: Windows RPC 需要认证、防火墙默认打开 iis6.0、7.0 使用 Network service 权限运行，默认关闭. Sql server 2005 xp_cmdshell 存储过程默认关闭，默认不开放远程链接 /2008 VS2005/2008 Web server 和 sql server 默认仅本地访问表 2 攻击面最小化微软实践示例 2.2 基本隐私用户使用软件时无可避免个人信息被收集、使用甚至分发，企业则有责任和义务建立保护个人信息的保护措施，抵御敌对攻击行为，确保用户基本隐私的安全性。隐私安全是建立可信任应用程序的关键因素。第 4页共 12页在软件设计时考虑用户基本隐私的必要性及意义有:  履行法律规定和义务  增加客户的信赖  防止堵塞部署对于特殊的软件或者全球性的产品，设计人员需要明确软件的行为及针对人群。尤其要考虑当地国家的法律法规，如美国儿童网路隐私保护法 COPPA(Children's Online Privacy Protection Act)等，企业在开发产品、服务时有必要制定明确的隐私准则，对获取、记录用户隐私的相关产品需有明确的要求和指导建议。 Tips:  只收集程序必须用到的隐私数据，并明确告知用户并征得用户同意;  微软对于用户隐私数据如密码、口令等均需要加密存储，最低要求是 sha256+salt，对于更高要求的则使用 PBKDF2 算法加密存储; 2.3 权限最小化如果一个应用程序或网站被攻击、破坏，权限最小化机制能够有效的将潜在损害最小化。常见的权限最小化实践如:  普通管理员/系统管理员等角色管理  文件只读权限/文件访问权限等访问控制  进程/服务以所需最小用户权限运行在进行软件设计时，安全设计人员可以评估应用程序的行为及功能所需的最低限度权限及访问级别，从而合理分配相应的权限。如果程序特定情况必须要较高级别的权限，也可以考虑特权赋予及释放的机制。即便程序遭到攻击，也可以将损失降到最低。 Tips:  Windows 系统中网络进程、本地服务、用户进程的权限都较低且互相独立，分别为 NETWORK SERVICE、LOCAL SERVICE、user 权限，只有核心的重要进程实用 SYSTEM 权限; 第 5页共 12页  最新版本的 Office 程序打开不可信来源的文档时，默认时不可编辑的，同时也是默认不可执行代码的，即使存在缓冲区溢出漏洞，也不会执行 shellcode 等恶意代码; 2.4 默认安全默认安全配置在客户熟悉安全配置选项之前不仅有利于更好的帮助客户掌握安全配置经验，同时也可以确保应用程序初始状态下处于较安全状态。而客户可根据实际使用情况而决定应用程序安全与隐私的等级水平是否降低。 Tips:  在 Win 7 之后的 Windows 操作系统中，DEP(数据执行保护)默认是开启的。用户可设置选项改变 DEP 的状态;  Win 10 默认启用安全防护软件 Windows Defender，用户可选择关闭; 2.5 纵深防御与默认安全一样，纵深防御也是设计安全方案时的重要指导思想。纵深防御包含两层含义：首先，要在各个不同层面、不同方面实施安全方案，避免出现疏漏，不同安全方案之间需要相互配合，构成一个整体；其次，要在正确的地方做正确的事情，即：在解决根本问题的地方实施针对性的安全方案。纵深防御并不是同一个安全方案要做两遍或多遍，而是要从不同的层面、不同的角度对系统做出整体的解决方案。 Tips:  针对 XSS 的防护，除了要对用户输入的特殊符号进行过滤，还要区分是否是富文本进而进行相应编码操作，在输入时过滤的同时在输出时也进行过滤操作。  即使做了十足的过滤、编码等安全防护，为了更一步确保缓解 XSS 攻击， Internet Explorer 6 SP1 为 Cookie 引入了一个新属性，这个属性规定，不许通过脚本访问 cookie。Web 站点程序对 Cookie 启用 HTTP-Only 第 6页共 12页属性后，可确保即使发生 XSS 攻击，也可以阻止通过脚本访问 Cookie 的操作。 2.6 威胁建模威胁建模是一种分析应用程序威胁的过程和方法。这里的威胁是指恶意用户可能会试图利用以破坏系统，和我们常说的漏洞并不相同。漏洞是一个特定的可以被利用的威胁，如缓冲区溢出、sql 注入等。作为 SDL 设计阶段的一部分安全活动，威胁建模允许安全设计人员尽在的识别潜在的安全问题并实施相应缓解措施。在设计阶段把潜在的威胁发现有助于威胁的全面和更有效的解决，同时也有助于降低开发和后期维护的成本。威胁建模的一般流程如下:  与系统架构师及设计人员沟通，了解设计详情  使用成熟的威胁建模方法分析当前设计潜在的安全问题  提出安全建议及对潜在威胁的缓解措施  对安全设计进行验证并对整个设