Hackers view, hands on web hacking
Pogled na situaciju u online svetu
Nova lansiranja Web sajtova postala su svakodnevnica, milioni linija koda pretvaraju se u aplikacije konstantno, nove Web tehnologije kreiraju se i prilagođavaju brže nego ikada. Kao rezultat, nove tehnike napada objavljuju se neprestano i samim tim predstavljaju stalni rizik za bilo koji online biznis. Internet kriminalci i drugi maliciozni korisnici koriste prednost ove brze rastuće podloge za napade kako bi što lakše dostigli svoje ciljeve. U svetu gde se svaki korisnik može priključiti na bilo koji uređaj ili aplikaciju bez obzira na geografsku širinu i dužinu, i da potpuno upravlja svim resursima od vitalne vrednosti, ovakva konstantna trka za pravovremenom zaštitom nije nimalo naivna.
Website security nije tema koja može da se obradi u jednoj prezentaciji ili tekstu, to je složen proces koji zahteva detaljno praćenje svih koraka od samog razvoja ideje pa sve do krajnje komunikacije sa korisnikom. Ono što možemo da uradimo kako bi započeli ovaj složeni proces to je da se što bolje edukujemo o potencijalnim pretnjama i načinima zaštite. Kako bi ostali bezbedni, korporacije i druga udruženja moraju imati pravovremene informacije o tome kako najefikasnije da brane svoje resurse, moraju imati informacije o performansama svojih rešenja zaštite kao i uporedne podatke drugih rešenja.
Nebitno je da li ste pročitali izveštaje poznatih kompanija kao što su: Verizion Data Breach Incident Response, Trustwave Global Security Report ili Symantec Internet Security Report u svakom od njih piše da su web aplikacije i web sajtovi jedni od vodećih meta sajber napada. Ovo je situacija već duži niz godina, napadi dovode do finansiskih prevara, krađe indentiteta, gubitka klijenata, pravnih tužbi i mnogih drugih problema. Dodavanjem novih rešenja za poboljšanje bezbednosti kao što su: Firewall, Intrusion Detection System, Intrusion Prevention System, ili bilo kog drugog kombinovanog security uređaja nećemo mnogo unaprediti naše trenutno stanje i oblast napada. Web tehnike zaobilaze ove načine prevencije i detekcije napada.
Ako sagledamo bolje situaciju videćemo da su web aplikacije, web servisi i web sajtovi isto tako ranjivi kao i juče, i da naš problem nije u security aplikacijama i uređajima već u nebezbednom kodu. I opet se vraćamo na to da trebamo krenuti od edukacije i da naš fokus usmerimo ka boljem razumevanju naših problema.
Najčešči oblici napada na Web resurse
OWASP (The Open Web Application Security Project) je globalna neprofitabilna organizacija koja se bavi unapređivanjem bezbednosti aplikacija. U sklopu svojih aktivnosti ova organizacija održava projekat pod imenom “OWASP TOP TEN” u kome su predstavljene najčešće metode eksploatacije sistema. U kratkim crtama predstavićemo svaku od njih:
Injection
Ovaj tip napada omogućava ubacivanje malicioznog koda u sklopu samih podataka tako da ih interpreter koji je zadužen za njihovu obradu “vidi” kao programske naredbe. Ovim putem moguće je skrenuti tok izvršavanja programa, ubaciti nove naredbe ili omogućiti neku novu funkciju na sistemu radi dalje eksploatacije. Jedan ovakav napad mogao bi da ugrozi kompletnu bazu klijenata nekog online biznisa.
Primer: Napadač je pronašao svoju metu, online shop na kome korisnici mogu da nabave egzotične PC komponente. Prvi korak napadača je da izvrši pasivnu analizu mete kako bi došao do delova slagalice koja vodi do skrivenog ulaza u bazu podataka. Primenjujući alate za analizu HTTP saobraćaja i za traženje uobičajnih naziva fajlova na sistemu napadač pronalazi skrivene fajlove i foldere koji prijavljuju razne greške na sistemu. Svi pomenuti alati su javno dostupni i između ostalog mogu se naći i na besplatnoj Linux distribuciju za testiranje bezbednosti sistema BackTrack. Jedna od pomenutih grešaka je odziv baze podataka. Koristeći alate za manipulaciju SQL upita poput alata SQL Map napadač kreira sekvence napada sa ciljem pronalaženja kombinacije komandi kako bi napravio pravilan ali izmenjen upit ka bazi. Nakon pronalaženja uspešne kombinacije napadač primenjuje tehniku BLIND SQL Injection napada kako bi pristupio svim podacima u sistemu.
Broken Authentication and Session Management
Primarni cilj eksploatacije ove ranjivosti je predstavljanje napadača kao validnog korisnika sistema. Potencijalni napadač ima više opcija do kojih može doći u posed kredencijala, korisnickih indentifikacija i sesija. U nekim slučajevima napadači čak i ne moraju da pronalaze validne podatke, dovoljno je samo da iskoriste propust u funkcijama sistema koje su zadužene za upravljanje autentifikacijom i korisničkim sesijama.
Primer: Napadač je pronašao svoju metu, online shop na kome korisnici mogu da nabave egzotične PC komponente. Prvi korak napadača je da izvrši pasivnu analizu mete kako bi došao do delova slagalice koja vodi do skrivenog ulaza u aplikaciju. Napadač pokušava da pronađe validnu kombinaciju kredencijala koristeći javno dostupne alate za testiranje login stranica. Nakon pasivne analize i pronalaženja korisničkih email adresa i imena napadač kreira liste lozinki i pokušava da bruteforce metodama pronađe pravu kombinaciju. Za precizno kreiranje šifri koristi program pod imenom CUPS.
Druga tehnika koju vešti napadači mogu da primene je krađa sesija. Napadač je primetio da u URL'ovima ostaju podaci o korisničkoj sesiji, i ukoliko bi uspeo da otkrije validan podataka o korisničkoj sesiji uspeo bi da imitira određenog korisnika. Koristeći formu za komentare, napadač ostavlja link do malicioznog web sajta na kome će sakupljati REFERER podatke, i u kojima će se potencijalno nalaziti podaci o sesijama. Nakon dovoljnog prikupljanja podataka napadač kreće u akciju simulacije sesije drugog korisnika koristeći dodatne ektenzije u internet pretraživačima kao što je Web Developer i Tamper Data.
Cross-Site Scripting (XSS)
Tehnike napada u kojima korisnici mogu da ubace bilo koji HTML ili skript kod u već neku postojeću web stranicu ili aplikaciju i da na taj način izmene njeno prvobitno stanje i funkcionalnosti, koriste se za eksploataciju XSS ranjivosti.
Primer: Napadač je pronašao svoju metu, online shop na kome korisnici mogu da nabave egzotične PC komponente. Prvi korak napadača je da izvrši pasivnu analizu mete kako bi došao do delova slagalice koja vodi do skrivenog ulaza u aplikaciju ili do podataka krajnih korisnika. Isprobavanjem specijalnih konstrukcija HTML i script koda napadač pronalazi XSS ranjivost. Da bi što efikasnije iskoristio ovu ranjivosti napadač kreira maliciozni web server koji imitira postojeći web sajt. Koristeći SET (Social Engineer Toolkit) i Metasploit okruženje napadač postavlja malicioznu platformu za kontrolu krajnjih korisnika nakon redirekcije na maliciozni web sajt. Koristeći XSS ranjivost napadač preusmerava sve klijente na svoju stranicu, preuzima im kredencijale i koristeći Metasploit automatizovane alate za eksploataciju pristupa sistemu krajnjih korisnika.
Insecure Direct Object References and Missing Function Level Access Control
Sve više aplikacija zahteva razdvajanje korisničkih interfejsa na mnogo korisničkih rola i privilegija. Osobe zadužene za kreiranje ovakvih aplikacija često koriste jednostavne i lako dostupne tehnike za sakrivanje funkcija od korisnika, kao što su sakrivanje putem CSS stilova ili koristeći HTML atribute za isključivanje određenih elemenata. Takođe često se dešava da se izbor opcija između administratora i običnog korisnika razlikuje samo u prefiksu. Iskusni napadači ovakve previde mogu da iskoriste za pristup fukcijama sistema koje nisu predviđene za upotrebu.
Primer: Napadač je pronašao svoju metu, online shop na kome korisnici mogu da nabave egzotične PC komponente. Prvi korak napadača je da izvrši pasivnu analizu mete kako bi došao do delova slagalice koja vodi do skrivenog ulaza u aplikaciju ili do podataka administratora. Napadač je registrovao demo nalog sa najnižim privilegijama i pokušava da pasivnom analizom dođe do tragova koji vode ka administratoskim funkcijama. Nekoliko tragova omogućava kreiranje URL adresa koje administratori koriste za listanje korisnika kao i za menjanje njihovih atributa. Iskusni napadač koristi ove mogućnosti za dobijanje administratorskih privilegija.
Security Misconfiguration, Sensitive Data Exposure and Using Known Vulnerable Components
Propusti koju se tiču nepravilnog podešavanja resursa ili otkrivanja na prvi pogled bezazlenih informacija mogu da naprave daleko veće probleme nego što nam se to čini na prvi pogled. Ono što je još opasnije je to što se ovakvi propusti javljaju u svim stadijumima razvoja nekog rešenja i potrebno je uključiti ceo IT tim kako bi se izvršila prevencija.
Primer: Napadač je pronašao svoju metu, online shop na kome korisnici mogu da nabave egzotične PC komponente. Prvi korak napadača je da izvrši pasivnu analizu mete kako bi došao do delova slagalice koja vodi do skrivenog ulaza u aplikaciju ili do podataka administratora. Koristeći alate poput Nikto ili Nessus skenera napadač otkriva da aplikacija koja podržava online shop nije zapravo ta za koju se predstavlja. Do ovog propusta došlo je usled nepravilne konfiguracije WAF (Web Applicatio Firewall) i sada napadač može doći do vitalnih podataka o samoj aplikaciji za koju se ispostavilo da postoji javno dostupan eksploit koji omogućava upload izvršnih fajlova. Napadač koristi ovu mogućnost i postavlja svoj backdoor na web server aplikacije.
Cross-Site Request Forgery (CSRF) and Unvalidated Redirects and Forwards
Nekada je najjednostavniji način eksploatacije zamoliti nekoga sa dovoljno visokim privilegijama da odradi akciju umesto napadača. Napadi koji omogućavaju upravljanje udaljenim resursima kroz tuđe korisničke sesije ili napadi koji su proistekli usled nepravilnog korišćenja sistema za rutiranje zahteva su upravo napadi koji koriste unakrsno kreiranje HTTP zahteva.
Primer: Napadač je pronašao svoju metu, online shop na kome korisnici mogu da nabave egzotične PC komponente. Prvi korak napadača je da izvrši pasivnu analizu mete kako bi došao do delova slagalice koja vodi do skrivenog ulaza u aplikaciju ili do funkcionalnosti administratora. Na detaljima svakog artikla u našem demo okruženju postoji link za redirekciju na spoljašne veze. Koristeći ovu mogućnost napadač priprema napad na administratora sistema tako što sakriva komandu za kreiranje korisnika u okviru URL adrese za redirekciju i šalje je administratoru putem sistema za prijavu neispravnih linkova. Administrator vidi da je link ispravan jer stiže sa njegovog web sajta i pokušava da ga poseti. Nakon klika izvršava se i maliciozna komanda i samim tim napadač postoje administrator.
Odakle krenuti sa ispravljanjem grešaka
Kako bi ubuduće mogli da se izborimo sa svim oblicima napada i greškama koje se nalaze u našim sistemima potrebno je detaljno razumemo sve posledice naših akcija kao i da bolje razumemo same načine eksploatacije sistema. Na ovaj način, edukacijom, moćićemo da pišemo bezbednije aplikacije i da pravovremeno sankcionišemo sve moguće pretnje. Potrebno je izbaciti naviku “već proverenih rešenja” i pristupiti detaljnoj analizi našeg okruženja. Ako imamo pravovremene informacije o stanju sistema, stepenu razvoja aplikacije, statističkim podacima o suzbijanju napada primenom određene tehnike ili rešenja onda zaista možemo i da napravimo pravi korak ka bezbednom okruženju. Osnovi koraci ka primeni Security Development Lifecycle programa su veoma jednostavni:
· Odrediti osobe odgovorne za praćenje ugroženosti sistema kao i za sprovođenje pravovremenih akcija i rešenja
· Napraviti listu svih potencijalno ugroženih resursa sa prioritetima; na taj način štedimo vreme potrebno za organizaciju zadataka
· Izvršiti merenje trenutnog stanja sistema, izvršiti popisivanje trenutnih i prethodnih ranjivosti, izračunati rizik koji nastaje eksploatacijom ovih ranjivosti
· Vršiti svakodnevno merenje novonastalih ranjivosti u odnosu na primenjena rešenja i na osnovu ovih podataka optimizovati dalje korake
· Napraviti brz i efikasan tim koji može da na pravi način reaguje u slučaju incidenta
Nova lansiranja Web sajtova postala su svakodnevnica, milioni linija koda pretvaraju se u aplikacije konstantno, nove Web tehnologije kreiraju se i prilagođavaju brže nego ikada. Kao rezultat, nove tehnike napada objavljuju se neprestano i samim tim predstavljaju stalni rizik za bilo koji online biznis. Internet kriminalci i drugi maliciozni korisnici koriste prednost ove brze rastuće podloge za napade kako bi što lakše dostigli svoje ciljeve. U svetu gde se svaki korisnik može priključiti na bilo koji uređaj ili aplikaciju bez obzira na geografsku širinu i dužinu, i da potpuno upravlja svim resursima od vitalne vrednosti, ovakva konstantna trka za pravovremenom zaštitom nije nimalo naivna.
Website security nije tema koja može da se obradi u jednoj prezentaciji ili tekstu, to je složen proces koji zahteva detaljno praćenje svih koraka od samog razvoja ideje pa sve do krajnje komunikacije sa korisnikom. Ono što možemo da uradimo kako bi započeli ovaj složeni proces to je da se što bolje edukujemo o potencijalnim pretnjama i načinima zaštite. Kako bi ostali bezbedni, korporacije i druga udruženja moraju imati pravovremene informacije o tome kako najefikasnije da brane svoje resurse, moraju imati informacije o performansama svojih rešenja zaštite kao i uporedne podatke drugih rešenja.
Nebitno je da li ste pročitali izveštaje poznatih kompanija kao što su: Verizion Data Breach Incident Response, Trustwave Global Security Report ili Symantec Internet Security Report u svakom od njih piše da su web aplikacije i web sajtovi jedni od vodećih meta sajber napada. Ovo je situacija već duži niz godina, napadi dovode do finansiskih prevara, krađe indentiteta, gubitka klijenata, pravnih tužbi i mnogih drugih problema. Dodavanjem novih rešenja za poboljšanje bezbednosti kao što su: Firewall, Intrusion Detection System, Intrusion Prevention System, ili bilo kog drugog kombinovanog security uređaja nećemo mnogo unaprediti naše trenutno stanje i oblast napada. Web tehnike zaobilaze ove načine prevencije i detekcije napada.
Ako sagledamo bolje situaciju videćemo da su web aplikacije, web servisi i web sajtovi isto tako ranjivi kao i juče, i da naš problem nije u security aplikacijama i uređajima već u nebezbednom kodu. I opet se vraćamo na to da trebamo krenuti od edukacije i da naš fokus usmerimo ka boljem razumevanju naših problema.
Najčešči oblici napada na Web resurse
OWASP (The Open Web Application Security Project) je globalna neprofitabilna organizacija koja se bavi unapređivanjem bezbednosti aplikacija. U sklopu svojih aktivnosti ova organizacija održava projekat pod imenom “OWASP TOP TEN” u kome su predstavljene najčešće metode eksploatacije sistema. U kratkim crtama predstavićemo svaku od njih:
Injection
Ovaj tip napada omogućava ubacivanje malicioznog koda u sklopu samih podataka tako da ih interpreter koji je zadužen za njihovu obradu “vidi” kao programske naredbe. Ovim putem moguće je skrenuti tok izvršavanja programa, ubaciti nove naredbe ili omogućiti neku novu funkciju na sistemu radi dalje eksploatacije. Jedan ovakav napad mogao bi da ugrozi kompletnu bazu klijenata nekog online biznisa.
Primer: Napadač je pronašao svoju metu, online shop na kome korisnici mogu da nabave egzotične PC komponente. Prvi korak napadača je da izvrši pasivnu analizu mete kako bi došao do delova slagalice koja vodi do skrivenog ulaza u bazu podataka. Primenjujući alate za analizu HTTP saobraćaja i za traženje uobičajnih naziva fajlova na sistemu napadač pronalazi skrivene fajlove i foldere koji prijavljuju razne greške na sistemu. Svi pomenuti alati su javno dostupni i između ostalog mogu se naći i na besplatnoj Linux distribuciju za testiranje bezbednosti sistema BackTrack. Jedna od pomenutih grešaka je odziv baze podataka. Koristeći alate za manipulaciju SQL upita poput alata SQL Map napadač kreira sekvence napada sa ciljem pronalaženja kombinacije komandi kako bi napravio pravilan ali izmenjen upit ka bazi. Nakon pronalaženja uspešne kombinacije napadač primenjuje tehniku BLIND SQL Injection napada kako bi pristupio svim podacima u sistemu.
Broken Authentication and Session Management
Primarni cilj eksploatacije ove ranjivosti je predstavljanje napadača kao validnog korisnika sistema. Potencijalni napadač ima više opcija do kojih može doći u posed kredencijala, korisnickih indentifikacija i sesija. U nekim slučajevima napadači čak i ne moraju da pronalaze validne podatke, dovoljno je samo da iskoriste propust u funkcijama sistema koje su zadužene za upravljanje autentifikacijom i korisničkim sesijama.
Primer: Napadač je pronašao svoju metu, online shop na kome korisnici mogu da nabave egzotične PC komponente. Prvi korak napadača je da izvrši pasivnu analizu mete kako bi došao do delova slagalice koja vodi do skrivenog ulaza u aplikaciju. Napadač pokušava da pronađe validnu kombinaciju kredencijala koristeći javno dostupne alate za testiranje login stranica. Nakon pasivne analize i pronalaženja korisničkih email adresa i imena napadač kreira liste lozinki i pokušava da bruteforce metodama pronađe pravu kombinaciju. Za precizno kreiranje šifri koristi program pod imenom CUPS.
Druga tehnika koju vešti napadači mogu da primene je krađa sesija. Napadač je primetio da u URL'ovima ostaju podaci o korisničkoj sesiji, i ukoliko bi uspeo da otkrije validan podataka o korisničkoj sesiji uspeo bi da imitira određenog korisnika. Koristeći formu za komentare, napadač ostavlja link do malicioznog web sajta na kome će sakupljati REFERER podatke, i u kojima će se potencijalno nalaziti podaci o sesijama. Nakon dovoljnog prikupljanja podataka napadač kreće u akciju simulacije sesije drugog korisnika koristeći dodatne ektenzije u internet pretraživačima kao što je Web Developer i Tamper Data.
Cross-Site Scripting (XSS)
Tehnike napada u kojima korisnici mogu da ubace bilo koji HTML ili skript kod u već neku postojeću web stranicu ili aplikaciju i da na taj način izmene njeno prvobitno stanje i funkcionalnosti, koriste se za eksploataciju XSS ranjivosti.
Primer: Napadač je pronašao svoju metu, online shop na kome korisnici mogu da nabave egzotične PC komponente. Prvi korak napadača je da izvrši pasivnu analizu mete kako bi došao do delova slagalice koja vodi do skrivenog ulaza u aplikaciju ili do podataka krajnih korisnika. Isprobavanjem specijalnih konstrukcija HTML i script koda napadač pronalazi XSS ranjivost. Da bi što efikasnije iskoristio ovu ranjivosti napadač kreira maliciozni web server koji imitira postojeći web sajt. Koristeći SET (Social Engineer Toolkit) i Metasploit okruženje napadač postavlja malicioznu platformu za kontrolu krajnjih korisnika nakon redirekcije na maliciozni web sajt. Koristeći XSS ranjivost napadač preusmerava sve klijente na svoju stranicu, preuzima im kredencijale i koristeći Metasploit automatizovane alate za eksploataciju pristupa sistemu krajnjih korisnika.
Insecure Direct Object References and Missing Function Level Access Control
Sve više aplikacija zahteva razdvajanje korisničkih interfejsa na mnogo korisničkih rola i privilegija. Osobe zadužene za kreiranje ovakvih aplikacija često koriste jednostavne i lako dostupne tehnike za sakrivanje funkcija od korisnika, kao što su sakrivanje putem CSS stilova ili koristeći HTML atribute za isključivanje određenih elemenata. Takođe često se dešava da se izbor opcija između administratora i običnog korisnika razlikuje samo u prefiksu. Iskusni napadači ovakve previde mogu da iskoriste za pristup fukcijama sistema koje nisu predviđene za upotrebu.
Primer: Napadač je pronašao svoju metu, online shop na kome korisnici mogu da nabave egzotične PC komponente. Prvi korak napadača je da izvrši pasivnu analizu mete kako bi došao do delova slagalice koja vodi do skrivenog ulaza u aplikaciju ili do podataka administratora. Napadač je registrovao demo nalog sa najnižim privilegijama i pokušava da pasivnom analizom dođe do tragova koji vode ka administratoskim funkcijama. Nekoliko tragova omogućava kreiranje URL adresa koje administratori koriste za listanje korisnika kao i za menjanje njihovih atributa. Iskusni napadač koristi ove mogućnosti za dobijanje administratorskih privilegija.
Security Misconfiguration, Sensitive Data Exposure and Using Known Vulnerable Components
Propusti koju se tiču nepravilnog podešavanja resursa ili otkrivanja na prvi pogled bezazlenih informacija mogu da naprave daleko veće probleme nego što nam se to čini na prvi pogled. Ono što je još opasnije je to što se ovakvi propusti javljaju u svim stadijumima razvoja nekog rešenja i potrebno je uključiti ceo IT tim kako bi se izvršila prevencija.
Primer: Napadač je pronašao svoju metu, online shop na kome korisnici mogu da nabave egzotične PC komponente. Prvi korak napadača je da izvrši pasivnu analizu mete kako bi došao do delova slagalice koja vodi do skrivenog ulaza u aplikaciju ili do podataka administratora. Koristeći alate poput Nikto ili Nessus skenera napadač otkriva da aplikacija koja podržava online shop nije zapravo ta za koju se predstavlja. Do ovog propusta došlo je usled nepravilne konfiguracije WAF (Web Applicatio Firewall) i sada napadač može doći do vitalnih podataka o samoj aplikaciji za koju se ispostavilo da postoji javno dostupan eksploit koji omogućava upload izvršnih fajlova. Napadač koristi ovu mogućnost i postavlja svoj backdoor na web server aplikacije.
Cross-Site Request Forgery (CSRF) and Unvalidated Redirects and Forwards
Nekada je najjednostavniji način eksploatacije zamoliti nekoga sa dovoljno visokim privilegijama da odradi akciju umesto napadača. Napadi koji omogućavaju upravljanje udaljenim resursima kroz tuđe korisničke sesije ili napadi koji su proistekli usled nepravilnog korišćenja sistema za rutiranje zahteva su upravo napadi koji koriste unakrsno kreiranje HTTP zahteva.
Primer: Napadač je pronašao svoju metu, online shop na kome korisnici mogu da nabave egzotične PC komponente. Prvi korak napadača je da izvrši pasivnu analizu mete kako bi došao do delova slagalice koja vodi do skrivenog ulaza u aplikaciju ili do funkcionalnosti administratora. Na detaljima svakog artikla u našem demo okruženju postoji link za redirekciju na spoljašne veze. Koristeći ovu mogućnost napadač priprema napad na administratora sistema tako što sakriva komandu za kreiranje korisnika u okviru URL adrese za redirekciju i šalje je administratoru putem sistema za prijavu neispravnih linkova. Administrator vidi da je link ispravan jer stiže sa njegovog web sajta i pokušava da ga poseti. Nakon klika izvršava se i maliciozna komanda i samim tim napadač postoje administrator.
Odakle krenuti sa ispravljanjem grešaka
Kako bi ubuduće mogli da se izborimo sa svim oblicima napada i greškama koje se nalaze u našim sistemima potrebno je detaljno razumemo sve posledice naših akcija kao i da bolje razumemo same načine eksploatacije sistema. Na ovaj način, edukacijom, moćićemo da pišemo bezbednije aplikacije i da pravovremeno sankcionišemo sve moguće pretnje. Potrebno je izbaciti naviku “već proverenih rešenja” i pristupiti detaljnoj analizi našeg okruženja. Ako imamo pravovremene informacije o stanju sistema, stepenu razvoja aplikacije, statističkim podacima o suzbijanju napada primenom određene tehnike ili rešenja onda zaista možemo i da napravimo pravi korak ka bezbednom okruženju. Osnovi koraci ka primeni Security Development Lifecycle programa su veoma jednostavni:
· Odrediti osobe odgovorne za praćenje ugroženosti sistema kao i za sprovođenje pravovremenih akcija i rešenja
· Napraviti listu svih potencijalno ugroženih resursa sa prioritetima; na taj način štedimo vreme potrebno za organizaciju zadataka
· Izvršiti merenje trenutnog stanja sistema, izvršiti popisivanje trenutnih i prethodnih ranjivosti, izračunati rizik koji nastaje eksploatacijom ovih ranjivosti
· Vršiti svakodnevno merenje novonastalih ranjivosti u odnosu na primenjena rešenja i na osnovu ovih podataka optimizovati dalje korake
· Napraviti brz i efikasan tim koji može da na pravi način reaguje u slučaju incidenta