Scribd Logo
Unggah

Selamat datang di Scribd!

  • 2016 09 25 Laboratorio Modelado Amenazas V2

    Diunggah oleh

    Gustavo Barreiro
    806 tayangan21 halaman
    Tranjo de unir

    Judul Asli

    2016+09+25+Laboratorio+Modelado+Amenazas+V2

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini
    Tranjo de unir

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    806 tayangan21 halaman

    2016 09 25 Laboratorio Modelado Amenazas V2

    Diunggah oleh

    Gustavo Barreiro
    Tranjo de unir

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 21

    Seguridad del Software

    Javier Bermejo Higuera

    Modelado de Amanzas)
    INDICE

    Introduccin.
    Tipos de Modelado de Amenazas.
    Metodologas de Modelado de Amenazas.
    Herramienta de Modelado de Amenazas
    Conclusiones
    Trabajo
    Preguntas.

    Seguridad del Software- Javier Bermejo Higuera


    INTRODUCCION
    MODELADO DE AMENAZAS
    Una amenaza para una aplicacin sistema software es
    cualquier actor, agente, circunstancia o evento que tiene el
    potencial de causarle dao o a los datos o recursos que tiene o
    permite el acceso.

    Categora de Descripcin Propiedad


    amenaza comprometida
    Sabotaje La ejecucin del software se suspende o termina, o su Disponibilidad
    funcionamiento se degrada, o el ejecutable se suprime o
    destruye
    Cambio de El software ejecutable se modifica intencionadamente Integridad
    versin (cambio o corrupcin) o se substituye por parte no
    autorizada, o se inserta en el ejecutable
    Intercepcin Una entidad no autorizada accede al software o a Control de
    una funcin restringida dentro del mismo acceso
    Descubrimiento Se revelan aspectos tecnolgicos del software y Confidencialidad
    detalles de puesta en prctica empleando
    ingeniera inversa

    Seguridad del Software- Javier Bermejo Higuera


    INTRODUCCION
    SEGURIDAD EN EL CICLO DE DESARROLLO EL SOFTWARE

    El modelado de Amenazas:

    Constituye un framework especfico para el proceso de anlisis


    de riesgo estructurado.
    Tcnica de ingeniera cuyo objetivo es identificar y planificar la
    mitigacin de las amenazas.
    Herramienta vlida para evaluar los riesgos inherentes a una
    aplicacin durante su desarrollo.
    Proceso sistemtico que facilita la identificacin de
    vulnerabilidades

    Seguridad del Software- Javier Bermejo Higuera


    TIPOS DE MODELADOS DE AMENAZAS

    Tipos Metodologas:

    Centradas en activo.
    Centradas en el atacante.
    Centradas en el software.

    Metodologas:

    Microsoft Threat Analysis and Modeling.


    CORAS.
    Trike.
    PTA (Practical Threat Analysis).

    Seguridad del Software- Javier Bermejo Higuera


    METODOLOGIA DE MODELADO AMENAZAS
    Adaptacin de Microsoft Threat Analysis and Modeling

    Metodologa Modelado

    Seguridad del Software- Javier Bermejo Higuera


    METODOLOGIA DE MODELADO AMENAZAS
    Modelado:

    1.1 Identificar Activos datos confidenciales, servidores, pginas


    Web, disponibilidad del sistema, etc.
    1.2 Definir la arquitectura funcionalidades, flujos de datos,
    tecnologas, etc.
    1.3 Descomponer la aplicacin Lmites de la aplicacin, anlisis
    flujos de datos (DFD), entradas, perfiles, accesos recursos seguros.

    Seguridad del Software- Javier Bermejo Higuera


    METODOLOGIA
    SEGURIDAD EN EL CICLO DEDE MODELADO
    DESARROLLO EL SOFTWARE AMENAZAS

    Modelado Diagramas DFD

    Seguridad del Software- Javier Bermejo Higuera


    METODOLOGIA
    SEGURIDAD EN EL CICLO DEDE MODELADO
    DESARROLLO EL SOFTWARE AMENAZAS

    Modelado:

    2.1 Determinar las amenazas a cada componente de la aplicacin


    identificar amenazas a nivel de red, host y aplicacin. STRIDE
    2.2 Documentar las amenazas

    Descripcin de la Inyeccin de comandos SQL


    amenza
    Objetivo Componente de acceso a base de datos
    Riesgo
    El atacante introduce comandos SQL en el campo
    Tcnicas de ataque usuario utilizado para formar una nueva sentencia
    SQL.
    Medidas mitigacin Validar la entrada, filtrando el contenido del campo
    usuario, utilizar un procedimiento almacenado que
    utilice parmetros para acceder a la base de datos.

    1.3 Valorar las amenazas DREAD

    Seguridad del Software- Javier Bermejo Higuera


    METODOLOGIA
    SEGURIDAD EN EL CICLO DEDE MODELADO
    DESARROLLO EL SOFTWARE AMENAZAS

    STRIDE (Spoofing, Tampering, Repudiation, Information disclosure,


    Denial of service, Elevation of privilege)

    Riesgo = Probabilidad x Dao potencial

    Seguridad del Software- Javier Bermejo Higuera


    METODOLOGIA
    SEGURIDAD EN EL CICLO DEDE MODELADO
    DESARROLLO EL SOFTWARE AMENAZAS

    Mitigacin
    3. 1 Decidir cmo responder a las amenazas.
    3. 2 Identificar las tcnicas y tecnologas necesarias para mitigar
    los riesgos identificados
    Amenazas Propiedad Salvaguardas
    Spoofing identity Autenticacin Procesos de Autenticacin, Autorizacin y
    (Suplantacin de Auditora (AAA): hash, firma digital.
    Identidad) Proteccin de secretos
    No almacenamiento de secretos
    Single Sign On
    IPSEC
    Tampering with Data Integridad Procesos de AAA: hash, firma digital.
    (Manipulacin de datos) Cdigos de autenticacin de mensajes.
    Firmas digitales.
    Protocolos resistentes a la manipulacin.
    Listas control de acceso ACL
    Repudiation (Repudio) No Repudio Procesos de Autenticacin: hash, firma digital.
    Procesos de Auditora.
    Sellado de tiempo.
    Information Disclosure Confidencialidad Procesos de AAA: hash, firma digital.
    (Revelacin de Proteccin de secretos
    informacin) No almacenamiento de secretos.
    Protocolos seguros.
    Encriptado.
    Denial of Service Disponibilidad Procesos de AAA: hash, firma digital.
    (Denegacin de servicio) Listas control de acceso ACL.
    Calidad de servicio.
    Elevation of Privilege Autorizacin Listas control de acceso ACL.
    (Elevacin de Control de acceso basado en roles.
    privilegios) Trabajar con el mnimo privilegio.
    Validacin de entradas

    Seguridad del Software- Javier Bermejo Higuera


    METODOLOGIA
    SEGURIDAD EN EL CICLO DEDE MODELADO
    DESARROLLO EL SOFTWARE AMENAZAS

    4. Validacin: Redisear, usar salvaguardas estndar y


    personalizadas, aceptar el riesgo

    Seguridad del Software- Javier Bermejo Higuera


    HERRAMIENTA MODELADO
    SEGURIDAD EN EL CICLO DE AMENAZAS
    DESARROLLO EL SOFTWARE

    Herramienta de Modelado: Threat Modeling Tool - TMT

    Seleccin de vitas

    Seguridad del Software- Javier Bermejo Higuera


    HERRAMIENTA MODELADO
    SEGURIDAD EN EL CICLO DE AMENAZAS
    DESARROLLO EL SOFTWARE

    Aplicacin de Plantilla

    Seguridad del Software- Javier Bermejo Higuera


    HERRAMIENTA MODELADO
    SEGURIDAD EN EL CICLO DE AMENAZAS
    DESARROLLO EL SOFTWARE

    Seguridad del Software- Javier Bermejo Higuera


    CONCLUSIONES
    SEGURIDAD EN EL CICLO DE DESARROLLO EL SOFTWARE

    Modelado de amenazas es una herramienta de anlisis valioso que


    mejora el proceso de diseo.
    Beneficio de modelado fase de diseo y enfocar las revisiones de
    cdigo de seguridad.
    Proporcionar la informacin para seleccionar las tecnologas
    apropiadas y tcnicas de seguridad de mitigcin.
    Diagramas de flujo de datos ayuda identificar vulnerabilidades de
    seguridad.

    Seguridad del Software- Javier Bermejo Higuera


    TRABAJO
    Realizar un trabajo que contenga al menos el siguiente contenido:

    Introduccin al modelado de amenazas.


    Estudio de metodologas existentes.
    Descripcin de una metodologa en profundidad.
    Ejercicio prctico de modelado de amenazas, utilizando una
    herramienta de modelado como Threat Analysis and Modeling
    Tool , de una aplicacin web de tres capas

    Seguridad del Software- Javier Bermejo Higuera


    TRABAJO
    Aplicacin Web de tres capas para un negocio de pago
    electrnico de una librera, con la siguiente arquitectura lgica:

    Seguridad del Software- Javier Bermejo Higuera


    TRABAJO
    Objetivo: Salvaguardas y Calculo de Riesgo

    Seguridad del Software- Javier Bermejo Higuera


    PREGUNTAS

    Seguridad del Software- Javier Bermejo Higuera


    www.unir.net

    Anda mungkin juga menyukai