Calidad y Seguridad en la programación de aplicaciones

Transcripción

1 Calidad y Seguridad en la programación de aplicaciones

2 Presentada por: Tartarelli Martin COO, Infobyte Security Research

3 Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

4 Agenda Introducción Seguridad en el ciclo de vida desarrollo de software Principales modelos Componentes claves que ayudan a la calidad Actualidad y Futuro Desafíos y Conclusiones

5 Introducción Secunia Vulnerability Review 2014 El numero absoluto de Vulnerabilidades fue de La cifra muestra un aumento del 45% en vulnerabilidades en la tendencia de cinco años. 16,3% fuero clasificas como Criticas y el 0.4% como extremadamente criticas. Cenzic Application Vulnerability Trends Report El 96% de las aplicaciones son Vulnerables

6 Introducción Estas estadísticas reflejan Problemas de implementación (bugs) Solo publicados por fabricantes o terceros (investigadores, industria, etc) Aplican a problemas en software comercial ya desplegado.

7 Introducción Estas estadísticas NO reflejan Software a medida / interno Fallas en el diseño

8 Introducción En resumen, sabemos que Las vulnerabilidades vienen creciendo año a año El costo de solucionar las vulnerabilidades es mayor cuanto más tarde se las detecta La tecnología es y será cada vez mas diversa y compleja La importancia en la participación de Seguridad desde el inicio en el desarrollo de una aplicación se hace imprescindible...

9 SDLC SDLC se conoce como el desarrollo de sistemas de información o de desarrollo de aplicaciones. SDLC es un enfoque de sistemas para la resolución de problemas y se compone de varias fases, cada una compuesta de varios pasos Investigación Análisis Diseño Implementación Mantenimiento

10 NIST SDLC SDLC

11 Microsoft SDLC SDLC

12 SDLC

13 SDLC

14 SDLC

15 SDLC Arquitectura de seguridad Se centra en la identificación de debilidades en el diseño, la ejecución y los controles de seguridad de la aplicación, incluyendo Autenticación y Autorización Gestión de sesiones Comunicaciones seguras Gestión de datos sensibles (datos de la información) La validación de parámetros Gestión de la configuración Gestión de las excepciones La gestión del registro de auditoría

16 Componentes Clave

17 Componentes Clave Pruebas de vulnerabilidad de aplicaciones Consiste en una prueba de seguridad controlada del entorno de aplicaciones para identificar las posibles exposiciones externas. Las pruebas de aplicación comúnmente incluyen lo siguiente: Pruebas Black-box (sin credencial) y Grey-box (con credencial) Configuraciones inseguras Revisión de Código

18 Componentes Clave Testing Funcional vs Testing de Seguridad Testing Funcional Consiste en verificar que las funcionalidades esperadas de la aplicación cumplan con los requerimientos. Se basa en un uso bien intencionado de la aplicación. Se reporta un error cuando la aplicación no hace lo que debería. Testing de Seguridad Consiste en verificar que no se pueda forzar a la aplicación a efectuar acciones que excedan a la funcionalidad especificada. Se basa en un uso malintencionado de la aplicación. Se reporta un error cuando la aplicación hace lo que no debería.

19 Componentes Clave Testing Funcional Testing Seguridad

20 Actualidad / Futuro Que cambios están ocurriendo? Virtualización Siempre en Línea (Always On) Cloud Computing Desglose del perímetro tradicional Redes sociales / Web 2.0 Nuevas Leyes y Reglamentos Privacidad Due Diligence

21 Actualidad / Futuro Que cambios están ocurriendo? Multiples Deploy (en caliente) Infraestructura Dinámica Miles de aplicaciones El aumento de la sofisticación y la capacidad de los atacantes Organizaciones Criminales Agencias estatales Actores Políticos

22 Integración Continua Que es? La integración continua es un modelo informático que consiste en hacer integraciones automáticas de un proyecto lo más a menudo posible para así poder detectar fallos cuanto antes. Entendemos por integración la compilación y ejecución de pruebas de todo un proyecto. Que Ventajas tiene? Los desarrolladores pueden detectar y solucionar problemas de integración de forma continua, evitando el caos de última hora cuando se acercan las fechas de entrega. Disponibilidad constante de una versión para pruebas, demos o lanzamientos anticipados. Ejecución inmediata de las pruebas unitarias. Monitorización continua de las métricas de calidad del proyecto.

23 Integración Continua

24 Integración Continua Check in Code IDE Plug-in Check-out, Build and Scan Build Machine Possibly Continuous Integration Vulnerability Scan Code Repository Repeat as Necessary Developers Bug Tracking Developer Fixes Bug / Security Finding Auditor Reviews Results Auditor / Security PM / Tech Lead Submit Findings to Bug Tracker

25 Integración Continua

26 Integración Continua Desafíos y conclusiones Herramientas "queridas por el desarrollo, deben ser utilizadas por seguridad" Los desarrolladores no están capacitados en seguridad o practicas de codificación segura. Los analistas de Seguridad no entienden el desarrollo/código fuente. La perfecta integración de la seguridad requiere de un gran compromiso por adelantado. La experiencia es escasa Y más...

27 Gracias por asistir a esta sesión

28 Para descargar esta presentación visite Los invitamos a sumarse al grupo Segurinfo en Para mayor información: Martin Tartarelli