Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce"

Celia Hidalgo Quintana
hace 8 años
Vistas:

1 Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce Marcos Mateos García Jefe de Proyecto Germinus Grupo Gesfor

2 Índice 1. Introducción 2. Desarrollo a. Estado de la seguridad en la Web b. Causas de los problemas de seguridad c. Medidas y acciones d. Integración en el proceso de desarrollo 3. Conclusiones 10 2

3 1 Introducción Descripción de la ponencia En la actualidad muchos de los problemas de seguridad en Internet/Intranets de mayor impacto en la banca, AAPP, telcos y entornos industriales son consecuencia de problemas en desarrollos a medida realizados por empresas cuyos desarrolladores, a veces por falta de formación, otras por falta de concienciación, no diseñan e implementan correctamente seguridad en las aplicaciones. Se van a tratar los siguientes aspectos: Causas de los problemas en el desarrollo Cómo aplicar la seguridad en el proceso de desarrollo Pruebas de seguridad aplicables - Pruebas de intrusión - Análisis de código fuente Integración de estas medidas en el ciclo de vida del desarrollo (SDLC) 3

concienciación, no diseñan e implementan correctamente seguridad en las aplicaciones.

4 Estado de la seguridad en aplicaciones Web La seguridad es un punto clave en e-business y e-commerce debido a que tratan con activos de mucha importancia, que pueden pertenecer tanto a la entidad como ser propios de los usuarios finales. El impacto de un problema de seguridad puede ser tan grave como acceso o manipulación de información de clientes, incluyendo datos personales (protegidos LOPD) Existen multitud de casos reales de aplicaciones vulnerables Causas habituales de problemas de seguridad La causa principal de problemas de seguridad en aplicaciones Web son fallos en el desarrollo del software Los principales motivos por los que se introducen agujeros de seguridad en la aplicaciones, suelen ser la falta de concienciación de los programadores en cuanto a la seguridad, fundamentalmente provocada por falta de formación en este campo. Utilización de modelos de ciclo de vida / proceso de desarrollo software que ignoran la seguridad 4

El impacto de un problema de seguridad puede ser tan grave como acceso o manipulación de información de clientes, incluyendo datos personales (protegidos LOPD) Existen multitud de casos reales de

5 Medidas de seguridad en el ciclo de vida Diseñar Construir Desplegar Operar Descartar Casos de abuso Requisitos de seguridad Análisis de riesgos Revisión externa Pruebas de seguridad en base al riesgo Análisis estático tico (herramientas) Análisis de riesgos Pruebas de intrusión Problemas de seguridad Requisitos y casos de uso Diseño Planes de prueba Código Resultados de las pruebas Análisis de despliegue 5

Análisis estático tico (herramientas) Análisis de riesgos Pruebas de intrusión Problemas de seguridad

6 Costes y retorno de inversión por el arreglo de problemas de seguridad El coste de resolución es mayor cuanto más tarde se detecte la vulnerabilidad El retorno de la inversión es menor cuanto más tarde se solucionan los problemas Retorno de inversión en el arreglo de vulnerabilidades web Diseño Implementación Pruebas Fuente: Tangible ROI through software engineering SBQ, vol 1, nº 2 Fuente: OWASP Testing Guide v2 6

problemas Retorno de inversión en el arreglo de vulnerabilidades web 25 20 15 21 15 12 10 5 0 Diseño

7 Pruebas de intrusión Las pruebas de intrusión o auditorías a nivel de aplicación, tienen la finalidad de explotar errores de programación, la arquitectura de red, protocolos de comunicación o los controles de acceso para simular ataques a una infraestructura de red o una aplicación bajo las mismas circunstancias y capacidades que un acceso lícito habitual. Ventajas: El tiempo de ejecución es relativamente corto Permite encontrar los problemas más graves dentro del tiempo establecido Puede detectar problemas de seguridad en el diseño y relativos a reglas de negocio o contexto especifico de la aplicación Se revisa la aplicación en el estado final (configuración, plataforma, etc.) Inconvenientes: Actividad manual de efectividad variable, depende de la capacidad técnica, el tiempo e incluso, la suerte No es posible examinar todas la posibilidades en un tiempo limitado Riesgo de afectar al servicio (generalmente en producción) Puede ser difícil averiguar la causa exacta del problema encontrado 7

Ventajas: El tiempo de ejecución es relativamente corto Permite encontrar los problemas más graves dentro del tiempo establecido Puede detectar problemas de seguridad en el diseño y relativos a

8 Análisis estático de código El análisis estático de código consiste en la revisión automatizada (con herramientas software) del código fuente de las aplicaciones sin llegar a ejecutarlo. El análisis se realiza principalmente en base a patrones o reglas, mediante el análisis del flujo de los datos o métricas para detectar problemas de seguridad en el desarrollo. Ventajas: Exhaustivo: Se revisan todas las posibles entradas/salidas de una aplicación Se puede realizar durante el desarrollo (integración en IDE, análisis global) Se identifica la causa exacta del problema Se puede verificar rápidamente la corrección Inconvenientes: Falsos positivos: Puede indicar la ocurrencia de problemas que no existan revisión manual de los resultados Falsos negativos: No puede detectar ciertos fallos de diseño o reglas de negocio No se puede analizar todos los elementos del despliegue final (configuración del servidor o del entorno) 8

Ventajas: Exhaustivo: Se revisan todas las posibles entradas/salidas de una aplicación Se puede realizar durante el desarrollo (integración en IDE, análisis global) Se identifica la causa exacta del

9 Integración de estas pruebas de seguridad Pruebas de intrusión Se deben realizar cuando el código este desarrollado al completo Especialmente útiles en aplicaciones con mucha lógica de negocio específica Realizar en entorno de producción tarde? Adelantar las pruebas de intrusión: entorno de pre-producción Se pueden solucionar antes los problemas detectados No se comprueba la configuración final Se requieren todos los componentes de la aplicación Análisis estático de código Permite revisar grandes aplicaciones en poco tiempo Se puede realizar al final del desarrollo Se puede realizar durante todo el desarrollo (integración en IDE) Análisis diario: se informa de los problemas introducidos el día anterior Se pueden solucionar antes los problemas detectados Establecer mecanismo de comunicación de problemas al equipo de desarrollo Tener en cuenta el tiempo de corrección de problemas de seguridad (se invierte en formación del equipo de desarrollo) 9

Adelantar las pruebas de intrusión: entorno de pre-producción Se pueden solucionar antes los problemas detectados No se comprueba la configuración final Se requieren todos los componentes de la

10 3 Conclusiones Conclusiones La importancia de la seguridad en las aplicaciones Web aumenta a medida que las empresas trasladan su negocio a Internet Necesidad de proteger el negocio = Necesidad de proteger las aplicaciones No existe una única medida para asegurar las aplicaciones: Las distintas soluciones se complementan Orden recomendado: Análisis estático de código Pruebas de intrusión Cuantas más medidas se apliquen mejor grado de seguridad Revisar el ciclo de vida de desarrollo y buscar la integración de pruebas de seguridad Realizar pruebas de seguridad lo antes posible Reducción del coste de corrección Concienciación y formación en seguridad de los equipos de desarrollo Se requiere un esfuerzo para integrar la seguridad en el desarrollo Comunicación entre revisor y desarrollador Tiempo de corrección de problemas de seguridad 10

Cuantas más medidas se apliquen mejor grado de seguridad Revisar el ciclo de vida de desarrollo y buscar la integración de pruebas de seguridad Realizar pruebas de seguridad lo antes posible

11 Fin de la presentación Muchas gracias 11

Documentos relacionados

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de