Seguridad aplicaciones (Solución RASP).

Documentos relacionados
Departamento Ingeniería en Sistemas de Información

Autor: Christian Mendoza Bonzo Objetivo: Instruir a Organizaciones, Gerentes, Desarrolladores, Arquitectos de seguridad; sobre las consecuencias de

Auditoría Técnica de Seguridad de Aplicaciones Web

Corporación Ornitorrinco Labs

Introducción a OWASP TOP Ten Segu-Info &

SEGURIDAD Y ALTA DISPONIBILIDAD

ANÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Javier Garson Desarrollador web Abril CSRF Falsificando peticiones

SEGURIDAD EN APLICACIONES WEB. Autor: Siler Amador Donado

Fundamentos de la Seguridad Informática

Amenazas a Aplicaciones Web Ing. Mauricio Andrade Guzmán. Subdirección de Seguridad de la Información/UNAM-CERT

Ventanilla Electrónica. Auditoría de Seguridad. Versión: v01r00 Fecha: 26/05/2015

Webinar Gratuito Vulnerabilidades en Aplicaciones Web

Seguridad Web: SQL Injection & XSS

Seguridad Web: SQL Injection & XSS

PROYECTO FIN DE CARRERA

CURSO ADMINISTRACIÓN WEB SEMANA 6 SEGURIDAD EN REDES

Ventanilla Electrónica. Auditoría de Seguridad. Versión: v01r00 Fecha: 16/09/2013

Las cookies son utilizadas habitualmente por los servidores web para diferenciar usuarios y para actuar de diferente forma dependiendo de éstos.

Desarrollo Seguro. Programa de Estudio.

Principios Básicos de Seguridad en Bases de Datos

SEGURIDAD EN EL DESARROLLO DE APLICACIONES WEB CON DRUPAL

ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO

Congreso CSTIC 2017 Be Agile, Be digital, Be Secure

Hacking ASAP. Headline Verdana Bold. AUSAPE FORUM Malaga Junio

Consejería de Hacienda y Administración Pública. Buenas prácticas de seguridad en los procesos de autenticación y firma

Estado de conciencia en la seguridad de las aplicaciones móviles

Desarrollo de aplicaciones seguras. (Técnicas de ataque y defensa)

Hacking Ético Web. I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

Tendencias en Seguridad de la Información

Vulnerabilidades en Aplicaciones Web Webinar Gratuito

ANALISIS DE VULNERABILIDADES

Control de Requisitos de Seguridad del Código

Programa. LabSecur. LabSecur. Ciberseguridad y Hacking Ético. Conoce los nuevos retos y amenazas de la ciberseguridad

ESPECIALISTAS EN SEGURIDAD INFORMÁTICA

Trabajando juntos. Decidimos todos La dignidad no se negocia.

NÚMERO DE HORAS: 160H PROGRAMACIÓN WEB EN EL ENTORNO CLIENTE OBJETIVO

IFCD0210 Desarrollo de Aplicaciones con Tecnologías Web

PLIEGO PRESCRIPCIONES TÉCNICAS. Suministro e instalación de una nueva Plataforma de Navegación web. Ref: /01

Antivirus para Plataforma Virtual Pliego de Bases Técnicas

Computación Web (Curso 2013/2014)

GENEXUS & OWASP TOP 10

Asignatura: Tecnologías Emergentes 7º Nivel. Docente: Ing. Freddy Melgar Algarañaz

Anexo IV Vulnerabilidades más críticas de los sistemas informáticos

IMPLANTACIÓN DE APLICACIONES WEB EN ENTORNO INTERNET, INTRANET Y EXTRANET

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Seguridad del protocolo HTTP:

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

SERVICIOS COMPUTACIONALES PROGRESS

Xerox FreeFlow Core, 4.0 SP3 ( ) Versión de libro 1.3 Octubre P Xerox FreeFlow Core Guía de seguridad

SEGURIDAD EN COMUNICACIONES

GOBERNANZA Y GESTIÓN SEGURA DE LOS DATOS. Qué es la gobernanza delos datos?

Recomendaciones sobre protección de Dominios en Internet. Julio César Cossío NIC México.

Tecnología Safe Money

Gestión dinámica de información y procesos

Aplicaciones WEB vulnerables: Una puerta de entrada para los intrusos

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE SOFTWARE VIRTUALIZADO DE CONTROL DE ACCESOS

CoLT. Admin Panel. 1

IMPLANTACIÓN DE SISTEMAS OPERATIVOS

Seguridad y Competencias Profesionales Tema 2: Introducción a la Seguridad

Ayuntamiento de Valladolid

Una solución adaptada a las necesidades del cliente

Seguridad en Aplicaciones Web

Seguridad en la entrega aplicaciones

Riesgos potenciales en los servicios de red. Vicente Sánchez Patón I.E.S Gregorio Prieto. Tema 2 SAD

ARROYO DE LA ENCOMIENDA

Curso: Programación pág. web: servidor (ASP.NET)

GUÍA PARA ELABORACIÓN DE LICITACIONES REFERENTES A DESARROLLO DE SOFTWARE

MÓDULO 2 NIVEL AVANZADO Las fuentes de información institucional Unidad didáctica 5: La seguridad en las operaciones telemáticas

ÍNDICE DEL CLAUSULADO DE PRESCRIPCIONES TÉCNICAS 1.- DESCRIPCIÓN DEL OBJETO

EXCMO. AYUNTAMIENTO DE BAEZA SECRETARIA GENERAL > CONTRATACION PLIEGO DE PRESCRIPCIONES TECNICAS

Documento de Arquitectura

IoT - Internet of Things.

Implantación de una plataforma de monitoritzación de la seguridad informática con Security Onion. David COMPANY ESTALL

El modelo V nos permite ejecutar el proceso de validación y verificación en cada una de las etapas de un proyecto. Codificación

Introducción a GAM. Ahora queremos agregarle Seguridad a la aplicación, tanto a la parte web como a la de Smart Devices. Page1

_ DOBLE MÉTODO DE AUTENTICACIÓN: TWO FACTOR AUTHENTICATION O 2FA

Código: J63.02 Nivel: 3. Actividades de servicios de información. Procesamiento de datos, hospedaje y actividades conexas; portales web

Implementación de ModSecurity Firewall de Aplicación Web L.I. Dante Odín Ramírez López

Tendencias en Seguridad de la Información

Máster en Ciberseguridad. Pénsum Académico

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad

Especificación de requisitos de software

Cómo desarrollar una Arquitectura de Red segura?

Obligaciones de Suministro de Información: medidas de seguridad.

Capítulo V. Alta y Consumo de Servicios

Soporte y Mantenimiento de FW PA-5050 Pliego de Bases Técnicas

Seguridad Informática Septiembre 2005

COBIT 5. Gestión / Entrega, Servicio y Soporte (DSS) 05 Gestionar Servicios de Seguridad. Juan Antonio Vásquez

CompTIA Network+ Examen Asociado: N Duración en horas: 40 Horas. Descripción del Curso: A quién va dirigido?

Los contenidos se valorarán en función de los conceptos adquiridos, los procedimientos aprendidos y las actitudes desarrolladas en las clases.

Ejemplo de configuración local de la autenticación Web del portal del invitado del Identity Services Engine

Arquitectura, privacidad y seguridad de los productos y servicios de Kriter Software: KRITER ERP (onpremise, Cloud), PREK, KriterStore y servicios de

Curso Implementing and Maintaining Microsoft SQL Server 2008 Reporting Services (6236)

Presentación del curso Presencial

COPYRIGHT El copyright de este documento es propiedad de Camerfirma.

Transcripción:

Seguridad aplicaciones (Solución RASP). SOCIEDAD FORAL DE SERVICIOS INFORMÁTICOS Fecha de realización 20 de octubre de 2016

Página 2 de 7 INDICE Introducción.... 3 Objeto del contrato.... 6 Consideraciones complementarias.... 6 Servicios & Niveles de servicios (SLA)... 7 Mantenimiento y formación... 7

Página 3 de 7 Introducción. El software inseguro está debilitando infraestructuras críticas. A medida que la infraestructura digital se hace cada vez más compleja e interconectada, la dificultad de lograr la seguridad en aplicaciones aumenta exponencialmente. No nos podemos dar el lujo de tolerar problemas de seguridad relativamente sencillos, como los que se definen dentro del proyecto denominado OWASP Top 10 2013. El objetivo de dicho proyecto, es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos a los que se enfrentan las organizaciones. Se basa en 8 conjuntos de datos de 7 firmas especializadas en seguridad de aplicaciones, incluyendo 4 empresas consultoras y 3 proveedores de herramientas /SaaS (1 estático, 1 dinámico y 1 con ambos). Estos datos abarcan más de 500.000 vulnerabilidades a través de cientos de organizaciones y miles de aplicaciones. Las vulnerabilidades del Top 10 son seleccionadas y priorizadas de acuerdo a estos datos de prevalencia, en combinación con estimaciones consensuadas de explotabilidad, detectabilidad e impacto. El objetivo principal del Top 10 es educar a los desarrolladores, diseñadores, arquitectos, gerentes, y organizaciones; sobre las consecuencias de las vulnerabilidades de seguridad más importantes en aplicaciones web. El Top 10 provee técnicas básicas sobre cómo protegerse en estas áreas de alto riesgo y también provee orientación sobre los pasos a seguir. Basándose en lo anterior, el escenario de debilidades que se vislumbra a partir de 2013 es el siguiente: A1 - Inyección de código. Las fallas de inyección, tales como SQL, OS, y LDAP, ocurren cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete para ejecutar comandos no intencionados o acceder datos no autorizados. A2 - Autenticación y Gestión de Sesiones. Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son frecuentemente implementadas incorrectamente, permitiendo a los atacantes comprometer contraseñas, claves, token de sesiones, o explotar otras fallas de implementación para asumir la identidad de otros usuarios.

Página 4 de 7 A3 - Secuencia de Comandos en Sitios Cruzados (XSS). Las fallas XSS ocurren cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencia de comandos en el navegador de la víctima los cuales pueden secuestrar las sesiones de usuario, destruir si=os web, o dirigir al usuario hacia un sitio malicioso. A4 - Referencia Directa insegura a Objetos. Una referencia directa a objetos ocurre cuando un desarrollador expone una referencia a un objeto de implementación interno, tal como un fichero, directorio, o base de datos. Sin un chequeo de control de acceso u otra protección, los atacantes pueden manipular estas referencias para acceder datos no autorizados. A5 - Configuración de Seguridad Incorrecta. Una buena seguridad requiere tener definida e implementada una configuración segura para la aplicación, marcos de trabajo, servidor de aplicación, servidor web, base de datos, y plataforma. Todas estas configuraciones deben ser definidas, implementadas, y mantenidas ya que por lo general no son seguras por defecto. Esto incluye mantener todo el software actualizado, incluidas las librerías de código utilizadas por la aplicación. A6 - Exposición de datos sensibles. Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como números de tarjetas de crédito o credenciales de autenticación. Los atacantes pueden robar o modificar tales datos para llevar a cabo fraudes, robos de identidad u otros delitos. Los datos sensibles requieren de métodos de protección adicionales tales como el cifrado de datos, así como también de precauciones especiales en un intercambio de datos con el navegador. A7 - Ausencia de Control de Acceso a Funciones. La mayoría de aplicaciones web verifican los derechos de acceso a nivel de función antes de hacer visible en la misma interfaz de usuario. A pesar de esto, las aplicaciones necesitan verificar el control de acceso en el servidor cuando se accede a cada función. Si las solicitudes de acceso no se verifican, los atacantes podrán realizar peticiones sin la autorización apropiada.

Página 5 de 7 A8 - Falsificación de Peticiones en Sitios Cruzados (CSRF). Un ataque CSRF obliga al navegador de una víctima autenticada a enviar una petición HTTP falsificada, incluyendo la sesión del usuario y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable. Esto permite al atacante forzar al navegador de la víctima para generar peticiones que la aplicación vulnerable piensa son peticiones legítimas provenientes de la víctima. A9 - Utilización de componentes con vulnerabilidades conocidas. Algunos componentes tales como las librerías, los frameworks y otros módulos de software casi siempre funcionan con todos los privilegios. Si se ataca un componente vulnerable esto podría facilitar la intrusión en el servidor o una perdida seria de datos. Las aplicaciones que utilicen componentes con vulnerabilidades conocidas debilitan las defensas de la aplicación y permiten ampliar el rango de posibles ataques e impactos. A10 - Redirecciones y reenvíos no validados. Las aplicaciones web frecuentemente redirigen y reenvían a los usuarios hacia otras páginas o sitios web, y utilizan datos no confiables para determinar la página de destino. Sin una validación apropiada, los atacantes pueden redirigir a las víctimas hacia sitios de phishing o malware, o utilizar reenvíos para acceder a páginas no autorizadas.

Página 6 de 7 Objeto del contrato. Es objetivo del presente pliego de condiciones la implantación de una solución AST & RASP para la protección de las aplicaciones. Se considerará como aplicación tanto las aplicaciones web tradicionales como las aplicaciones móviles nativas o aplicaciones web sobre arquitectura MVC cliente. Además de la protección frente a los riesgos más comunes a nivel de aplicación, la solución deberá incluir funcionalidades AST (Application security testing) de detección de problemas de seguridad para ser reportados a los programadores en tiempo real a la vez que funcionalidades RASP (Runtime Application Self- Protection) para poder proteger a las aplicaciones de los problemas detectados. Se valorará que ambas funcionalidades AST y RASP vayan integradas dentro de una única solución. La solución deberá disponer de una GUI de administración y monitorización para los entornos de producción, además de una GUI fácil de utilizar de cara a los desarrolladores de aplicaciones Consideraciones complementarias. 1. La solución deberá proteger frente a los riesgos más comunes definidos dentro del OWASP top 10 2013 descritas en la introducción de este documento. 2. La solución deberá ser poco intrusiva, pudiéndose aplicar tanto a aplicaciones ya desarrolladas como a las nuevas aplicaciones, sin necesidad de cambios significativos en las mismas y sin incluir referencias a productos dentro del código fuente. 3. La solución deberá estar basada en software sin requerir de un hardware adicional para su funcionamiento. 4. La solución deberá funcionar dentro de las propias aplicaciones o a nivel de servidor de aplicaciones, siendo posible su uso en plataformas cloud tanto privadas como públicas. 5. La solución no deberá condicionar la topología de red actual, integrando las medidas de protección dentro de las aplicaciones o en servidor de aplicación. 6. La solución deberá disponer de una herramienta gráfica intuitiva y usable que permita la configuración y gestión del sistema.

Página 7 de 7 7. La solución deberá disponer de una solución dirigida a los desarrolladores donde se reporte las medidas correctivas a aplicar durante el desarrollo de aplicaciones cuando existan problemas de seguridad en el código. 8. La solución deberá afectar de forma mínima en los tiempos de respuesta de las aplicaciones, no pudiendo superar los 5ms de sobrecarga sobre el tiempo original. 9. La solución dispondrá de un soporte a API s REST. Servicios & Niveles de servicios (SLA) Los servicios a prestar en el ámbito de la ejecución del contrato: 1. Soporte telemático (24x7) y también presencial (8x5). 2. Posibilidad de ofrecer servicios presenciales siempre y cuando sea requerido por IZFE. 3. Atender y responder a incidencias con un SLA de 24x7. Mantenimiento y formación Se incluyen en el objeto del contrato los siguientes: 1. 3 años de mantenimiento y soporte empezando a partir del 1 de Enero de 2017. 2. 1 sesión de formación anual durante la vigencia del periodo de mantenimiento.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback