Modelado de Amenazas Una Introducción

Documentos relacionados
Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010

Modelamiento de Amenazas en el Desarrollo de Software

Curso: (62612) Diseño de aplicaciones seguras

Ataques XSS en Aplicaciones Web

Seguridad en el ciclo de vida del desarrollo de software

La OWASP Foundation y los objetivos del capítulo español OWASP 16/6/2006. The OWASP Foundation

Cómo asegurar la continuidad de mi negocio ante desastres y catástrofes imprevistas?

Seguridad en.net. Daniel Seara

El Banco Central de la República Argentina

Ciclo de vida de desarrollo de Software Seguro

Web Application exploiting and Reversing Shell

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

Iniciativas Existentes El modelo SAMM Aplicación de SAMM Niveles y Actividades SAMM SAMM en el mundo real Proyecto OpenSAMM AppSec Latam 2011

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Implementación de Sistemas de Información Seguros

Desarrollo de software seguro: una visión con OpenSAMM

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Haga clic para cambiar el estilo de título

WebApp Penetration Testing

Análisis y Modelado de Amenazas

De los #exploits al más m s allá!

PRIMAVERA RISK ANALYSIS

La necesidad de construir software seguro

Datos Personales en el Ciclo de Vida de Desarrollo Seguro

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Session Hijacking: Secuestro de sesiones en aplicaciones web empresariales

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Pruebas de Intrusión de Aplicación

Seguridad en el desarrollo

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Programación de código seguro

Resumen ejecutivo inventario de activos de información. Procesos Dir. Corporativa Recursos Tecnologicos

ATAQUE Y CONTRAMEDIAS

En 2002, se revisó BS para adecuarse a la filosofía de normas ISO de sistemas de gestión.

Seguridad en Sistemas Módulo 1 Parte 1: Conceptos Generales. Carlos A. Rojas Kramer UCC

Iniciando en Desarrollo Seguro

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS

Quién ganara la Liga MX?

Agenda. OWASP Seguridad Para Móviles. Introducción Riesgos más comunes Vulnerabilidades más comunes Mejores Prácticas Recomendaciones & Conclusiones

OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS OWASP. The OWASP Foundation

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Manual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública

Test de intrusión (Penetration Test) Introducción

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

Capturando y explotando servidores de correo ocultos OWASP 16/6/2006. The OWASP Foundation

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

Gestión de Seguridad Informática

Manual de Procedimiento. CREACION-ADMINISTRACION, RESPALDO DE DATOS Y CONTINUIDAD DEL NEGOCIO Procesos y Responsabilidades ECR Evaluadora Prefin S.A.

Gestión de Riesgos en Proyectos

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

Seguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.

Sistema de Administración del Riesgos Empresariales

Seguridad de la Información. Juan Heguiabehere

Inicio de las Actividades de Desarrollo de Software.

Explotación a CMSs Web

Guía de procesos en gestión de incidentes

Anuncio de software ZP de IBM Europe, Middle East and Africa con fecha 16 de noviembre de 2010

Capítulo 4. GESTIÓN DE LA INTEGRACIÓN DEL PROYECTO

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD

Introducción a OWASP OWASP. The OWASP Foundation

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Introducción a la ISO Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Copyright Abax Soluciones RIF.: J

Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral

b1010 formas de escribir código (in)seguro

Plan de Estudios. Diploma de Especialización en Seguridad Informática

IDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Información de Producto:

Jose Carlos Cerezo Luna. Especialista de seguridad

Qué hay respecto a atender a la Seguridad durante el desarrollo de sistemas de información?

Transacciones sin temor para el Comercio Electrónico

Cloud Security Alliance. Recomendaciones de Seguridad para Usuarios

Seguridad en Dispositivos Móviles en

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:

METODOLOGIAS DE LA SEGURIDAD INFORMATICA Integrantes: Doris Mera Liliana Arteaga Carlos Villamarin Roberth Sosa

Políticas de seguridad de la información. Empresa

José Omar Moreno Reyes

Elementos requeridos para crearlos (ejemplo: el compilador)

Adelantándose a los Hackers

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Patterns & Practices. Patrón AutoComplete. Versión: 1.0. Fecha de publicación Aplica a: Q-flow 3.1

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

ESCUELA POLITECNICA NACIONAL

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

CONTENIDO 1 OBJETIVO GLOSARIO DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

LICENCIA PLATAFORMA ERM

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Desarrollo Seguro usando OWASP

Enlace Comercial B2B Base Datasheet

Seguridad en aplicaciones y base de datos

Transcripción:

OWASP Latam Tour The OWASP Foundation Buenos Aires, Argentina 2012 http://www.owasp.org Modelado de Amenazas Una Introducción Hernán M. Racciatti, CISSP, CSSLP, CEH SIClabs hracciatti@siclabs.com @my4ng3l Copyright The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

Agenda Algunas Definiciones Modelado de Amenazas Qué? Para qué? Por qué? Cuando? (SDLC) Cómo? (El Proceso) Conclusiones Referencias y Lectura Complementaria 2

Algunas Definiciones Vulnerabilidad Amenaza Ausencia o debilidad de un control Evento cuya ocurrencia podría impactar en forma negativa en la organización (Las amenazas explotan o toman ventaja de las vulnerabilidades). Riesgo Combinación de probabilidad de ocurrencia e impacto de una amenaza. 3

Algunas Definiciones (Cont.) Exposición Contramedida (Salvaguarda o Control) Instancia en la cual la información o activo de información es susceptible a dañarse o perderse por la explotación de una vulnerabilidad. Cualquier tipo de medida que minimice el riesgo asociado con la ocurrencia de una amenaza específica. Exploit Método o programa utilizado para aprovecharse de una vulnerabilidad. 4

Modelado de Amenazas Qué? Enfoque / Método de Análisis basado en la seguridad. Proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. Parte crucial de la etapa de diseño. Herramienta indispensable a la hora de trabajar sobre la seguridad de las aplicaciones. 5

Modelado de Amenazas Qué? Enfoque Método Análisis Riesgos Crucial Diseño Herramien ta Aplicacion es 6

Modelado de Amenazas Modelo de Amenazas? Representación de: La Superficie de Ataque del Sistema Amenazas que puedan afectar el sistema Activos que puedan ser comprometidos por la amenaza (El agente de la amenaza). 7

Modelado de Amenazas Para qué? Comprender el perfil de amenazas a las que está expuesto un sistema. Colaborar con el entendimiento respecto de: Donde el producto es mas vulnerable Cuales amenazas requieren ser mitigadas Como direccionar las mismas Identificar estrategias de mitigación. Justificar la implementación de controles! 8

Modelado de Amenazas Quién? Cómo? Qué? Impacto Mitigació n 9

Modelado de Amenazas Por qué? Colabora con la identificación de complejos bugs de diseño. Colabora con el descubrimiento de vulnerabilidades. Colabora con el proceso general de reducción del riesgo. Complementa las especificaciones del diseño de seguridad. Colabora en la integración de nuevos miembros al equipo de desarrollo. Reduce el costo de asegurar una aplicación. Soporta aplicaciones seguras por diseño. Provee un proceso. 10

SDLC Cuando? 11

SDLC (Cont.) Modelado de Amenazas Revisión de Codigo Fuente Penetration Test Codificación Diseño Testing/Validaci ón 12

SDLC (Cont.) Modelado de Amenazas Revisión de Codigo Fuente Penetration Test Codificación Diseño Testing/Validaci ón 13

Cómo? (El Proceso) Dia gra mar Va lid ar Identifica r Amenaza s Mi tig ar 14

Diagramar Dia gra mar Va lid ar Identifica r Amenaza s Mi tig ar 15

Diagramar (Cont.) 16

Diagramar (Cont.) Elementos External Entity Proces s Trust Boundary Data Flow Multiple Process Data Store 17

Diagramar (Cont.) Diferentes Niveles Diagrama de Contexto Muy alto nivel (El producto/sistema entero) Nivel 1 Alto nivel (Una unica funcionalidad o un escenario) Nivel 2 Bajo nivel (Subcomponente o función detallada) Nivel 3 Mas detallado 18

Diagramar (Cont.) 19

Diagramar (Cont.) 20

Diagramar (Cont.) Puntos de Entrada User Interface Files Sockets HTTP Requests Named Pipes APIs Registry E-mail Command Line Arguments Environment Variables Etc. 21

Diagramar (Cont.) Trust Boundary 22

Diagramar (Cont.) Los datos no aparecen magicamente provienen de entidades externas o de data stores 23

Diagramar (Cont.) Existen los contenedores de datos claro y alguien seguramente los usa 24

Diagramar (Cont.) Los datos no fluyen magicamente estos lo hacen a travéz de procesos 25

Identificar Amenazas Dia gra mar Va lid ar Identifica r Amenaza s Mi tig ar 26

Identificar Amenazas (Cont.) Autent icac ión Integri dad No-Rep udio Confid enciali dad D is p o n ibilidad Autoriz aci ón 27

Identificar Amenazas (Cont.) Amenaza: Spoofing Propiedad: Autenticación Definición: Impersonar alguien o algo. Ejemplo: Pretender ser un amigo de wanda nara, owasp.org o ntdll.dll STRIDE 28

Identificar Amenazas (Cont.) Amenaza: Tampering Propiedad: Integridad Definición: Modificar datos o código Ejemplo: Modifcar una DLL sobre el HD o un paquete atravesando la red STRIDE 29

Identificar Amenazas (Cont.) Amenaza: Repudiation Propiedad: No-Repudio Definición: Prertender no haber realizado una acción Ejemplo: Yo no envie ese mail, Yo no modifique ese archivo, Yo no visite ese sitio web! STRIDE 30

Identificar Amenazas (Cont.) Amenaza: Information Disclosure Propiedad: Confidencialidad Definición: Exponer información a alguien no autorizado a ver esta Ejemplo: Permitir a alguien leer el codigo fuente de mi aplicación, publicar una lista de clientes en la web STRIDE 31

Identificar Amenazas (Cont.) Amenaza: Denial of Service Propiedad: Disponibilidad Definición: Denegar o degradar el servicio a los usuarios Ejemplo: Hacer caer un servicio o un sitio web, enviando paquetes malformados, absorbiendo segundos de CPU, etc. STRIDE 32

Identificar Amenazas (Cont.) Amenaza: Elevación de Privilegios Propiedad: Autorización Definición: Ganar capacidades sin la debida autorización Ejemplo: Usuario limitado, ganando privilegios de admin STRIDE 33

Identificar Amenazas (Cont.) Elemento S T R I D E? 34

Analizar Amenazas 35

Analizar Amenazas (Cont.) 36

Analizar Amenazas (Cont.) Combinando STRIDE con DREAD Calculo del Nivel de Riesgo de una Amenaza Alto/Medio/Bajo 1 a 10 Ejemplo: Amenaza #1: Usuario malicioso visualiza información confidencial STRIDE: Information Disclosure Damage: 8 Reproducibility: 10 Exploitability: 7 Affected Users: 10 Discoverability: 10 Valor de Riesgo DREAD: (8+10+7+10+10/5)=9 37

Mitigar Dia gra mar Va lid ar Identifica r Amenaza s Mi tig ar 38

Mitigar (Cont.) 39

Mitigar (Cont.) 40

Validar Dia gra mar Va lid ar Identifica r Amenaza s Mi tig ar 41

Validar (Cont.) 42

Resumen & Conclusiones

Resumen Qué es el Modelado de Amenazas? Para qué sirve? Por qué llevar adelante este proceso? En que momento debo llevar a cabo un MdA? Como lo llevo adelante? Diagramar Identificar Amenazas Mitigar Validar 44

Referencias y Lecturas Complementarias Threat Modeling: Uncover Security Design Flaws Using The STRIDE Approach http ://msdn.microsoft.com/msdnmag/issues/06/11/threatmodeling/default.aspx The Security Development Lifecycle: SDL: A Process for Developing Demonstrably More Secure Software (Howard, Lipner, 2006) Threat Modeling chapter http://www.microsoft.com/mspress/books/authors/auth8753.aspx Application Threat Modeling (OWASP) https://www.owasp.org/index.php/application_threat_modeling Threat Risk Modeling (OWASP) https://www.owasp.org/index.php/threat_risk_modeling Microsoft Security Development Lifecycle Core Training classes http://www.microsoft.com/en-us/download/details.aspx?id=16420 Fotos de Plastilina http://www.google.com.ar/search?q=plastilina&hl=es-419&prmd=imvns&source 634 45

Preguntas? Gracias!! m o c. s b a l c i s @ hracciatti m o c. s b a l c i s. www l 3 g n 4 y m @ 46

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback