Please enable JavaScript.
Coggle requires JavaScript to display documents.
Introducción a las Metodologías de Desarrollo de Software Seguro,…
Introducción a las Metodologías de Desarrollo de Software Seguro
S-SDLC
Etapas
Requisitos
Diseño
Desarrollo
Pruebas
Metodología orientada al Desarrollo ágil
SREP
1.Acuerdo en las definiciones
2.Identificación de activos críticos o vulnerables
4.Identificar amenazas y desarrollar artefactos
5.Evaluación del riesgo
6.Elicitación de los requisitos de seguridad
Categorizar y priorizar los requisitos
Identificar los objetivos y dependencias de seguridad
Inspección de requisitos
Mejora el repositorio de documentación
Es una metodología que se encarga de evaluar los riesgos en los activos y se suele aplicar en la fase de desarrollo de aplicaciones, siguiendo las siguientes fases:
UML
Sec
El
UML Sec
está basado en la metodología de trabajo de ingeniería del software denominado "UML" solo que en este caso "SEC"
estudia el mecanismo de gestión y protección de un sistema al momento de presentarse un ataque informático.
Casos de mal uso
Se constituye como la primera fase, y obedece a la realización de casos de uso en los cuales, el sistema se vea vulnerable, o afectado por acción de terceras personas o mal desarrollo del mismo.
En un
Caso de mal uso
también se suelen incluir factores importantes como los
Malos actores
los cuales son los usuarios negativos,
que pueden generar riesgos y amenazas en la aplicación
STRIDE
Identifica amenazas en los componentes de un sistema
Spoofing Identity
: Suplantar la identidad de otro usuario o servicio.
Tampering with Data
: Modificar maliciosamente datos almacenados
Repudiation
: Imposibilidad de identificar el autor de una acción.
IInformation Disclosure:
Divulgar información a usuarios no autorizados
Denial of Service:
Provocar que un servicio deje de funcionar.
Elevation of privilege:
Conseguir privilegios mayores a los asignados
ÁRBOLES DE ATAQUE
Es un método que permite identificar vulnerabilidades en cada uno de los componentes del software y jerarquizarlos.
Usuario Accede en nombre de otro
Contraseña débil
Atacante captura datos de autenticación de la red
Falta de encriptar la información
Vulnerable el mecanismo de autenticidad
Fuerza bruta
defectuosa autenticación
El sistema de validación no falla de forma segura
Vulnerable a
SQL Injection
, el sistema de validación
El sistema permite armar peticiones con
IDS
de otros usuarios
DREAD
Pondera las amenazas Identificadas
Damage Potencial
: ¿Cuán importante es el daño de esta amenaza?
Reproducibility
: ¿Cuán reproducible es la vulnerabilidad?
Exploitability:
¿Cuán fácil es de explotar vulnerabilidades?
Affected Users
: ¿Cuáles y cuántos usuarios se verían afectados?
Discoverability
: ¿Cuán fácil de descubrir es la vulnerabilidad?
CoSMo
Se apoya en mecanismos de seguridad y políticas de seguridad las cuales utiliza para elaborar una matriz de requisitos y mecanismos de seguridad que ayuden a defender de ataques y amenazas en contra de la información.
Es una metodología tradicional
Tipos de Testing
Testing Funcional
Aplicado a las funcionalidades de seguridad de una aplicación
Testing de seguridad basado en Riesgo
Identifican todas las interfaces de la aplicación y se generan casos de test sobre cada interfaz basado en STRIDE.
Testing con un cliente / server falso
Consiste en diseñar un cliente o server “Ad Hoc” que permita:
• Enviar peticiones /respuestas incorrectas o inválidas
• Enviar peticiones/ respuestas fuera de orden.
• Insertar delays arbitrarios.
• Comportarse de manera diferente al cliente o servidor real.
Test de stress
lleva la carga o funcionalidad de la aplicación al límite
Test de mutación de datos
Se testea la aplicación ingresando en sus interfaces datos “mutados”
Revisión de código
Permite encontrar vulnerabilidades que son muy difíciles de detectar con otros métodos de testing de seguridad (ej: BackDoors)
Hardening de software de base
• Evitar Servicios innecesarios
• Evitar Usuarios y contraseñas default
• Configuración de intérpretes y compiladores apropiadamente
Actividades por interación
SREP Security Requirements Engineering Process
Análisis de Riesgo Thread Modeling