Post on 06-Oct-2015
description
Compartir Inteligencia:
Construccin de un Catlogo de Patrones de Seguridad
Universidad Tecnolgica Nacional, Argentina
Facultad Regional Santa Fe CIDISI
CIBSI 2013 Ciudad de Panam - 29/10/2013
Software Seguro
Atributos de seguridad
Pregunta gua
Concepto de patrn de seguridad
Catlogos: Necesidad
Atributos de un patrn
Ejemplo de catalogacin
Prototipo de catalogacin y bsqueda
Trabajo futuro
Agenda
Software Seguro
Proceso de desarrollo seguro
Procesos y practicas
Reducir:
Errores Debilidades
Etapas Bsicas:
Especificacin
Diseo
Desarrollo
Despliegue
Problemas de seguridad
Caractersticas
Atributos
Los atributos en s: No hacen seguro al software en forma directa. Ayudan a caracterizar cuando es seguro.
Confidencialidad
Integridad
Disponibilidad
Responsabilizacin
No-Repudio
Confidencialidad: Tiene que asegurar que sus caractersticas, activos que administra y
contenido esta enmascarado u oculto de entidades no autorizadas.
Integridad: El software y sus activos es resistente y flexible a la subversin, ya sea de
modificaciones no autorizadas por entidades autorizadas o cualquier tipo de modificacin
por parte de entidades no autorizadas. Involucra tanto desarrollo como ejecucin.
Atributos I
Disponibilidad: El software tiene que estar operativo y accesible a usuarios autorizados y
sus privilegios y funcionalidad inaccesibles a usuarios no autorizados en todo momento.
Se definen dos atributos adicionales asociados a los usuarios.
Responsabilizacin: Toda accin relevante relacionada con la seguridad debe ser
registrada y rastreada con atribucin de responsabilidad, permitiendo que sea posible tanto
durante como a posteriori de las acciones.
No-Repudio: Prevenir que el software que actua como usuario desmienta o niegue la
responsabilidad de las acciones. Evita subvertir o eludir el atributo responsabilizacin.
Atributos II
Pregunta Gua
Cmo encontrar un solucin probada y reutilizable a un problema de seguridad en el desarrollo de una solucin de software?
Practica Teora
Patrn de Seguridad
Cada patrn es una regla de tres partes, expresada como una relacin entre un determinado contexto, un determinado sistema de fuerzas que ocurren repetidamente en este contexto, y una determinada configuracin de software que permite que estas fuerzas se resuelvan a s mismas. (Coplien, J.)
Es una solucin probada a un problema de seguridad recurrente en un sistema de software.
Patrn de Seguridad
Catlogos
Los patrones existentes no siguen un criterio comn de definicin (plantilla).
Necesidad de definir un criterio comn para catalogar los patrones.
Un catlogo centralizado es una herramienta que acta como punto de partida para la bsqueda e identificacin de una o ms soluciones a un problema de seguridad.
Atributos de un Patrn
Nombre El nombre de la definicin original del patrn de seguridad.
Objetivo Problema que resuelve el patrn de seguridad. Es una respuesta a un problema de seguridad presente.
Clasificacin En base a la fase del proceso de desarrollo de software en la que normalmente se aplica el patrn: requerimientos, anlisis, diseo, codificacin, pruebas, implementacin.
Aspecto de seguridad afectado
Confidencialidad, integridad, disponibilidad, responsabilizacin, no-repudio
Palabras claves Sirven como una referencia complementaria al patrn.
Referencia bibliogrfica
Enlaces hacia los documentos y/o pginas web donde se encuentra la descripcin detallada del patrn.
Ejemplo
Nombre Authenticated Session
Objetivo Permitir el acceso a mltiples pginas con acceso restringido, sin tener que re-autenticarse cada vez. Mantener informacin de autenticacin en la navegacin de un sistema.
Clasificacin Diseo
Aspecto de seguridad afectado
Responsabilizacin, Integridad.
Palabras claves Autenticacin, Single Sign-On
Referencia bibliogrfica
Security Patterns Repository v1.0.pdf Cunningham, C. Session Management and Authentication with PHPLIB. http://www.phpbuilder.com/columns/chad19990414.php3, (Rev. Mayo 2013). Krkkinen, S. Session Management. Unix Web Application Architectures. http://webapparch.sourceforge.net/#23, October 2000. (Rev. Mayo 2013)
Prototipo
JabRef : software de gestin de referencias bibliogrficas configurable.
Entry Types: definicin de un tipo especial.
Portabilidad aplicacin y de documentos referenciados
JabRef
Tipos de entrada
JabRef
Seleccin por grupo, ya definido uno para la
clasificacin por Fase de desarrollo.
Campo de bsqueda, filtrado de palabras por
campo o todos los campos segn se requiera.
Trabajo Futuro
Seguir completando el prototipo.
Probar si los criterios definidos efectivamente funcionan y sirven.
Analizar la factibilidad de desarrollar una aplicacin Web para el Catlogo.
Integran el equipo de trabajo
Marta Castellaro (UTN-FRSF)
Susana Romaniz (UTN-FRSF)
Juan Carlos Ramos (CIDISI UTN-FRSF)
Ignacio Ramos (UTN-FRSF)
Contacto: iRamos@frsf.utn.edu.ar
MUCHAS GRACIAS !!!