Escribiendo Código Seguro

Click here to load reader

  • date post

    18-Aug-2015
  • Category

    Documents

  • view

    11
  • download

    4

Embed Size (px)

description

Mejores practicas para escribir código seguro.

Transcript of Escribiendo Código Seguro

Escribiendo Cdigo Seguro Mejores PrcticasAgendaProceso de Desarrollo SeguroModelado de AmenazasAtenuacin de RiesgosBuenas Prcticas en SeguridadPre-requisitosExperiencia de desarrollo con MicrosoftVisual Basic ! Microsoft Visual "## ! or "$Mejorando el Proceso de Desarrollo de Aplicaciones"onsiderar la seguridad%&Al comienzo del Proceso&A lo largo del Desarrollo&Durante la implementacin&En todos los 'itos de re(isiones del Soft)areSiga *uscando errores de seguridad 'asta el fin del proceso de desarrollo+SD,Secure by DesignSecure by DefaultSecure in DeploymentArquitectura y Cdigo Seguro- GuasAnlisis de AmenazasReduccin de ulnerabilidadesReducir las areas y super!cies de ataques"o que no se usa# Des$abilitarlo por defecto%sar los mnimos derec$os&roteccin' Deteccin# defensa# recuperacin# y administracin &roceso' Guias de Como $acer $acer que(# Guas de Arquitectura&ersonal' )ntrenamientoEl Framewor de Seguridad SD!Proceso para el Desarrollo SeguroEsquema de Pruebas CompletoDiseoCompletoConcepto CodificacinCompletaEntregar Pos-EntregaPrueba de vulnerabilidades de seguridadDetermine Criterios de seguridadEnviar para revisin ExternaAnaliceamenazasAprenda y RefineRevisin por parte del equipoEntrenar miembros del equipoProbar cambios en los datos y bajos privilegios de accesoResolver temas de seguridad verificar el cdigo contra las guias de seguridad!Cont"nuoEvaluar conocimientos de seguridad de los miembros del equipo"#u$ es el Modelado de Amena%as &Es un anlisis *asado en la seguridad -ue permite%&A.udar al e-uipo del producto donde es ms (ulnera*le la aplicacin&E(aluar las amenazas de una aplicacin&Apunta a reducir glo*almente los riesgos&Buscar -ue cosas son (aliosas&Descu*rir (ulnera*ilidades&/dentificar amenazasModelado de Amena%as 'Proceso*denti!car +alores a proteger #Crear isin de Arquitectura $Descomponer la Aplicacin %*denti!car las amenazas &Documentar las amenazas 'alorizar las amenazas (,odelado de AmenazasModelado de Amena%as 'Proceso Paso () Crear una *isin de la Arquitectura /dentificar -ue 'ace la aplicacin"rear un diagrama de la ar-uitectura de la aplicacin /denti-ue las tecnolog0asPermisos NTFS(utenticacin!utori"acin de rc#i$osutori"acin de %&'&oles de (NET(utenticacin!&oles definidos por el %suario(utenticacin!SS'(Pri$acidad)*ntegridad!'+mites de Confian"alicia,aria&oberto**S**Sntenticacinnnimautenticacin por Formularios*PSec(Pri$acidad)*ntegridad!'+mites de Confian"aSPNET(Proceso de *ndentificacin! ,icrosoft SP(NET,icrosoft SP(NETutenticacin ,icrosoft -indo.sr,icrosoftS/' Ser$er0Tipos de Amenazas EjemplosSpoo!ng -)nga.ar/ 0alsi!car mensa1es de e-mail S2" *n1ection3ampering -Sabotear/ Alterar datos durante la transmisin Cambio de datos en arc$i+osRepudiation -Repudio/ 4orrar un arc$i+o crtico y negarlo Comprar un producto y negarlo*nformation disclosure -Di+ulgacin de *nformacin/ )5poner informacin en mensa1es de )rror )5poner cdigo en sitios 6ebDenial of ser+ice -7egacin de Ser+icio/*nundar la red con paquetes S87*nundar la red con paquetes *C,& falsi!cados)le+ation of pri+ilege -)le+acin de &ri+ilegio/)5plotar desbordamientos de bu9er para obtener pri+ilegios en el sistema:btener derec$os de Administrador ilegalmenteModelado de Amena%as 'Proceso +denti,icar amena%as usando S-.+DEEjemplos de -$cnicas de AtenuacinCliente)erverDatos PersistentesDatos AutenticacinConfigurationDataSS/0-/S+PSec .PC0DC1 con Pri*acidadFirewall/imitar utili%acin de recursos por las cone2iones annimasControl Acceso .3gidoFirmas DigitalesAudior3aRed *nseguraMuc'as 1racias+