Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un...
Transcript of Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un...
![Page 1: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/1.jpg)
Compartir Inteligencia:
Construcción de un Catálogo de Patrones de Seguridad
Universidad Tecnológica Nacional, Argentina
Facultad Regional Santa Fe – CIDISI
CIBSI 2013 – Ciudad de Panamá - 29/10/2013
![Page 2: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/2.jpg)
Software Seguro
Atributos de seguridad
Pregunta guía
Concepto de patrón de seguridad
Catálogos: Necesidad
Atributos de un patrón
Ejemplo de catalogación
Prototipo de catalogación y búsqueda
Trabajo futuro
Agenda
![Page 3: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/3.jpg)
Software Seguro
Proceso de desarrollo seguro
Procesos y practicas
Reducir:
Errores
Debilidades
Etapas Básicas:
• Especificación
• Diseño
• Desarrollo
• Despliegue
![Page 4: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/4.jpg)
Problemas de seguridad
Características
Atributos
Los atributos en sí: No hacen seguro al software en forma directa. Ayudan a caracterizar cuando es seguro.
Confidencialidad
Integridad
Disponibilidad
Responsabilización
No-Repudio
![Page 5: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/5.jpg)
Confidencialidad: Tiene que asegurar que sus características, activos que administra y
contenido esta enmascarado u oculto de entidades no autorizadas.
Integridad: El software y sus activos es resistente y flexible a la subversión, ya sea de
modificaciones no autorizadas por entidades autorizadas o cualquier tipo de modificación
por parte de entidades no autorizadas. Involucra tanto desarrollo como ejecución.
Atributos I
![Page 6: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/6.jpg)
Disponibilidad: El software tiene que estar operativo y accesible a usuarios autorizados y
sus privilegios y funcionalidad inaccesibles a usuarios no autorizados en todo momento.
Se definen dos atributos adicionales asociados a los usuarios.
Responsabilización: Toda acción relevante relacionada con la seguridad debe ser
registrada y rastreada con atribución de responsabilidad, permitiendo que sea posible tanto
durante como a posteriori de las acciones.
No-Repudio: Prevenir que el software que actua como usuario desmienta o niegue la
responsabilidad de las acciones. Evita subvertir o eludir el atributo responsabilización.
Atributos II
![Page 7: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/7.jpg)
Pregunta Guía
¿Cómo encontrar un solución probada y reutilizable a un problema de seguridad en el desarrollo de una solución de software?
![Page 8: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/8.jpg)
Practica Teoría
Patrón de Seguridad
![Page 9: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/9.jpg)
“Cada patrón es una regla de tres partes, expresada como una relación entre un determinado contexto, un determinado sistema de fuerzas que ocurren repetidamente en este contexto, y una determinada configuración de software que permite que estas fuerzas se resuelvan a sí mismas.” (Coplien, J.)
Es una solución probada a un problema de seguridad recurrente en un sistema de software.
Patrón de Seguridad
![Page 10: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/10.jpg)
Catálogos
Los patrones existentes no siguen un criterio común de definición (plantilla).
Necesidad de definir un criterio común para catalogar los patrones.
Un catálogo centralizado es una herramienta que actúa como punto de partida para la búsqueda e identificación de una o más soluciones a un problema de seguridad.
![Page 11: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/11.jpg)
Atributos de un Patrón
Nombre El nombre de la definición original del patrón de seguridad.
Objetivo Problema que resuelve el patrón de seguridad. Es una respuesta a un problema de seguridad presente.
Clasificación En base a la fase del proceso de desarrollo de software en la que normalmente se aplica el patrón: requerimientos, análisis, diseño, codificación, pruebas, implementación.
Aspecto de seguridad afectado
Confidencialidad, integridad, disponibilidad, responsabilización, no-repudio
Palabras claves Sirven como una referencia complementaria al patrón.
Referencia bibliográfica
Enlaces hacia los documentos y/o páginas web donde se encuentra la descripción detallada del patrón.
![Page 12: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/12.jpg)
Ejemplo
Nombre Authenticated Session
Objetivo Permitir el acceso a múltiples páginas con acceso restringido, sin tener que re-autenticarse cada vez. Mantener información de autenticación en la navegación de un sistema.
Clasificación Diseño
Aspecto de seguridad afectado
Responsabilización, Integridad.
Palabras claves Autenticación, Single Sign-On
Referencia bibliográfica
Security Patterns Repository v1.0.pdf Cunningham, C. “Session Management and Authentication with PHPLIB”. http://www.phpbuilder.com/columns/chad19990414.php3, (Rev. Mayo 2013). Kärkkäinen, S. “Session Management”. Unix Web Application Architectures. http://webapparch.sourceforge.net/#23, October 2000. (Rev. Mayo 2013)
![Page 13: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/13.jpg)
Prototipo
JabRef : software de gestión de referencias bibliográficas configurable.
Entry Types: definición de un tipo especial.
Portabilidad aplicación y de documentos referenciados
![Page 14: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/14.jpg)
![Page 15: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/15.jpg)
JabRef
Tipos de entrada
![Page 16: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/16.jpg)
JabRef
Selección por grupo, ya definido uno para la
clasificación por Fase de desarrollo.
Campo de búsqueda, filtrado de palabras por
campo o todos los campos según se requiera.
![Page 17: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/17.jpg)
![Page 18: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/18.jpg)
Trabajo Futuro
Seguir completando el prototipo.
Probar si los criterios definidos efectivamente funcionan y sirven.
Analizar la factibilidad de desarrollar una aplicación Web para el Catálogo.
![Page 19: Compartir Inteligencia Construcción de un Catálogo de ... · Inteligencia: Construcción de un Catálogo de Patrones de Seguridad ... respuesta a un problema de seguridad presente.](https://reader036.fdocumento.com/reader036/viewer/2022070718/5ede292ead6a402d66697598/html5/thumbnails/19.jpg)
Integran el equipo de trabajo
Marta Castellaro (UTN-FRSF)
Susana Romaniz (UTN-FRSF)
Juan Carlos Ramos (CIDISI – UTN-FRSF)
Ignacio Ramos (UTN-FRSF)
Contacto: [email protected]
¡¡¡ MUCHAS GRACIAS !!!