Técnicas de Evaluación de Seguridad en el Software...25 Técnicas de Evaluación de Seguridad en el Software Ventajas Puede ser rápido/económico Requiere“menos” habilidadesque

Sesión S01

Técnicas de Evaluación de

Seguridad en el SoftwareVicente Aguilera Díaz

#gigaTIC17

Agenda

1. Complejidad del software2. Crear software seguro3. Técnicas clásicas de evaluación4. Machine Learning aplicado al testing5. Conclusiones

2

Técnicas de Evaluación de Seguridad en el Software

1. Complejidad del software

3


4


5


2. Crear software seguro

6


Software seguro

Diseñar, construir y probar el software para laseguridad

Continúa ejecutándose correctamente bajo unataque malicioso

Diseñado con el fallo en mente

7


Buenas prácticas

OWASP SAMM OWASP CLASP Microsoft SDL SSE CMM Cigital Touchpoints BSIMM

8


3. Técnicas clásicas de evaluación

9


10


¿Qué es la evaluación?

Comparación del estado de algo con unconjunto de criterios

11


¿Porqué hacer la evaluación?

Identificar gap entre las prácticas de laorganización y las mejores prácticas de laindustria

12


¿Cuándo hacer la evaluación?

A través del SDLC

13


¿Qué incluir en la evaluación?

Pesonas, procesos y tecnología

14


Técnicas clásicas

Revisiones e inspecciones manuales Modelado de amenazas Revisiones de código Pruebas de intrusión

15


Revisiones e inspecciones manuales

Entrevistas Análisis de documentación Evalúa el SDLC

16


Ventajas

No requiere soporte de tecnología Flexible Promueve el trabajo en equipo Temprano en el SDLC

17


Inconvenientes

Puede consumir mucho tiempo El material no siempre está disponible Require habilidades específicas para ser

efectivo

18


Modelado de amenazas

Descomponer la aplicación Definir y clasificar los activos Identificar vulnerabilidades potenciales Identificar amenazas potenciales Crear estrategias de mitigación

19


Ventajas

Punto de vista práctico del atacante Permite tomar decisiones informadas sobre los

riesgos de seguridad Flexible Temprano en el SDLC

20


Inconvenientes

Require conocimiento profundo del software Es un proceso continuo y requiere actualización

21


Revisiones de código

Búsqueda de vulnerabilidades en el códigofuente de la aplicación

Conocimiento real de lo que hace la aplicación

22


Ventajas

Completo y efectivo Preciso

23


Inconvenientes

Requiere altos conocimientos de desarrollo yseguridad

No puede detectar errores en tiempo deejecución

El código fuente desplegado puede ser distintodel código analizado

24


Pruebas de intrusión

Búsqueda de vulnerabilidades en tiempo de ejecución

Simula el escenario de un atacante Explotación de las vulnerabilidades

“If you fail a penetration test you know you have a very badproblem indeed. If you pass a penetration test you do notknow that you don’t have a very bad problem”

25


Ventajas

Puede ser rápido/económico Requiere “menos” habilidades que la revision

de código Evalúa el código que está expuesto

26


Inconvenientes

Demasiado tarde en el SDLC Sólo evalúa la funcionalidad accesible

27


4. Machine Learning aplicado al testing

28


Machine Learning

Machine learning is an application of artificialintelligence (AI) that provides systems theability to automatically learn and improve fromexperience without being explicitlyprogrammed.

29


Aplicado a la evaluación del software

30



DeepCode Creado por DARPA Analiza código fuente y binario Identifica la forma del código vulnerable

“Ultimately, the goal of DeepCode is to find all instances ofall known software bugs”

31



Code Phage Creado por MIT Identifica vulnerabilidades Es capaz de auto parchear el código

Entre 2-10 minutos

32



Infer Facebook Análisis estático Open-source

33



Diferencia con escáneres automáticos Escáneres automáticos

Identifican sólo vulnerabilidades conocidas Elevada tasa de falsos positivos Recomendaciones generales

34



Detección de vulnerabilidades A tiempo real Optimización de las pruebas de seguridad Prevención de nuevos vectores de ataque Recomendaciones y aplicación de soluciones

Elaboración de informes de evaluación Aportará reducción de costes Incrementará la calidad del análisis

35


5. Conclusiones

36


Conclusiones

Construir software seguro implica adoptar unmodelo de madurez

Las pruebas deben servir para verificar y nopara conocer el nivel de seguridad

Aunque el uso de herramientas es necesario,siempre se requiere una revisión humana

Es necesario entender el contexto del análisis yser imaginativo en las pruebas

37


Conclusiones

Las técnicas de evaluación clásicas siguensiendo válidas y necesarias

Machine learning no será un sustituto, será unproceso complementario Análisis estático inteligente Automatización de pruebas de seguridad

El mercado demanda conocimientos eninteligencia artificial y técnicas de machinelearning

38


Referencias

39


Referencias

Facebook AI tool squashing bugs is now openhttps://www.wired.com/2015/06/facebooks-ai-tool-squashing-bugs-now-open/

Inferhttp://fbinfer.com

DeepCodehttp://www.deepcode.ai

40


Referencias

Code Phage - Automatic Error Eliminationhttps://people.csail.mit.edu/stelios/papers/codephage_pldi15.pdf

OWASPhttps://www.owasp.org

OWASP SAMMhttps://www.owasp.org/index.php/OWASP_SAMM_Project

41


Moltes gràcies !


Sesión S01

Vicente Aguilera Díaz

[email protected]

+34 93 305 13 18

@VAguileraDiaz

42

Documents

Técnicas de Evaluación de Seguridad en el Software...25 Técnicas de Evaluación de Seguridad en el Software Ventajas Puede ser rápido/económico Requiere“menos” habilidadesque