Uso de O-ISM3 en Bankia

© 2013 IBM Corporation

IBM Security Systems

1 1 © 2013 Bankia & IBM Corporation

El proceso de ciclo de vida de desarrollo seguro(PCVDS) en Bankia

© 2013 IBM Corporation

IBM Security Systems

2 2 © 2013 Bankia & IBM Corporation

Aspectos destacados 2012

© 2013 Bankia & IBM Corporation3 3

Importante saber dónde están los problemas….


X-Force Report 2012

Desde 1997, IBM X-Force ha estado documentando la información pública de las vulnerabilidades de seguridad. En aquel entonces, había unas pocas vulnerabilidades para documentar cada semana. Ahora, más de quince años después, se documenta un promedio de más de 150 vulnerabilidades por semana. Incontables horas de trabajo se dedican semanalmente para analizar Internet, analizando WebSites, leyendo foros y RSS feeds, e investigando información para IBM X-Force Vulnerability Database (XFDB).

Nuestra base de datos contiene actualmente 70.000 vulnerabilidades únicas y sigue creciendo a un ritmo sostenido promedio de 7.700 vulnerabilidadespor año durante los últimos cinco años. Vulnerabilidades de aplicaciones Web siguen siendo un “castigo”.


2011: “The year of the targeted attack”

Source: IBM X-Force® Research 2011 Trend and Risk Report

Marketing

Services

Online Gaming

Online Gaming

Online Gaming

Online Gaming

Central Governme

nt

Gaming

Gaming

InternetServices

Online Gaming

Online Gaming

OnlineServices

Online Gaming

IT Security

Banking

IT Security

GovernmentConsulting

IT Security

Tele-communications

Enter-tainment

ConsumerElectronic

sAgriculture

Apparel

Insurance

Consulting

ConsumerElectronics

InternetServices

CentralGovt

CentralGovt

CentralGovt

Attack Type

SQL Injection

URL Tampering

Spear Phishing

3rd Party Software

DDoS

SecureID

Trojan Software

Unknown

Size of circle estimates relative impact of breach in terms of cost to business

Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec

Entertainment

Defense

Defense

Defense

ConsumerElectronics

CentralGovernment

CentralGovernment

CentralGovernment

CentralGovernment

CentralGovernment

CentralGovernment

CentralGovernment

ConsumerElectronics

National Police

National Police

StatePolice

StatePolice

Police

Gaming

FinancialMarket

OnlineServices

Consulting

Defense

HeavyIndustry

Entertainment

Banking

2011 Sampling of Security Incidents by Attack Type, Time and ImpactConjecture of relative breach impact is based on publicly disclosed information regarding leaked records and financial losses


2012: The explosion of breaches continues!

Source: IBM X-Force® Research 2012 Trend and Risk Report

2012 Sampling of Security Incidents by Attack Type, Time and ImpactConjecture of relative breach impact is based on publicly disclosed information regarding leaked records and financial losses


Vulnerabilidades y Explotación

En 2012, vimos 8.168 vulnerabilidades divulgadas públicamente. Aunque no es la cantidad récord que esperábamos ver después de revisar nuestros datos a mitad de año, todavía representa un aumento de más del 14% en 2011.



Las vulnerabilidades de las aplicaciones Web aumentaron un 14% a partir de 2.921 vulnerabilidades en 2011 a 3.551 vulnerabilidades en 2012. Cross-site scripting vulnerabilidades representaron más de la mitad de las vulnerabilidades de las aplicaciones Web totales durante 2012.



Cross-site scripting fue el mayor tipo de vulnerabilidad web. El cincuenta y tres por ciento de todos las vulnerabilidades Web eran tipos de cross-site scripting. Esta es la tasa más alta que hemos visto nunca. Este espectacular aumento se produjo mientras vulnerabilidades de SQL Injection mantuvieron una tasa superior a la de 2011, pero seguían siendo reducido significativamente desde 2010.


…y ahora qué?


Aprende a pensar como un hacker


PCVDS: Proceso de Ciclo de Vida de Desarrollo Seguro

¿Por qué?

– Una parte importante de los incidentes de seguridad producidos en las compañías son debidas a la explotación malintencionada de defectos de seguridad en los aplicativos.

¿Para qué?

– Evitar, detectar o mitigar incidentes de seguridad.

– Reducir coste corrección vulnerabilidades

– Confianza.


Estados de Madurez

Nivel madurez

Ren

tab

ilid

ad

Test Intrusión

Caja Blanca

Pase a Producción

Diseño Seguro

Mejora Continua


Sistema de Gestión

Desarrollo

Infraestructura

Diseño Construcción Pruebas Producción

Supervisión

Seguimiento

Documentación

Revisión

Fases Desarrollo Seguro


Entregables Documento de Seguridad

• Definición de la aplicación o sistema• Tipos de usuarios• Arquitectura de seguridad elegida• Tipo de información que maneja• Tipo de conexión

– Informes RTS• Incumplimientos de la guía técnica• Recomendaciones de corrección• Concienciación.

– Seguimiento• De recomendaciones• Reuniones periódicas Desarrollo y Producción.• Cuadro de Mando Dirección (métricas)• SLA

– Documentación de procesos• Wiki


…la tecnología también ayuda


Seguridad en Aplicaciones


Integración de herramientas de Seguridad

AppScan Standard(DAST desktop client)

AppScan Source(SAST desktop client)

AppScan Enterprise Dynamic Analysis Scanners (server-based DAST)

AppScan Enterprise Server

AppScan Enterprise Web client

• Identified Risk• Application Vulnerability

Gestión de Vulnerabilidades :

Compartir:

– QRadar (SIEM) importa datos de vulnerabilidades en aplicaciones de forma nativa a través de la herramienta Appscan.

– QRadar muestra el detalle de las vulnerabilidades a través de su Asset Profile

Correlar y Alertar:

– Correla eventos de red con vulnerabilidades de aplicación, ayudando a determinar la prioridad del incidente y/o el posible impacto del ataque.

– Iniciar el escaneo desde QRadar

– Envía alertar a los administradores del AppScan.



Conclusiones


Conclusiones

PCVDS “reproducible”. Guías técnicas concisas y en positivo. Por qué hacemos lo que hacemos y lo que no hacemos.

¡El desarrollador ya no es nuestro adversario!


ibm.com/security

© Copyright IBM Corporation 2012. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed or misappropriated or can result in damage to or misuse of your systems, including to attack others. No IT system or product should be considered completely secure and no single product or security measure can be completely effective in preventing improper access. IBM systems and products are designed to be part of a comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.

Technology

Uso de O-ISM3 en Bankia