Upload
vicente-aceituno
View
1.506
Download
2
Embed Size (px)
DESCRIPTION
Citation preview
© 2013 IBM Corporation
IBM Security Systems
1 1 © 2013 Bankia & IBM Corporation
El proceso de ciclo de vida de desarrollo seguro(PCVDS) en Bankia
© 2013 IBM Corporation
IBM Security Systems
2 2 © 2013 Bankia & IBM Corporation
Aspectos destacados 2012
© 2013 Bankia & IBM Corporation3 3
Importante saber dónde están los problemas….
© 2013 Bankia & IBM Corporation4 4
X-Force Report 2012
Desde 1997, IBM X-Force ha estado documentando la información pública de las vulnerabilidades de seguridad. En aquel entonces, había unas pocas vulnerabilidades para documentar cada semana. Ahora, más de quince años después, se documenta un promedio de más de 150 vulnerabilidades por semana. Incontables horas de trabajo se dedican semanalmente para analizar Internet, analizando WebSites, leyendo foros y RSS feeds, e investigando información para IBM X-Force Vulnerability Database (XFDB).
Nuestra base de datos contiene actualmente 70.000 vulnerabilidades únicas y sigue creciendo a un ritmo sostenido promedio de 7.700 vulnerabilidadespor año durante los últimos cinco años. Vulnerabilidades de aplicaciones Web siguen siendo un “castigo”.
© 2013 Bankia & IBM Corporation5 5
2011: “The year of the targeted attack”
Source: IBM X-Force® Research 2011 Trend and Risk Report
Marketing
Services
Online Gaming
Online Gaming
Online Gaming
Online Gaming
Central Governme
nt
Gaming
Gaming
InternetServices
Online Gaming
Online Gaming
OnlineServices
Online Gaming
IT Security
Banking
IT Security
GovernmentConsulting
IT Security
Tele-communications
Enter-tainment
ConsumerElectronic
sAgriculture
Apparel
Insurance
Consulting
ConsumerElectronics
InternetServices
CentralGovt
CentralGovt
CentralGovt
Attack Type
SQL Injection
URL Tampering
Spear Phishing
3rd Party Software
DDoS
SecureID
Trojan Software
Unknown
Size of circle estimates relative impact of breach in terms of cost to business
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
Entertainment
Defense
Defense
Defense
ConsumerElectronics
CentralGovernment
CentralGovernment
CentralGovernment
CentralGovernment
CentralGovernment
CentralGovernment
CentralGovernment
ConsumerElectronics
National Police
National Police
StatePolice
StatePolice
Police
Gaming
FinancialMarket
OnlineServices
Consulting
Defense
HeavyIndustry
Entertainment
Banking
2011 Sampling of Security Incidents by Attack Type, Time and ImpactConjecture of relative breach impact is based on publicly disclosed information regarding leaked records and financial losses
© 2013 Bankia & IBM Corporation6 6
2012: The explosion of breaches continues!
Source: IBM X-Force® Research 2012 Trend and Risk Report
2012 Sampling of Security Incidents by Attack Type, Time and ImpactConjecture of relative breach impact is based on publicly disclosed information regarding leaked records and financial losses
© 2013 Bankia & IBM Corporation7 7
Vulnerabilidades y Explotación
En 2012, vimos 8.168 vulnerabilidades divulgadas públicamente. Aunque no es la cantidad récord que esperábamos ver después de revisar nuestros datos a mitad de año, todavía representa un aumento de más del 14% en 2011.
© 2013 Bankia & IBM Corporation8 8
Vulnerabilidades y Explotación
Las vulnerabilidades de las aplicaciones Web aumentaron un 14% a partir de 2.921 vulnerabilidades en 2011 a 3.551 vulnerabilidades en 2012. Cross-site scripting vulnerabilidades representaron más de la mitad de las vulnerabilidades de las aplicaciones Web totales durante 2012.
© 2013 Bankia & IBM Corporation9 9
Vulnerabilidades y Explotación
Cross-site scripting fue el mayor tipo de vulnerabilidad web. El cincuenta y tres por ciento de todos las vulnerabilidades Web eran tipos de cross-site scripting. Esta es la tasa más alta que hemos visto nunca. Este espectacular aumento se produjo mientras vulnerabilidades de SQL Injection mantuvieron una tasa superior a la de 2011, pero seguían siendo reducido significativamente desde 2010.
© 2013 Bankia & IBM Corporation10 10
…y ahora qué?
© 2013 Bankia & IBM Corporation11 11
Aprende a pensar como un hacker
© 2013 Bankia & IBM Corporation12 12
PCVDS: Proceso de Ciclo de Vida de Desarrollo Seguro
¿Por qué?
– Una parte importante de los incidentes de seguridad producidos en las compañías son debidas a la explotación malintencionada de defectos de seguridad en los aplicativos.
¿Para qué?
– Evitar, detectar o mitigar incidentes de seguridad.
– Reducir coste corrección vulnerabilidades
– Confianza.
© 2013 Bankia & IBM Corporation13 13
Estados de Madurez
Nivel madurez
Ren
tab
ilid
ad
Test Intrusión
Caja Blanca
Pase a Producción
Diseño Seguro
Mejora Continua
© 2013 Bankia & IBM Corporation14 14
Sistema de Gestión
Desarrollo
Infraestructura
Diseño Construcción Pruebas Producción
Supervisión
Seguimiento
Documentación
Revisión
Fases Desarrollo Seguro
© 2013 Bankia & IBM Corporation15 15
Entregables Documento de Seguridad
• Definición de la aplicación o sistema• Tipos de usuarios• Arquitectura de seguridad elegida• Tipo de información que maneja• Tipo de conexión
– Informes RTS• Incumplimientos de la guía técnica• Recomendaciones de corrección• Concienciación.
– Seguimiento• De recomendaciones• Reuniones periódicas Desarrollo y Producción.• Cuadro de Mando Dirección (métricas)• SLA
– Documentación de procesos• Wiki
© 2013 Bankia & IBM Corporation16 16
…la tecnología también ayuda
© 2013 Bankia & IBM Corporation17 17
Seguridad en Aplicaciones
© 2013 Bankia & IBM Corporation18 18
Integración de herramientas de Seguridad
AppScan Standard(DAST desktop client)
AppScan Source(SAST desktop client)
AppScan Enterprise Dynamic Analysis Scanners (server-based DAST)
AppScan Enterprise Server
AppScan Enterprise Web client
• Identified Risk• Application Vulnerability
Gestión de Vulnerabilidades :
Compartir:
– QRadar (SIEM) importa datos de vulnerabilidades en aplicaciones de forma nativa a través de la herramienta Appscan.
– QRadar muestra el detalle de las vulnerabilidades a través de su Asset Profile
Correlar y Alertar:
– Correla eventos de red con vulnerabilidades de aplicación, ayudando a determinar la prioridad del incidente y/o el posible impacto del ataque.
– Iniciar el escaneo desde QRadar
– Envía alertar a los administradores del AppScan.
© 2013 Bankia & IBM Corporation19 19
© 2013 Bankia & IBM Corporation20 20
Conclusiones
© 2013 Bankia & IBM Corporation21 21
Conclusiones
PCVDS “reproducible”. Guías técnicas concisas y en positivo. Por qué hacemos lo que hacemos y lo que no hacemos.
¡El desarrollador ya no es nuestro adversario!
© 2013 Bankia & IBM Corporation22 22
ibm.com/security
© Copyright IBM Corporation 2012. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed or misappropriated or can result in damage to or misuse of your systems, including to attack others. No IT system or product should be considered completely secure and no single product or security measure can be completely effective in preventing improper access. IBM systems and products are designed to be part of a comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.