Asignatura Seguridad en el Software
Datos del alumno alumno
Fecha
Apellidos: Guerrero Barrera Barrera 3 de octubre de 2018 Nombre: Edwin
Acc t i v i d a d e s A Trabajo: etodolo!"as de modelado de amena#as $ara se!uir pro%undi#ando en el modelado de amena#as se propone reali#ar este trabajo &ue conten!a al menos el si!uiente contenido: contenido: ' (ntroducci)n al modelado de amena#as* El modelado de amena#as+ es un an,lisis por el cual se pueden determinar los ries!os &ue en materia de se!uridad puede estar e-puesto un productor de so%tware+ red o entorno* A su ve# el modelado de amena#as+ permite establecer establecer la %orma en &ue pueden aparecer los ata&ues+ buscando la m,-ima miti!aci)n de estos ata&ues*
' El an,lisis de modelo de amena#as .TA/ es un an,lisis &ue auda a determinar los ries!os de se!uridad &ue pueden acaecer en un producto+ aplicaci)n+ red o entorno+ as" como la %orma en la &ue se aparecen los ata&ues* El objetivo consiste en determinar cu,les son las amena#as &ue re&uieren miti!aci)n los modos de acerlo* ' Esta secci)n proporciona in%ormaci)n de alto nivel acerca del proceso TA* $ara obtener m,s in%ormaci)n+ consulte el cap"tulo de ritin! 4ecure 5ode+ se!unda edici)n+ de icael 6oward 7avid eBlanc* ' Al!unas de las ventajas ventajas de un TA son: ' 9acilita la comprensi)n de la aplicaci)n* ' Auda a detectar errores ' $uede audar a los miembros del nuevo e&uipo a entender la aplicaci)n con maor pro%undidad* ' 5ontiene in%ormaci)n importante para otros e&uipos &ue trabajan en su aplicaci)n*
TEMA 3 –Actividades
;niversidad (nternacional de a
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Guerrero Barrera 3 de octubre de 2018 Nombre: Edwin
' * 7ocumentar el modelo de se!uridad las consideraciones de implementaci)n ' $aso ?* (mplementar probar las miti!aciones $aso @* antener el modelo de amena#as sincroni#ado con el diseo
' (denti%icar escenarios de casos de uso* En cada escenario de caso de uso de su entorno de destino+ identi%i&ue c)mo espera &ue su empresa utilice el entorno de destino+ as" como las limitaciones restricciones del entorno de destino* Esta in%ormaci)n auda a de%inir el ,mbito de discusi)n del modelo de amena#as+ proporciona los indicadores a los activos .cual&uier elemento de valor de la empresa+ como+ por ejemplo+ la in%ormaci)n los e&uipos/ los puntos de entrada* ' 5rear un dia!rama de %lujo de datos .797/ para cada escenario* Ase!rese de &ue pro%undi#a lo su%iciente para entender las amena#as* ' 7eterminar los l"mites el ,mbito del entorno de destino* ' 5omprender los l"mites entre los componentes &ue son de con%ian#a los &ue no lo son* ' 5omprender el modelo de administraci)n con%i!uraci)n de cada componente* ' 5rear una lista de dependencias e-ternas* 5rear una lista de supuestos acerca de los componentes de los &ue depende cada componente* Esto auda a validar los elementos de se!uimiento+ los elementos de acci)n los supuestos derivados de varios componentes con otros e&uipos* ' Estudio de metodolo!"as e-istentes* ' 7escripci)n de una metodolo!"a en pro%undidad* ' Ejercicio pr,ctico de modelado de amena#as+ utili#ando una erramienta de modelado como Treat Analsis and odelin! Tool 201+ del si!uiente caso &ue se
TEMA 3 –Actividades
;niversidad (nternacional de a
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Guerrero Barrera 3 de octubre de 2018 Nombre: Edwin
describe a continuaci)n .incluir los %iceros !enerados por la erramienta junto con el del trabajo en un %icero a subir en la plata%orma/* Caso práctico
5on objetivo de a%ian#ar los conocimientos ad&uiridos sobre el modelado de amena#as+ se pide el de%inir+ modelar medir las posibles amena#as de una tienda de libros online, llamada Librera !n"Line SA * Cltimamente+ a su%rido un ciberata&ue &ue a comprometido las credenciales de sus clientes* El incidente a trascendido en los medios de comunicaci)n+ lo &ue a producido una p=rdida de cuota de mercado importante+ %rente a sus competidores* 5on el objetivo de mantener su actual posici)n en el mercado de venta electr)nica de libros volver a recurar e incluso superar la &ue ten"a+ a contratado a la empresa #n$oSecurit% para llevar a cabo un trabajo de modelado de amena#as a sus sistemas T( e implementar las salva!uardas &ue se deriven del mismo en %unci)n del nivel de ries!o la disponibilidad econ)mica* 4e le establece los si!uientes re&uisitos de ne!ocio t=cnicos: ' 6abr, tres tipos de usuarios en la aplicaci)n: clientes+ administrador T( a!ente de ventas ' os clientes deben poder buscar productos !estionar sus pedidos utili#ando la tienda web o llamando a la o%icina de ventas* ' $ara &ue un cliente pueda reali#ar un pedido el cliente debe+ con anterioridad+ re!istrase para crearle una cuenta* ' El cliente puede pa!ar con una tarjeta de cr=dito+ d=bito o mediante tras%erencia bancaria* ' os clientes deben iniciar sesi)n antes para poder personali#ar sus pre%erencias* ' os clientes deben ser capaces de revisar modi%icar sus pedidos reali#ados* ' os a!entes de ventas pueden conceder descuentos a los clientes* ' os administradores pueden modi%icar eliminar clientes productos e in%ormaci)n* ' a tienda web de la librer"a tendr, &ue ser accesible desde (ntranet e (nternet*
TEMA 3 –Actividades
;niversidad (nternacional de a
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Guerrero Barrera 3 de octubre de 2018 Nombre: Edwin
' a tienda web deber, disearse con una ar&uitectura distribuida por ra#ones de escalabilidad* ' El cliente necesitar, autenticarse en la tienda web con las credenciales de la cuenta de usuario+ &ue a su ve# se comprobar,n contra la base de datos implementada en el backend de la compa"a+ a trav=s de una inter%a# de servicios web* ' a in%ormaci)n de la cuenta del usuario la in%ormaci)n del producto deber,n mantenerse en una base de datos relacional* ' El procesamiento de tarjetas de cr=dito ser, subcontratado a un procesador de terceros* ' as interacciones de los usuarios con la tienda web se almacenan en un servidor de lo! interno de la or!ani#aci)n* ' a base de datos deber, copiarse peri)dicamente en una ubicaci)n de un proveedor de servicios T( de terceros+ para prop)sitos de recuperaci)n ante desastres* ' El sitio web se disear, l)!icamente como una aplicaci)n clienteDservidor distribuida con%orme a un modelo de tres capas: presentaci)n+ proceso datos* ' os clientes acceder,n a la aplicaci)n utili#ando nave!adores web de escritorio+ dispositivos m)viles* ' El sitio web se desple!ar, en (nternet prote!ido por una 7 de dos capas con acceso tanto para usuarios internos como e-ternos* ' 9"sicamente+ la aplicaci)n estar, completamente alojada en un servidor de aplicaciones .9rontend/ alojado en la 7+ con acceso a un servidor de base de datos &ue estar, en la red interna de la compa"a .BacFend/* ' as tecnolo!"a utili#ada en el desarrollo de la aplicaci)n web es A4$*Net utili#ando 5 la base de datos del backend de la compa"a est, implementada en base al producto icroso%t 4H 4erver* os objetivos de se!uridad establecidos para la tienda web de ibrer"a InJine 4A son los si!uientes objetivos: !&"'(
!&")(
Ibtener la posici)n l"der de mercado en venta de libros online * antener con%idencialidad+ inte!ridad disponibilidad de la in%ormaci)n
!&"3(
almacenada trasmitida* !&"*( $roporcionar un servicio se!uro a los clientes e-istentes potenciales*
TEMA 3 –Actividades
;niversidad (nternacional de a
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Guerrero Barrera 3 de octubre de 2018 Nombre: Edwin
$roporcionar un servicio ininterrumpido a los clientes e-istentes potenciales* 4e aplicar,n t=cnicas de monitori#aci)n+ e&uilibrio de car!a+ replicaci)n+ recuperaci)n ante desastres continuidad del ne!ocio copias de se!uridad
!&"+(
recuperables !&",( $roporcionar una e-periencia de usuario mejorada a los clientes e-istentes potenciales* !&"-( 4e establecer,n procesos de autenticaci)n+ autori#aci)n auditor"a* El sistema estar, basado en una t"pica ar&uitectura de una aplicaci)n web de tres capas+ donde el cliente es un nave!ador &ue accede a los servicios proporcionados por el sitio web de la librer"a+ &ue contiene una base de datos de los clientes+ cuentas publicaciones disponibles+ alojada en un servidor de bases de datos un servidor web &ue implementa toda la l)!ica de ne!ocio* Tener en cuenta &ue nos encontramos en la %ase an,lisis de re&uisitos del 475+ identi%icando re&uisitos %uncionales de se!uridad*
TEMA 3 –Actividades
;niversidad (nternacional de a
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Guerrero Barrera 3 de octubre de 2018 Nombre: Edwin
.eali/aci0n del diagrama DFD de la ar1uitectura de la aplicaci0n
$ara la reali#aci)n del 797 se utili#ara la erramienta Treat Analsis and odelin! Tool 201? de la compa"a icroso%t+ descar!able en el si!uiente enlace: Accede a m,s in%ormaci)n a trav=s del aula virtual o desde la si!uiente direcci)n web: ttps:DDwww*microso%t*comDenJusDdownloadDdetails*asp-KidLM1?8 5omo auda a su manejo+ aparte de los manuales 1ue se pueden descargar con esta herramienta+ se aconseja visionar estos dos videos: ' App4ecE; 1? J attias ($Fu7nIGs ' icroso%t 47 ;nit0 J Treat odelin! $rinciples .evel 100/* ttps:DDwww*outube*comDwatcKvLG#2H1IlGH a aplicaci)n permite anali#ar las amena#as de una aplicaci)n web t"pica de ne!ocio de pa!o electr)nico de una librer"a .te-tos+ libros+ revistas+ etc*/+ en %ormato di!ital con opciones de impresi)n* El sistema est, basado en una t"pica ar&uitectura de una aplicaci)n web de tres capas+ donde el cliente es un nave!ador &ue acceder a los servicios proporcionados por el sitio web de la librer"a+ &ue contiene una base de datos de los clientes+ cuentas publicaciones disponibles+ alojada en un servidor uno de bases de datos .&ue replica a un ostin! e-terno para tener un backup/+ un servidor web &ue implementa toda la l)!ica de ne!ocio+ una servidor de logs interno como podr"an ser un 4(E por ltimo un acceso a una pasarela de pa!os e-terna Tener en cuenta &ue nos encontramos en la %ase an,lisis de re&uisitos del 475+ identi%icando re&uisitos %uncionales de se!uridad*
TEMA 3 –Actividades
;niversidad (nternacional de a
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Guerrero Barrera 3 de octubre de 2018 Nombre: Edwin
Topolo!"a l)!ica de la aplicaci)n
Is propon!o modelar la aplicaci)n mediante el si!uiente dia!rama 797 &ue constitue una representaci)n !r,%ica &ue a!ili#a el proceso de modelado de re&uerimientos al mismo* En la si!uiente %i!ura os muestro un modelo b,sico como auda a la reali#aci)n del dia!rama 797 de la aplicaci)n propuesta* No olvidar con%i!urar las propiedades de cada elemento del dia!rama+ por ejemplo+ con%i!urar autenticaci)n autori#aci)n en el servidor web prote!er, de posibles amena#as la erramienta lo tendr, en cuenta a la ora de calcularlas* Adem,s saldr,n amena#as repetidas* Es decir+ se tendr,n menos amena#as* ;n ejemplo puede ser el si!uiente+ aun&ue el alumno lo puede modelar de %orma di%erente se!n considere:
TEMA 3 –Actividades
;niversidad (nternacional de a
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Guerrero Barrera 3 de octubre de 2018 Nombre: Edwin
$osible dia!rama 797 de la aplicaci)n*
a erramienta Treat odelin! Tool 201? tiene dos vistas: ' ;na de diseo para dibujar el dia!rama 797 de la aplicaci)n* ' ;na de an,lisis &ue calcula las amena#as autom,ticamente permite incluir las salva!uardas manualmente*
TEMA 3 –Actividades
;niversidad (nternacional de a
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Guerrero Barrera 3 de octubre de 2018 Nombre: Edwin
Selección de vitas
Oistas Treat Analsis and odelin! Tool 201*
;na ve# dibujado el dia!rama anterior en la erramienta .u otro &ue consider=is adecuado para vuestro diseo/ produce un an,lisis autom,tico por cada elemento de la lista de componentes de%inidos en el diseo+ mediante el m=todo 4T<(7E+ tomando como base la si!uiente matri# si!uiente:
5uando se selecciona la vista de an,lisis+ la erramienta mostrar, las amena#as su!eridas para el dia!rama de %lujo de datos dibujado+ donde al clicar en cada una de
TEMA 3 –Actividades
;niversidad (nternacional de a
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Guerrero Barrera 3 de octubre de 2018 Nombre: Edwin
ellas nos permite introducir las salva!uardas &ue consideremos el an,lisis 7
Oista an,lisis Treat Analsis and odelin! Tool*
Antes es necesario &ue car!arla plantilla+ descar!able de la plata%orma+ Pcaso1*tb@' .este arcivo se dejar, en el %oro+ se les enviar, a sus carpetas de descar!a o se descar!a desde el si!uiente enlace: Accede al enlace a trav=s del aula virtual o desde la si!uiente direcci)n web: %tp:DDdescar!asescueladein!enieriaQ%tp01*unir*netDuploadsD0>R204e!uridadSdelS4o% twareDcaso1*tb@
TEMA 3 –Actividades
;niversidad (nternacional de a
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Guerrero Barrera 3 de octubre de 2018 Nombre: Edwin
car!arla mediante el men Apl% Template+ se!n la %i!ura:
Aplicación de Plantilla
Aplicaci)n de plantilla*
2alorar las amena/as
;na ve# &ue tenemos identi%icada la lista de amena#as+ el si!uiente paso consiste en puntuarlas de acuerdo al ries!o &ue suponen* Esto nos permitir, priori#ar las actuaciones a e%ectuar para miti!ar el ries!o* $ara ello utili#aremos el m=todo 7
TEMA 3 –Actividades
;niversidad (nternacional de a
Asignatura
Datos del alumno
Seguridad en el Software
Fecha
Apellidos: Guerrero Barrera 3 de octubre de 2018 Nombre: Edwin
4i!ni%icado de cada componente valoraci)n del m=todo 7
4e rellena despues para cada amena#a la si!uiente tabla+ en la &ue se inclue un ejemplo:
Amena/a
(necci)n de comandos 4H
robabilidad de !currencia 45 . E D#
3
2
2
#mpacto otencial 4#5 D A
3
3
#
.iesgo
4.6E6D#5
4D6A5
7#
@
?
2
5alculo el ries!o*
El alumno deber, incluir en la memoria esta tabla rellena con al menos 1> de las amena#as obtenidas de la de la erramienta Treat Analsis and odelin! Tool 201?* 4e valorar, &ue se implemente en idioma espaol* En la erramienta deber,n estar anali#adas todas* Salvaguardas
;na ve# calculado el ries!o con el m=todo 7
TEMA 3 –Actividades
;niversidad (nternacional de a
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Guerrero Barrera 3 de octubre de 2018 Nombre: Edwin
Tambi=n se puede utili#ar como !u"a el si!uiente dia!rama:
4alva!uardadas aplicaci)n web*
Tambi=n se puede usar la si!uiente tabla: Amena/as
ropiedad
4poo%in! identit Autenticaci)n .4uplantaci)n de (dentidad/
Salvaguardas
$rocesos de Autenticaci)n+ Autori#aci)n Auditor"a .AAA/: as+ %irma di!ital* $rotecci)n de secretos No almacenamiento de secretos 4in!le 4i!n In ($4E5 $rocesos de AAA: as+ %irma di!ital* 5)di!os de autenticaci)n de mensajes* 9irmas di!itales* $rotocolos resistentes a la manipulaci)n* istas control de acceso A5 $rocesos de Autenticaci)n: as+ %irma di!ital* $rocesos de Auditor"a* 4ellado de tiempo* $rocesos de AAA: as+ %irma di!ital* $rotecci)n de secretos No almacenamiento de secretos* $rotocolos se!uros* Encriptado* $rocesos de AAA: as+ %irma di!ital* istas control de acceso A5* 5alidad de servicio* istas control de acceso A5* 5ontrol de acceso basado en roles* Trabajar con el m"nimo privile!io* Oalidaci)n de entradas
Tamperin! wit 7ata .anipulaci)n de datos/
(nte!ridad
No
(n%ormation 7isclosure .
5on%idencialidad
7enial o% 4ervice .7ene!aci)n de servicio/
7isponibilidad
Elevation o% $rivile!e .Elevaci)n de privile!ios/
Autori#aci)n
4alva!uardas m=todo 4T<(7E*
TEMA 3 –Actividades
;niversidad (nternacional de a
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Guerrero Barrera 3 de octubre de 2018 Nombre: Edwin
Entrega
(ncluir el %icero con e-tensi)n *tm@ &ue !enera la erramienta el in%orme &ue se puede !enerar con la misma* E7tensi0n apro7imada8 1>J20 p,!inas .Geor!ia 11+ interlineado 1+>/*
TEMA 3 –Actividades
;niversidad (nternacional de a
