S-SDLC Preventivo

La Seguridad en el Desarrollo de
Software implementada de forma

Preventiva
José Carlos Sancho Núñez
(jcsanchon@unex.es)
Profesor Universidad de Extremadura e 02/12/2021
Investigador Cátedra Viewnext-UEx
PRESENTACIÓN
• Ingeniero en Informática
• Doctor en Tecnologías Informáticas
• Profesor Universidad de Extremadura
• Investigador Cátedra Viewnext-UEx
José Carlos
Sancho Núñez • Miembro del Cuerpo Oficial de Peritos
del Colegio Profesional de Ingenieros en
Informática de Extremadura (Col. 103)
ÍNDICE
1. Introducción
2. Seguridad en el Software y Modelos Seguros
3. Modelo de Desarrollo Seguro Viewnext-UEx
4. Metodología de Implantación Modelo VN-UEx
5. Resultados de aplicar el Modelo Viewnext-UEx
6. Conclusiones, líneas futuras y publicaciones
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
Introducción y contexto
01
02
IS GBS
03
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 4
Motivación de la investigación
Evolución de los incidentes gestionados por el CCN-CERT. Monitorización de ataques cibernéticos en tiempo real.
Fuente: CCN-CERT. Fragmento tomado el 19 de febrero de 2021.
Fuente: Kaspersky.
2019 42.997
2018 38.029
2017 26.500
2016 20.940
2015 18.232
2014 12.916
2013 7.263
Motivación de la investigación
30x
Coste de resolución fallos de seguridad función
PRODUCCIÓN de la fase del ciclo del software donde se detecta.
IMPLANTACIÓN Fuente: NIST
PRUEBAS
CODIFICACIÓN
DISEÑO 15x
ANÁLISIS
10x
5x
1x
CICLO DE VIDA DEL SOFTWARE ANÁLISIS CODIFICACIÓN INTEGRACIÓN ACEPTACIÓN PRODUCCIÓN
DISEÑO
Objetivos de la investigación
Metodología de
Metodologías implantación del
especializadas en modelo propuesto
software seguro
Modelo Seguro
Comparar las métricas
Actividades de de la nueva metodología
seguridad propuesta con respecto
imprescindibles a la tradicional
Diseñar e implantar un nuevo modelo

de desarrollo de software seguro que
Nuevo marco de mejore la seguridad y la productividad
trabajo con prácticas Transferir los
del Desarrollo.
de seguridad resultados a la
comunidad científica
Seguridad en el ciclo de vida del software

CORNUCOPIA
Seguridad análisis – Requisitos de seguridad ANÁLISIS SAFECODE
IRIUSRISK
Captchas
DISEÑO
Número de intentos
fallidos
Login
Doble factor autenticación CODIFICACIÓN
PRUEBAS
EVITAR ATAQUES AUTOMATIZADOS IMPLANTACIÓN

CORNUCOPIA
Seguridad diseño – Patrones de diseño ANÁLISIS SAFECODE
IRIUSRISK
PATRONES DE DISEÑO
DISEÑO
CODIFICACIÓN
Principio menor Reducción de Separación de “Fallo

privilegio ataque privilegios Seguro” PRUEBAS
IMPLANTACIÓN

CORNUCOPIA
Seguridad diseño – Modelado de amenazas ANÁLISIS SAFECODE
IRIUSRISK
Intranet
Directorio PATRONES DE DISEÑO
Activo
DISEÑO MODELADO
2. Petición de
3. Confirmación
Autenticación SmartPhone
Autenticado
1. HTTPS – Petición
Datos de Pedido
4. Petición Datos Internet CODIFICACIÓN

de Pedido
Web 6. HTTPS –
Service Datos de Pedido
5. Respuesta PRUEBAS
Datos de Pedido
SQL BDD
DMZ
S T R I D E IMPLANTACIÓN

CORNUCOPIA
Seguridad diseño – Otras técnicas ANÁLISIS SAFECODE
IRIUSRISK
Ataque por fuerza bruta
PATRONES DE DISEÑO
Prueba de
acceso DISEÑO MODELADO
CASOS DE ABUSO
Cuenta de Automatizar Diccionario
usuario ataque ÁRBOLES ATAQUE
Formato
HACKER contraseña
Listado de Listado de CODIFICACIÓN
Ataque usuarios contraseñas
diccionario
PRUEBAS
Casos de abuso Árboles de ataque

IMPLANTACIÓN

CORNUCOPIA
Seguridad en la codificación ANÁLISIS SAFECODE
IRIUSRISK
PATRONES DE DISEÑO
DISEÑO MODELADO
CASOS DE ABUSO
ÁRBOLES ATAQUE
BUENAS PRÁCTICAS
CODIFICACIÓN REVISIÓN MANUAL

REVISIÓN AUTOMÁTICA
Buenas prácticas Revisión de Revisión de código PRUEBAS

de codificación código manual automática
IMPLANTACIÓN

CORNUCOPIA
Seguridad en las pruebas ANÁLISIS SAFECODE
IRIUSRISK
PATRONES DE DISEÑO
DISEÑO MODELADO
CASOS DE ABUSO
ÁRBOLES ATAQUE
BUENAS PRÁCTICAS

TEST DE PENETRACIÓN
PRUEBAS
FUZZ TESTING
Test de penetración Fuzz testing
IMPLANTACIÓN

CORNUCOPIA
Seguridad en la implantación ANÁLISIS SAFECODE
IRIUSRISK
PATRONES DE DISEÑO
DISEÑO MODELADO
CASOS DE ABUSO
ÁRBOLES ATAQUE
BUENAS PRÁCTICAS

TEST DE PENETRACIÓN
PRUEBAS
FUZZ TESTING
Proceso de implantación y Plan de
configuración contingencias
IMPLANTACIÓN PLAN DE CONTINGENCIAS
Modelos de Desarrollo Seguro Revisión de

OSSA
funciones complejas CLASP

ANÁLISIS DE METODOLOGÍAS DE DESARROLLO SEGURO Configuración de
Guía y seguridad en BD
estándares
Identificar roles de
de desarrollo
Casos de usuario y capacidades
seguro
abuso de recursos
TSP- Identificar recursos y
SECURE Formación límites de confianza
Definición Requisitos Diagrama de clases
de riesgos de seguridad de seguridad
• Microsoft SDL Modelado Revisión diseño
de amenazas
Testing de
• Agile-SDL Revisión código seguridad Entorno
Plan de del software
Validación
• Oracle Software Security Assurance ASDL/SDL de salidas respuesta a
incidentes
Cumplimiento
y política
MICROSOFT
• Comprehensive Lightweight Application Evaluación
y métricas
Security Process Usar
herramientas BSIMM
aprobadas Análisis de las
• Team Software Process Secure arquitecturas
Securización
• Software Assurance Maturity Model del entorno
SAMM
• Building Security In Maturity Model Framework
JOSÉ CARLOS SANCHO NÚÑEZ IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO 15
Modelo de Desarrollo Seguro Viewnext-UEx
Preventivo Integrado Flexible Retroalimentado Reutilizable

Puntos fuertes
RIESGOS
REQUISITO DE
SEGURIDAD
AMENAZAS
@ # ¡!¿? <>”’%()&+/\
BUENAS
PRÁCTICAS
Herramienta entrenamiento seguro Trazabilidad durante todo el ciclo

Actividades novedosas del Modelo Viewnext-UEx
Modelo Viewnext-UEx VS otros

Fase/Modelo Microsoft SDL/ASDL OSSA CLASP TSP-Secure SAMM BSIMM Viewnext-UEx
Políticas
Formación
Análisis
Diseño
Implementación
Pruebas
Pre-Release
Post-Release
Métricas
Uso empresarial
Características de un proyecto de software

NUEVO DESARROLLO
TIPOLOGÍA
MANTENIMIENTO
TRADICIONAL
METODOLOGÍA
PROYECTO
ÁGIL
ANÁLISIS FUNCIONAL
FASE COMIENZO
DISEÑO TÉCNICO
Metodología de implantación
VALIDACIÓN DE SALIDAS
FORMACIÓN EN CODIFICACIÓN
SEGURA (20 H) TESTING DE SEGURIDAD
REVISIÓN DE CODIFICACIÓN
FORMACIÓN EN PATRONES DE
DÍSEÑO SEGURO (10H) REVISIÓN DE DISEÑO
FORMACIÓN EN ANÁLISIS DE MODELADO DE AMENAZAS

SEGURIDAD (10H)
VALIDACIÓN DE REQUISITOS
Formación y
1 preparación de 2 Evaluación de
seguridad 3 Integración actividades del
Modelo Viewnext-UEX 4
Retrospectiva
y mejora
ecosistema seguro
Indicadores: seguridad y productividad

SEGURIDAD PRODUCTIVIDAD
VULNERABILIDAD CRITICIDAD CATEGORÍA FASE UNIDAD
Val. entradas Informativa [0] Arquitectura Gestión Horas

Gestión sesiones Baja [0.1-3.9] Desarrollo Análisis y diseño
Control de Acceso Media [4.0-6.9] Codificación
Autorización Alta [7.0-8.9] Pruebas
Errores Crítica [9.0-10] Evaluación
Arquitectura Resolución de fallos
Configuración Desarrollo total
Protección datos
Etc.
Aplicación experimental: empresa y proyecto
Características del proyecto MÓDULO 1 MÓDULO 2
Tamaño del Equipo Compañía eléctrica

+/- 15 desarrolladores Criticidad crítica
Equipo multifuncional Nuevos Desarrollos

Salvo el testing de seguridad Incluido el análisis
Caso de
Metodología Ágil estudio Cliente proactivo
SCRUM – sprint mensual Interesado en mejorar

Aplicación experimental: escenarios

REACTIVO
Gestión Análisis y diseño Codificación Pruebas
1 Desarrollo del
software 2 Evaluación
seguridad
de
3 Resolución
de fallos
PREVENTIVO
Formación Ecosistema Gestión Análisis y diseño Codificación Pruebas
0 Implantación modelo
Viewnext-UEx 1 Desarrollo del software con
modelo Viewnext-UEx 2 Evaluación de
seguridad 3 Resolución
de fallos

Métricas de productividad
SOLO EN EL PREVENTIVO
% tiempo empleado
Gestión Análisis y diseño Codificación Pruebas Evaluación Resolución de fallos de seguridad
1- Desarrollo del software 2- Auditoría 3- Corrección de fallos

Escenario reactivo: resultados seguridad

19 VULNERABILIDADES

Escenario reactivo: resultados productividad

% tiempo empleado
53,3 %
22,2%
8,9 % 8,5 %
4,4 % 2,7 %
1- Desarrollo del software 2- Auditoría de 3- Resolución de

seguridad vulnerabilidades
Escenario preventivo: resultados seguridad

6 VULNERABILIDADES

Escenario preventivo: resultados productividad

% tiempo empleado
50,9%
2,6 %
30,6 %
3,5 %
6,3 % 7,8 %
0,13 % 1% 3,1 1,3

Comparativa de vulnerabilidades
TIPO VULNERABILIDAD CRITICIDAD CATEGORÍA REACTIVO PREVENTIVO
Stored Cross Site Scripting Crítica [9-10] Desarrollo X

Reflected Cross Site Scripting Alta [7-8.9] Desarrollo X
Validación de Base de datos accesible Baja [0.1-3.9] Desarrollo X X

entradas Atributo autocomplete no inhabilitado Baja [0.1-3.9] Desarrollo X
Cambio de peticiones POST por GET Alta [7-8.9] Arquitectura X
Directiva POST con parámetros no validados Alta [7-8.9] Desarrollo X
Escalada de privilegios funcional Alta [7-8.9] Desarrollo X
Autorización
Escalada de privilegios por URL Alta [7-8.9] Desarrollo X
Identificador de sesión desprotegido Alta [7-8.9] Arquitectura X
Gestión de
sesiones Cierre de sesión no implementado
Media [4.0-6.9] Arquitectura X
correctamente

Comparativa de vulnerabilidades
TIPO VULNERABILIDAD CRITICIDAD CATEGORÍA REACTIVO PREVENTIVO
Información sensible del aplicativo y uso de

Manipulación Media [4.0-6.9] Arquitectura X
componentes vulnerables
de errores y
Información sensible en los metadatos Baja [0.1-3.9] Arquitectura X
logs
Información sensible en el código fuente Media [4.0-6.9] Arquitectura X
Página del servidor por defecto Baja [0.1-3.9] Arquitectura X
Aplicativo en HTTP en lugar de HTTPS Alta [7-8.9] Arquitectura X
Phising a través marcos Alta [7-8.9] Arquitectura X
Gestión de la Inyección de enlaces Alta [7-8.9] Arquitectura X
configuración
Certificados SSL débiles Alta [7-8.9] Arquitectura X
Servicios y puertos habilitados
Alta [7-8.9] Arquitectura X
indebidamente
Respuesta de TCP timestamp Baja [0.1-3.9] Arquitectura X X

Comparativa de resultados: seguridad

10
VULNERABILIDADES
Número de vulnerabilidades
9
8
7
6 REACTIVO
5
4
3
19
2
1 PREVENTIVO
0
Reactivo
Críticas
1
Altas
9
Medias
3
Bajas
6
6 68%
Preventivo 0 3 1 2

Comparativa de resultados: productividad

60
% tiempo empleado
50
40
30
20
10
0
Corrección de
Gestión Análisis y diseño Codificación Pruebas Evaluación
vulnerabilidades
Reactivo 4,4 22,2 53,3 8,9 2,7 8,5
Preventivo 6,3 30,6 50,9 7,8 3,1 1,3


Conclusiones I
La aplicación de metodologías reactivas:
Ø Genera un mayor número de vulnerabilidades.
Ø Las vulnerabilidades que se identifican tienen criticidades altas.
Ø Producen un alto impacto en la resolución de los fallos de seguridad.
La aplicación del modelo Viewnext-UEx con enfoque preventivo:

Ø Reduce drásticamente la aparición de vulnerabilidades.
Ø Reduce la criticidad de las vulnerabilidades identificadas.
Ø Minimiza el tiempo de la resolución de los fallos de seguridad.

Conclusiones I
El modelo Viewnext-UEx que se propone:
Ø Incorpora prácticas de seguridad de manera sistemática y planificada.
Ø Se ha implantado en proyectos de software reales.
Ø Conduce a una mejora en los aspectos de seguridad y optimización
en los tiempos de desarrollo del ciclo de vida del software.
Ø Puede ser implantado por cualquier empresa del sector.

Líneas futuras
DEV OPS
C++ LIBERACIÓN DE FIABLIDAD
SOFTWARE RENDIMIENTO
ACTUALIZACIONES ESCALABILIDAD
JAVA
HTML
SEC
CONFIDENCIALIDAD
DISPONIBILIDAD
PHP SEC INTEGRIDAD
DEV
Implantar el modelo en un OPS Adaptar el modelo
número considerable de Viewnext-UEx al enfoque
proyectos SecDevOps
Publicaciones muy relevantes

José Carlos Sancho Núñez, Andrés Caro Lindo and Pablo García Rodríguez. A Preventive
Secure Software Development Model for a software factory: a case study. IEEE Access. 8
(1):77653–77665.April 2020. DOI: 10.1109/access.2020.2989113.
(Impact Factor = 3.745 - Q1 )
José Carlos Sancho Núñez, Andrés Caro Lindo, Mar Ávila Vegas and Alberto Bravo
Gómez. New approach for threat classification and security risk estimations based on security
event management. Future Generation Computer Systems. 113:488–505. December 2020.
DOI: 10.1016/j.future.2020.07.015.
(Impact Factor = 6.125 - Q1 )

La Seguridad en el Desarrollo de
Software implementada de forma
Preventiva
José Carlos Sancho Núñez
(jcsanchon@unex.es)
Profesor Universidad de Extremadura e 02/12/2021
Investigador Cátedra Viewnext-UEx

S-SDLC Preventivo

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

S-SDLC Preventivo

Cargado por

Copyright:

Formatos disponibles

La Seguridad en el Desarrollo de

Software implementada de forma

Diseñar e implantar un nuevo modelo

Seguridad en el ciclo de vida del software

Doble factor autenticación CODIFICACIÓN

EVITAR ATAQUES AUTOMATIZADOS IMPLANTACIÓN

Seguridad en el ciclo de vida del software

Principio menor Reducción de Separación de “Fallo

Seguridad en el ciclo de vida del software

4. Petición Datos Internet CODIFICACIÓN

Seguridad en el ciclo de vida del software

Casos de abuso Árboles de ataque

Seguridad en el ciclo de vida del software

CODIFICACIÓN REVISIÓN MANUAL

Buenas prácticas Revisión de Revisión de código PRUEBAS

Seguridad en el ciclo de vida del software

CODIFICACIÓN REVISIÓN MANUAL

Seguridad en el ciclo de vida del software

CODIFICACIÓN REVISIÓN MANUAL

Modelos de Desarrollo Seguro Revisión de

funciones complejas CLASP

Modelo de Desarrollo Seguro Viewnext-UEx

Preventivo Integrado Flexible Retroalimentado Reutilizable

Herramienta entrenamiento seguro Trazabilidad durante todo el ciclo

Actividades novedosas del Modelo Viewnext-UEx

Modelo Viewnext-UEx VS otros

Características de un proyecto de software

FORMACIÓN EN ANÁLISIS DE MODELADO DE AMENAZAS

Indicadores: seguridad y productividad

VULNERABILIDAD CRITICIDAD CATEGORÍA FASE UNIDAD

Val. entradas Informativa [0] Arquitectura Gestión Horas

Aplicación experimental: empresa y proyecto

Características del proyecto MÓDULO 1 MÓDULO 2

Tamaño del Equipo Compañía eléctrica

Equipo multifuncional Nuevos Desarrollos

JOSÉ CARLOS SANCHO NÚÑEZ IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO 23

Aplicación experimental: escenarios

JOSÉ CARLOS SANCHO NÚÑEZ IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO 24

Gestión Análisis y diseño Codificación Pruebas Evaluación Resolución de fallos de seguridad

1- Desarrollo del software 2- Auditoría 3- Corrección de fallos

Escenario reactivo: resultados seguridad

JOSÉ CARLOS SANCHO NÚÑEZ IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO 26

Escenario reactivo: resultados productividad

Gestión Análisis y diseño Codificación Pruebas Evaluación Resolución de fallos de seguridad

1- Desarrollo del software 2- Auditoría de 3- Resolución de

Escenario preventivo: resultados seguridad

JOSÉ CARLOS SANCHO NÚÑEZ IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO 28

Escenario preventivo: resultados productividad

1- Desarrollo del software 2- Auditoría de 3- Resolución de

Stored Cross Site Scripting Crítica [9-10] Desarrollo X

Validación de Base de datos accesible Baja [0.1-3.9] Desarrollo X X

JOSÉ CARLOS SANCHO NÚÑEZ IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO 30

Información sensible del aplicativo y uso de

JOSÉ CARLOS SANCHO NÚÑEZ IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO 31

Comparativa de resultados: seguridad

JOSÉ CARLOS SANCHO NÚÑEZ IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO 32

Comparativa de resultados: productividad

1- Desarrollo del software 2- Auditoría de 3- Resolución de

JOSÉ CARLOS SANCHO NÚÑEZ IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO 33

La aplicación del modelo Viewnext-UEx con enfoque preventivo:

JOSÉ CARLOS SANCHO NÚÑEZ IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO 34

JOSÉ CARLOS SANCHO NÚÑEZ IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO 35

Publicaciones muy relevantes

(Impact Factor = 3.745 - Q1 )