Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Semana 03 Sa

    Cargado por

    LUIS ALBERTO CABRERA BARRIOS
    6 vistas23 páginas

    Título original

    SEMANA.03.SA

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    6 vistas23 páginas

    Semana 03 Sa

    Cargado por

    LUIS ALBERTO CABRERA BARRIOS

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 23

    SEMANA 03

    Taxonomía

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Agenda

    • Abusos de API
    • Funcionalidad de Seguridad
    • Tiempo y Estado
    • Manejo de Errores
    • Calidad del Código
    • Encapsulación, entorno
    • Metodologías

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Abusos de API - ¿Qué es un API?

    • La interfaz de programación de aplicaciones,


    conocida también por las siglas API
    (Application Programming Interface).
    • Conjunto de subrutinas, funciones y
    procedimientos que ofrece cierta biblioteca
    para ser utilizado por otro software como una
    capa de abstracción.
    • Generalmente usadas en las bibliotecas de
    programación.

    • Ejemplos:
    • Api de clima (API)
    • Búsqueda de países (API)

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Abusos de API -
    Antecendentes

    • Cada API representa una característica critica y un posible problema de


    seguridad y cumplimiento.

    • Ya existen muchos desarrollos de herramientas para proteger los APIs.

    • Las mejores prácticas de seguridad para APIs es el proceso, y no las


    herramientas.

    • Se debe integrar la visión de seguridad en la gestión del ciclo de vida de


    las aplicaciones para evitar problemas.

    • Hoy en día los APIs son conexiones de red a las características de la


    aplicación o la información de la base de datos.

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Abusos de API - Riesgos

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Abusos de API / Funcionalidad de
    Seguridad - Abordando los riesgos
    • La API siempre será una entidad abordad por la red y podría localizarse
    escaneando direcciones IP.

    • Riesgos de las APIs


    • Cambios no autorizados en la información
    • Fugas de información
    • Interferencia con la actividad legítima
    • Web: parametrización, identidad y criptografía

    • Las APIs se pueden asegurar de diferentes maneras, una forma


    recomenda es a través de “Redes Multizona” en donde:
    • Debe ejecutarse dentro de una zona segura o Sandbox y exponer
    solo unas pocas direcciones de servicio al mundo exterior y las de
    uso interno, ubicadas en una zona específica para uso internos de
    igual forma.

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    El mayor enemigo de una estrategia de APIs
    segura es la forma cerrada de pensar. No hay
    una estrategia única ni una fórmula secreta.

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Abusos de API - Ejemplo: Protección de Identidad

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Abusos de API
    Ejemplo: Implementación de Zonas

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Abusos de API - Ejemplo: Implementación de Zonas

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Abusos de API
    Ejemplo: Implementación de Zonas

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Abusos de API
    Ejemplo: Implementación de Zonas

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Abusos de API
    Ejemplo: Ataques

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Manejo de Errores

    •La falta de control sobre los errores que se producen en su ejecución y el


    tratamiento correcto de las excepciones, constituyen los principales vectores
    de ataque.

    •El manejo de errores y excepciones son dos aspectos para realizar un


    seguimiento de fallos de una aplicación, en términos generales hay tres
    situaciones que hacen las excepciones sean presentadas:

    • Excepciones que se producen en el código fuente: el código cliente


    intenta hacer algo que no está permitido por el API.
    • Excepciones por fallos en los recursos mantenidos: las excepciones se
    producen si existe un fallo derivado de un recurso. Ejemplo: falta de
    memoria, fallo de conexión…
    • Excepciones derivados del código programado: se producen en la
    ejecución del código. El código cliente usualmente no puede hacer nada
    con estos errores.

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Manejo de Errores
    Deben de evaluarse los vectores de ataque para los API y sus respectivos manejos de
    posibles errores que se pueden ver reflejados al presentarse riesgos como:

    • Inyección
    • Secuencias de Comandos desde distintas zonas
    • Pérdida de autenticación / Gestión de Sesiones
    • Referencia directa insegura a objetos
    • Falsificación de Peticiones desde distintas zonas
    • Manejo criptográfico inseguro
    • Falta de restricción de acceso
    • Protección insuficiente en la capa de transporte
    • Redirecciones y reenvíos no validados

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Calidad del Código
    Consiste en el desarrollo de una actividad proactiva y
    preventiva de vulnerabilidades del código fuente programado.

    Al analizar el código fuente, se dispondrá:


    • Un informe con las vulnerabilidades identificadas y detectadas
    en cada aplicativo analizado.
    • Toda información necesaria para decidir si pasan o no a
    producción nuevos sistemas o versiones actualizadas de los
    sistemas que ya tienen en funcionamiento.
    • Incorporación de métricas de vulnerabilidades por aplicativos,
    pudiendo identificar las entregas de los sistemas que están
    mejorando o empeorando su seguridad.

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Encapsulamiento, entorno...
    • Proporciona la imprementación del control, configuración y la
    inclusion en contenedores para aplicaciones.

    • Configura un encapsulador dinámico para un binario que


    intermedie entre las llamadas de API del binario al sistema
    operativo, ejemplo:
    • Puede forzar que la comunicación desde la aplicación
    empresarial utilice la red privada virtual (VPN) de la
    organización, o puede cifrar documentos que se
    descarguen en el dispositivo local.

    • Estas característica no afecta al modo en el que la aplicación se


    muestra o funciona en el dispositivo.

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Estándares
    Los estándares son los cimientos de cualquier sistema de calidad de software, pues proveen la base para
    la evaluación y medición de las actividades y de los productos de trabajo durante todo el ciclo de vida
    del software. Por tanto, ellos establecen el marco de trabajo para el desarrollo de software,
    constituyéndose en un factor crítico.

    Campo de acción que cubren:


    • Ciclo de vida del software
    • Documentación
    • Código fuente
    • Criterios para denominar los ítems de configuración
    • Procedimientos y protocolos

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Metodologías
    Desarrollo Tradicional Desarrollo Ágil
    • Modelo Cascada • Programación Extrema (XP)
    • Iterativo / Prototipo • SCRUM
    • Espiral / Evolutivo • Desarrollo Adaptativo

    Metodologías
    • Six Sigma: Estrategia de Gestión de Negocios
    • CMMI: Capability Maturity Model Integration
    • OCTAVE: Operationally Critical Threat Asset and Vulnerability Evaluation
    • STRIDE: Modelamiento de Amenaza.
    • DREAD: Clasificación de Riesgo.

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Metodologías

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Metodologías
    Metodología de Trabajo para las pruebas de Carga y Estrés:
    La metodología de ejecución de la consultoría en la Gestión de Calidad está
    considerando la utilización de los siguientes marcos conceptuales y prácticos:
    ISTQB = International Software Testing Qualifications Board, así como las siguientes
    herramientas: Silk Performer, que brindará un adecuado uso y optimización de las
    pruebas y revisiones que aseguran la mejora de la calidad de productos software,
    así como de la calidad del proceso de desarrollo en sí.

    Pruebas de características software no funcionales:


    Características del producto software:
    • ¿De qué forma el software lleva a cabo sus funciones?
    • Las características de calidad no funcionales (ISO 9126: fiabilidad, usabilidad,
    eficiencia, mantenibilidad, portabilidad) a menudo son vagas, incompletas o
    inexistentes, dificultando las pruebas asociadas a las mismas
    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    Metodologías
    Pruebas no funcionales típicas:

    • Pruebas de carga (“load testing”) / pruebas de rendimiento (“performance


    testing”) / pruebas de volumen (“volume testing”) / pruebas de estrés (“stress
    testing”)

    • Pruebas de las características de seguridad (efectos adversos) del software


    (“Testing of safety features”)

    • Prueba de fiabilidad y robustez (“reliability and robustness testing”)

    • Pruebas de usabilidad (“usability testing”) / pruebas de configuración


    (“configuration testing”)

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    TAREA No. 02

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

    También podría gustarte