Transcript Presentación

Detección de
Vulnerabilidades Código
Fuente: bugScout
Gladys Alarza Blázquez
Para más información contacte con:
[email protected]
ÍNDICE
 Introducción
 Vulnerabilidades en el software
 Detección de errores de codificación
 BugScout
– Ventajas de BugScout
– Acceso al Portal
– Entorno BugScout
• Framework
• Core
• Backend
2
Introducción
 La seguridad debe ser una prioridad en todas las fases del desarrollo. Si
dichas vulnerabilidades no son detectadas a tiempo pueden ocurrir cosas
como:
3
Vulnerabilidades en el Software
 Nunca se debe suponer que un producto
está libre de poseer vulnerabilidades de
seguridad.
 Las revisiones de código están
principalmente destinadas a encontrar
errores a nivel de código ya que son la
causa principal de vulnerabilidades.
 Para que un error sea considerado como
una vulnerabilidad debe existir un riesgo
importante de seguridad que pueda hacer
que el atacante pueda conseguir datos
privilegiados del sistema.
 Es importante que los análisis de código lo
haga una persona distinta a los
desarrolladores.
4
Detección de errores de codificación
 Método estático.
– Basado en la utilización de herramientas de análisis de código estático que
intentan encontrar en el código fuente patrones de vulnerabilidades ya
conocidos.
– Se deben actualizar las vulnerabilidades al momento de ser conocidas para que
la herramienta sea fiable
 Método dinámico.
– Se representa mediante técnicas de prueba de código automatizado como
pruebas aleatorias.
 Revisión manual.
– La opinión de un revisor humano es importante ya que la lógica y la experiencia
adquirida en procesos similares, puede ayudar a detectar agujeros de seguridad.
– La revisión manual de código nunca se debe considerar como la solución final
para la detección de vulnerabilidades.
5
- Acerca de bugScout
• bugScout es una herramienta diseñada para automatizar el
análisis estático del código fuente en aplicaciones web.
• Su objetivo principal es determinar el nivel de seguridad del
aplicativo y proponer acciones correctivas o mitigadoras para
las vulnerabilidades encontradas.
• La aplicación está diseñada para funcionar de manera
descentralizada en la nube.
6 de 30
- Acerca de bugScout
 Esta herramienta se ha planteado como un recurso intuitivo y facil de usar
para que cualquier usuario, con independencia de sus conocimientos,
pueda gestionarla.
7
- Ventajas de bugScout
 Permite la corrección de errores a tiempo
real.
 Permite realizar auditorías de la aplicación
completa.
 Las auditorías son más precisas, su
tecnología permite rastrear eficazmente el
código en su totalidad.
 Evita errores no controlados: denegación
de servicio, ataques de spam…
 Permite actualizar firmas de carácter
público y privado a tiempo real.
 Se integra con el ciclo de desarrollo de
software.
 Se conecta directamente al repositorio de
desarrollo, pudiendo auditar el software
desde el minuto uno.
8
El entorno
- Acceso al portal
9 de 30
El entorno
- Modular, extensible y escalable
1. Framework. Interfaz para el usuario con acceso hasta 6 módulos
2. Core. Analizador de código fuente
3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de
vulnerabilidades y soluciones
10 de 30
Framework - Módulos: Dashboard
Es el menú inicial. Las gráficas son editables y configurables.
11 de 30
Framework - Módulos: Proyectos
Desde este módulo pueden clasificarse los proyectos y aplicativos, para
posteriormente realizar el análisis
Se puede re-auditar código para comprobar su evolución, generar un
informe o consultar vulnerabilidades.
12 de 30
Framework - Módulos: Vulnerabilidades.
 Desde este apartado se puede trabajar con los resultados obtenidos de las
auditorías, pudiendo comprobar los resultados propuestos y las
explicaciones sobre las vulnerabilidades.
13
Core - Principales Funcionalidades
 Consiste en un sistema de reconocimiento de patrones vulnerables del
software analizado. El análisis completo proporciona un análisis del
código de máxima fiabilidad para detectar patrones que permitirán a un
intruso el acceso a los datos autorizados.
14 de 30
BackEnd – Flujo de trabajo
 BugScout Backend, almacena en Cloud los datos con los que trabaja la
herramienta. Incorpora tecnologías de última generación que permiten
compatibilizar la máxima eficiencia de los datos almacenados.
15 de 30
¿Preguntas….?
16