Gestão de Riscos de Segurança Aplicada a Web Services José Eduardo Malta de Sá Brandão Instituto de Pesquisa Econômica Aplicada - Ipea [email protected] +55 61
Download ReportTranscript Gestão de Riscos de Segurança Aplicada a Web Services José Eduardo Malta de Sá Brandão Instituto de Pesquisa Econômica Aplicada - Ipea [email protected] +55 61
Gestão de Riscos de Segurança Aplicada a Web Services José Eduardo Malta de Sá Brandão Instituto de Pesquisa Econômica Aplicada - Ipea [email protected] +55 61 3315-5288 OWASP 27/10/2009 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org Sumário Motivação Conceitos Principais Padrões Gestão de Riscos segundo a ISO 27005 Méticas Common Vulnerability Scoring System (CVSS) Estudo de Caso OWASP 2 Risco Desconhecido OWASP 3 Risco Conhecido OWASP 4 Mitigação do Risco OWASP 5 Por que Gerenciar Riscos ? A noção correta dos riscos permite que se definam caminhos e ferramentas para mitigá-los “Os riscos podem ser identificados e reduzidos, mas nunca totalmente eliminados” (Garfinkel et al. 2003) OWASP 6 Quando Gerenciar os Riscos ? É comum a aplicação de ferramentas de análise de risco em protótipos desenvolvidos em projetos de software científicos ou comerciais Análise de Vulnerabilidades Problemas encontrados: Vulnerabilidades inerentes à tecnologia adotada Decisão: troca da tecnologia ou aceitação de um risco maior do que o desejado ? Tratar os riscos apenas no ponto de protótipo pode ser extremamente dispendioso e, em alguns casos, os resultados podem inviabilizar o próprio projeto As vulnerabilidades encontradas poderiam ter sido facilmente identificadas na etapa de planejamento do projeto. OWASP 7 Conceitos Iniciais OWASP 8 Propriedades de Segurança Integridade: garante que a informação não será alterada ou destruída sem a autorização adequada. Confidencialidade: garante que a informação não será revelada sem a autorização adequada. Disponibilidade: garante que a informação estará acessível aos usuários legítimos quando solicitada. OWASP 9 Violações de Segurança Quando há a quebra de uma ou mais propriedades de segurança Violação de confidencialidade Revelação não autorizada da informação Violação de integridade Modificação não autorizada da informação Violação de disponibilidade Negação de serviço OWASP 10 Vulnerabilidade “Defeito ou fraqueza no design ou na implementação de um sistema de informações (incluindo procedimentos de segurança e controles de segurança associados ao sistema), que pode ser intencionalmente ou acidentalmente explorada, afetando a confidencialidade, integridade ou disponibilidade” (Ross et al. 2005) OWASP 11 Risco “É o impacto negativo da exploração de uma vulnerabilidade, considerando a probabilidade do uso do mesmo e o impacto da violação” (Stoneburner et al. 2002) OWASP 12 Estimativa do Risco O risco pode ser expressado matematicamente como uma função da probabilidade de uma origem de ameaça (ou atacante) explorar uma vulnerabilidade potencial e do impacto resultante deste evento adverso no sistema e, conseqüentemente, na empresa ou organização. OWASP 13 Gestão de Riscos “A gestão de riscos baseia-se em atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos” (ISO/IEC Guide 73:2002) Envolve um processo criterioso e recursivo de documentação, avaliação e decisão durante todas as fases do ciclo de vida do projeto OWASP 14 Estudo de caso Caso geral Composições de IDSs Caso específico Gestão de Riscos no uso de Web Services Adoção do padrão ISO 27005 Será apresentado em conjunto com a metodologia OWASP 15 Principais Padrões Relacionados à Gestão de Riscos Melhores Práticas Common Criteria (CC) Normas de Gestão de Riscos NIST SP800-30 AS/NZS 4360, ISO 27005 e ISO 31000ca OWASP 16 Melhores Práticas em SGI OWASP 17 Família de Normas ISO 27000 Melhores Práticas em SGSI ISO/IEC 27000 Fundamentos e Terminologia BS 7799-1 ISO/IEC 27002 Código de Práticas BS 7799-2 ISO/IEC 27001 Requisitos ISO/IEC 27003 Guia de Implementação ISO/IEC 27004 Métricas e Medidas ISO/IEC 27006 Certificação ISO/IEC 27007 Auditoria ISO/IEC 27010 Comunicação intersetorial ISO/IEC 27011 Telecomunic. ISO/IEC 27012 E-Gov ISO/IEC 27031 Continuidade do Negócio ISO/IEC 27032 Cybersecurity ISO/IEC 27033 Segurança de Rede ISO/IEC 27034 Segurança de Aplicações ISO/IEC 27035 Gestão de Incidentes ISO/IEC 27036 Auditoria ISO/IEC 27037 Interredes setoriais OWASP 18 Norma ISO 27000 Lançada em abril de 2009 Define os conceitos fundamentais e o vocabulário de segurança da informação adotado na família de documentos ISO 27000 OWASP 19 Norma ISO 27001 Baseada na BS 17799-2 Foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI) OWASP 20 Norma ISO 27002 Baseada na BS/ISO 17799-1 Introduz os conceitos de segurança da informação e faz uma discussão inicial a respeito das motivações para o estabelecimento da gestão de segurança. Na maior parte do documento são detalhadas as práticas de segurança, que são associadas aos os objetivos de controles, e os controles de segurança citados na norma ISO 27001 OWASP 21 Norma ISO 27003 Em desenvolvimento É baseada no anexo B da norma BS 7799-2 Basicamente um guia para a implantação do SGSI OWASP 22 Norma ISO 27004 Em desenvolvimento Definirá métricas e medidas para o acompanhamento do SGSI OWASP 23 Norma ISO 27006 Define critérios para as pessoas e empresas que farão a certificação e auditoria do SGSI Segue o padrão da norma 17021 OWASP 24 Norma ISO 27007 Em desenvolvimento Definirá critérios específicos para a auditoria dos processos do SGSI Baseada na norma ISO 19011 OWASP 25 Norma ISO 27008 Em desenvolvimento Guia para auditores dos processos do SGSI OWASP 26 O Modelo PDCA Plan Estabelecimento do SGSI Partes Interessadas Do Expectativas e requisitos de segurança da informação Implementação e Operação do SGSI Partes Interessadas Manutenção e Melhoria do SGSI Monitoramento e análise crítica do SGSI Check Act Segurança da informação gerenciada OWASP 27 Plan O ciclo do PDCA começa com o estabelecimento da política, dos objetivos, dos processos e dos procedimentos do SGSI, que sejam relevantes para a gestão de riscos e a melhoria da segurança da informação e que produzam resultados de acordo com as políticas e objetivos globais de uma organização. OWASP 28 Do Envolve a implantação e a operação da política, dos controles, dos processos e dos procedimentos estabelecidos na primeira etapa OWASP 29 Check É feita a avaliação e, quando aplicável, a medição do desempenho de um processo frente à política, aos objetivos e à experiência prática do SGSI, apresentando os resultados para a análise crítica pela direção. OWASP 30 Act Cabe a execução das ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. Após esta etapa, o ciclo é reiniciado, tomando como base o aprendizado do ciclo anterior. O resultado esperado da adoção do PDCA é a segurança da informação devidamente gerenciada. OWASP 31 Normas de Gestão de Riscos Gestão de Riscos BS 7799-3 ISO/IEC 27005 ISO 13335 ISO 31000 AS/NZ 4360 NIST SP800-30 TCSEC CTCPEC ISO/IEC 15408 ITSEC OWASP 32 Common Criteria (CC) Conjunto de normas ISO/IEC 14 Derivado do “livro laranja” (TCSEC), do CTCPEC (Canadá) e do ITSEC (UE). Metodologia de testes e acompanhamento de projeto de produtos de segurança (target of evaluation - TOE) Definição de perfís com requisitos de Segurança (protection profiles – PP), independentes de implementação. Define conjunto de requisitos e especificações para ser usado como base para avaliação de um TOE específico (security targets - ST) OWASP 33 Cerifificação CC Produtos recebem uma certificação de nível de garantia (Evaluation Assurance Level - EAL): 1. teve seu funcionamento testado 2. teve sua estrutura testada e envolve a cooperação do fabricante 3. foi metodicamente testado e checado 4. foi metodicamente projetado, testado e checado 5. seja projetado e testado de maneira semi formal 6. Foi projetado, verificado e testado de maneira semi formal 7. foi projetado, verificado e testado de maneira formal OWASP 34 NIST SP800-30 Risk Management Guide for Information Technology Systems (2002) Duas etapas: avaliação de riscos (ou determinação dos riscos); e atenuação de riscos OWASP 35 Processo de Avaliação Entradas Hardware Software Interfaces de sistema Dados e informações Pessoas Missão do sistema Histórico de ataques ao sistema Dados de agências de inteligência, mídia de massa, etc. Relatórios de avaliações de risco anteriores Comentários de auditoria Requisitos de segurança Resultados de testes de segurança Atividades de Avaliação de Riscos Passo 1. Caracterização do Sistema Limites do Sistema Funções do sistema Níveis críticos do sistema e dos dados Sensibilidade do sistema e dos dados Passo 2. Identificação de Ameaças Estabelecimento das Ameaças Passo 3. Identificação de Vulnerabilidades Lista de vulnerabilidades potenciais Passo 4. Análise de Controle Lista de controles atuais e planejados Passo 5. Determinação de Probabilidades Valores de probabilidades Controles atuais Controles planejados Motivações das origens das ameaças Capacidade da ameaça Natureza das vulnerabilidades Controles atuais Análise de impacto na missão Avaliação do nível crítico dos ativos Nível crítico dos dados Sensibilidade dos dados Probabilidade de exploração de ameaça Magnitude de impacto Adequação de controles atuais ou planejados Saídas Passo 6. Análise de Impacto Perda de Integridade Perda de Disponibilidade Perda de Confidencialidade Taxa de Impacto Passo 7. Determinação do Risco Riscos e níveis de risco associados Passo 8. Recomendações de Controle Controles recomendados Passo 9. Documentação dos Resultados Relatório de avaliação dos riscos OWASP 36 Caracterização do Sistema Entradas Hardware Software Interfaces de sistema Dados e informações Pessoas Missão do sistema Atividades de Avaliação de Riscos Passo 1. Caracterização do Sistema Saídas Limites do Sistema Funções do sistema Níveis críticos do sistema e dos dados Sensibilidade do sistema e dos dados OWASP 37 Identificação de Ameaças Entradas Histórico de ataques ao sistema Dados de agências de inteligência, mídia de massa, etc. Atividades de Avaliação de Riscos Saídas Passo 2. Identificação de Ameaças Estabelecimento das Ameaças OWASP 38 Identificação de Vulnerabilidades Entradas Relatórios de avaliações de risco anteriores Comentários de auditoria Requisitos de segurança Resultados de testes de segurança Atividades de Avaliação de Riscos Passo 3. Identificação de Vulnerabilidades Saídas Lista de vulnerabilidades potenciais OWASP 39 Análise de Controle Entradas Controles atuais Controles planejados Atividades de Avaliação de Riscos Saídas Passo 4. Análise de Controle Lista de controles atuais e planejados OWASP 40 Determinação de Probabilidades Entradas Atividades de Avaliação de Riscos Saídas Motivações das origens das ameaças Capacidade da ameaça Natureza das vulnerabilidades Controles atuais Passo 5. Determinação de Probabilidades Valores de probabilidades OWASP 41 Análise de Impacto Entradas Análise de impacto na missão Avaliação do nível crítico dos ativos Nível crítico dos dados Sensibilidade dos dados Atividades de Avaliação de Riscos Saídas Passo 6. Análise de Impacto Perda de Integridade Perda de Disponibilidade Perda de Confidencialidade Taxa de Impacto OWASP 42 Determinação do Risco Entradas Probabilidade de exploração de ameaça Magnitude de impacto Adequação de controles atuais ou planejados Atividades de Avaliação de Riscos Passo 7. Determinação do Risco Saídas Riscos e níveis de risco associados OWASP 43 Recomendações de Controle Documentação dos Resultados Entradas Atividades de Avaliação de Riscos Saídas Passo 8. Controles recomendados Recomendações de Controle Passo 9. Documentação dos Resultados Relatório de avaliação dos riscos OWASP 44 Processo de Mitigação dos Riscos Entradas Atividades de Mitigação de Riscos Saídas Passo 1. Priorizar as Ações Classificação das Ações, de Alta a Baixa Níveis de Risco obtidos no Relatório de Avaliação dos Riscos Passo 2. Avaliar as Opções de Controle Relatório de Avaliação dos Riscos Viabilidade Eficássia Passo 3. Conduzir Análise de Custobenefício Impacto da Implantação Impacto da Não Implantação Custos Associados Análise de Custobenefício Passo 4. Selecionar Controle Controles Selecionados Passo 5. Atribuir Responsabilidades Lista de possíveis pessoas Passo 6. Desenvolver Plano de Implantação de Salvaguardas Lista dos Possíveis Controles Níveis de Riscos e Riscos Associados Ações Priorizadas Controles Recomendados Controles Planejados Selecionados Pessoas Responsáveis Data de Início Data Alvo de Conclusão Requisitos de Manutenção Passo 7. Implementar os Controles Selecionados Plano de Implantação de salvaguardas Riscos Residuais OWASP 45 AS-NZS4360 Desenvolvida pelos governos da Austrália e Nova Zelândia Serve de referência para as normas atuais Guia de Aplicação: Risk Management Guidelines Companion to AS/NZS 4360:2004 - HB 436:2004 OWASP 46 DEFINIÇÃO DO CONTEXTO ESTABELECER O CONTEXTO AVALIAR OS RISCOS COMUNICAÇÃO DO RISCO ANALISAR OS RISCOS MONITORAR E REVER IDENTIFICAR OS RISCOS DETERMINAÇÃO DOS RISCOS COMUNICAR E CONSULTAR ANÁLISE/AVALIAÇÃO DE RISCOS ANÁLISE DE RISCOS IDENTIFICAÇÃO DE RISCOS ESTIMATIVA DE RISCOS AVALIAÇÃO DE RISCOS PONTO DE DECISÃO 1 Avaliação satisfatória Sim TRATAR OS RISCOS ATENUAÇÃO DOS RISCOS Não TRATAMENTO DO RISCO PONTO DE DECISÃO 2 Tratamento satisfatório MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS Processos AS/NZS4360 e ISO 27005 Não Sim ACEITAÇÃO DO RISCO Normas AS/NZ4360 e ISO 31000 Norma ISO 27005 OWASP 47 Alinhamento da ISO 27005 com o PDCA Plan Definição do Contexto Análise/Avaliação de Riscos Definição do Plano de Tratamento do Risco Aceitação do Risco Manter e Melhorar o Processo de Gestão de Riscos Act de Segurança da Informação Implementação do Plano de Do Tratamento do Risco Monitoramento Contínuo e Análise Crítica de Riscos Check OWASP 48 Comunicação do Risco Identificação das partes interessadas Papéis e responsabilidades delimitados Desenvolver um plano de comunicação que permita a cada uma destas partes conhecer o andamento do processo e fornecer subsídios para seu desenvolvimento OWASP 49 Comunicação do Risco Aplicada - Pesquisas 1. Membros do projeto de pesquisa – pessoas diretamente relacionadas ao desenvolvimento do projeto; 2. Membros do grupo de pesquisa – pessoas que pertencem ao mesmo grupo de pesquisa, mas não estão diretamente relacionados à pesquisa em desenvolvimento; 3. Comunidade científica – pessoas interessadas nos resultados da pesquisa, como membros de comitês de programa e revisores de simpósios e periódicos, participantes de congressos científicos e leitores dos trabalhos publicados; 4. Instituições e órgãos de pesquisa – instituições e órgãos de pesquisa aos quais o projeto de pesquisa está vinculado; 5. Instituições e órgãos de fomento – responsáveis pelo custeio do projeto. OWASP 50 Comunicação do Risco Aplicada - Projetos 1. 2. 3. 4. Membros do projeto – pessoas diretamente relacionadas ao desenvolvimento do projeto; Gestores do Projeto – responsáveis pela definição dos requisitos do projeto. Membros do grupo de desenvolvimento – pessoas que pertencem ao mesmo grupo de desenvolvimento, mas não estão diretamente relacionados ao projeto; Comunidade interna – pessoas interessadas nos resultados do projeto, como membros de comitês de TIC; OWASP 51 Plano de Comunicação e Consulta Pesquisas Objetivos Participantes Estabelecimento de diretrizes e revisão contínua do projeto Membros do projeto de pesquisa Membros do grupo de pesquisa Comunidade científica Identificação de possíveis falhas, troca de experiências e obtenção de críticas e sugestões Obtenção de críticas e sugestões, identificação de novas aplicações, troca de experiências e avaliação do projeto Perspectivas dos Participantes Processo contínuo de avaliação dos riscos Conhecimento de novas tecnologias Divulgação e conhecimento de novas tecnologias Métodos Usados Avaliação Reuniões periódicas e apresentação de relatórios técnicos. Seminários e encontros. Auto-avaliação Submissão de artigos científicos para prospecção, publicação de resultados e apresentação de artigos. Análise periódica das contribuições apresentadas. Compilação e análise das revisões, sugestões e críticas dos artigos. OWASP 52 Plano de Comunicação e Consulta - Projetos Objetivos Participantes Estabelecimento de diretrizes e revisão contínua do projeto Membros do projeto e Gestores do projeto Membros do grupo de desenvolvimento Membros do comitê de TIC Identificação de possíveis falhas, troca de experiências e obtenção de críticas e sugestões Tomada de decisões sobre riscos, recursos e políticas Perspectivas dos Participantes Processo contínuo de avaliação dos riscos Métodos Usados Avaliação Reuniões periódicas e apresentação de relatórios técnicos. Auto-avaliação Troca de experiências Reuniões periódicas. Identificar riscos e oportunidades Apresentação de relatórios e reuniões Análise periódica das contribuições apresentadas. Análise dos controles sugeridos e decisões OWASP 53 Definição do Contexto Parâmetros básicos, por meio dos quais serão identificados os riscos que precisam ser geridos e qual será o escopo do restante do processo de gestão de riscos. Critérios que serão utilizados na identificação, avaliação, impacto e aceitação dos riscos. Determinação das conseqüências de segurança e os métodos usados para a análise e avaliação dos riscos Tem como entrada todas as informações relevantes sobre a organização, que sejam relevantes para a definição do contexto da gestão de riscos de segurança. Descrição dos objetivos do projeto e dos ambientes nos quais eles estão contextualizados OWASP 54 Descrição do Projeto – Web Services Um Web Service estabelece uma forma padrão de interoperabilidade entre aplicativos de software diferentes, funcionando em uma variedade de plataformas e/ou frameworks. Um Web Service é uma noção abstrata que precisa ser implementada por um agente concreto. O agente é a parte concreta de um software ou hardware que envia e recebe mensagens, enquanto o serviço é o recurso caracterizado pelo conjunto abstrato de funcionalidades que são fornecidas. Um mesmo Web Service pode ser implementado de formas diversas, sem que as funcionalidades oferecidas sejam alteradas OWASP 55 Descrição do Projeto – Composições de IDSs As composições de IDSs envolvem a combinação de diversos sistemas de monitoramento que coletam e analisam dados de forma distribuída e oferecem a flexibilidade da configuração dinâmica para atender a novas situações, mesmo que temporárias. OWASP 56 Definição dos Objetivos – Composisões de IDSs O1: O2: O3: O4: O5: Detecção de Intrusão Distribuída Uso de Elementos Heterogêneos Composição Dinâmica de IDSs Adoção de Padrões de Interoperabilidade Segurança dos Elementos e da Composição * Relativo a Web Services * Serão tratados no curso OWASP 57 Definição dos Critérios Básicos Conseqüências Confidencialidade - Informações críticas são reveladas a usuários não autorizados Integridade - Informações críticas são alteradas ou eliminadas por usuários não autorizados Disponibilidade - Elementos de software ou hardware têm sua performance reduzida ou seu funcionamento interrompido. Fatores de riscos associados às questões: qual é a ameaça (exploração de vulnerabilidades); o que pode ocorrer (conseqüências); e como pode ocorrer (ataque). Cálculo dos riscos: Adoção das métricas básicas do CVSS Aceitação dos Riscos Riscos Baixos. Os riscos Médios, cujos controles para sua redução sejam Altos, também poderão ser aceitos. OWASP 58 Identificação de Riscos Determinar os eventos que possam causar perdas potenciais Como, onde e por que ? Identificar: Ameaças Controles existentes Vulnerabilidades Conseqüências Dificuldades: Critérios subjetivos Referências: Literatura Científica Bases de dados de segurança Consulta à comunidade Usuários, parceiros, fabricantes, interessados OWASP 59 Registro de riscos: Uso de elementos heterogêneos OWASP 60 Registro de riscos: Uso de XML OWASP 61 Registro de riscos: Uso de Padrões OWASP 62 Agrupamento dos Riscos OWASP 63 Agrupamento dos Controles OWASP 64 Estimativa de Riscos Dados que irão auxiliar na decisão sobre quais riscos serão tratados e as formas de tratamento com melhor eficiência de custos Todo risco tem um custo e este custo pode ser quantificado de forma mais ou menos precisa OWASP 65 Metodologias para a Estimativa de Riscos Qualitativa Escala com atributos qualificadores que descrevem a magnitude das potenciais conseqüências e a probabilidade destas conseqüências ocorrerem Quantitativa Escala de valores numéricos tanto para conseqüências, quanto para a probabilidade Combinação de ambas OWASP 66 Probabilidades A probabilidade de um evento ocorrer durante um período de tempo determinado é expressa por um número entre zero e um. Calculadas por meio de análises de dados de ataques ou ameaças. Experiências na própria empresa Coletâneas adquiridas de organizações especializadas. OWASP 67 Common Vulnerability Scoring System – CVSS Adotado pelo NIST para a classificação de vulnerabilidades no National Vulnerability Database (NVD) http://nvd.nist.gov/cvss.cfm?version=2 Permite calcular os riscos que uma vulnerabilidade inflige no ambiente real Dispensa dados estatísticos precisos sobre ataques anteriores ou análises financeiras complexas. Aplicado ao inventário atualizado dos ativos, sistemas e serviços de TI. Versão Atual: 2.9 – Jun/2007 http://www.first.org/cvss/ OWASP 68 Metodologia do CVSS Critérios qualitativos para a caracterização das vulnerabilidades Três áreas: Métricas básicas Métricas temporais Métricas ambientais As características são valoradas e processadas para obter uma pontuação final ajustada, que irá representar as ameaças que uma vulnerabilidade apresenta em determinado instante de tempo para um ambiente específico Pontuação entre 0 (sem riscos) e 10 (maior risco) Classificação: Baixo: 0 – 3 Médio: 4 – 7 Alto: acima de 7 OWASP 69 Métricas Básicas CARACTERÍSTICA COMPLEXIDADE Acesso Complexidade de Acesso Autenticação IMPACTO Impacto na Confidencialidade Impacto na Integridade Impacto na Disponibilidade CLASSIFICAÇÃO PESO Local 0,395 Rede Adjacente 0,646 Rede Remota 1,0 Alta 0,35 Média 0,61 Baixa 0,71 Múltiplas 0,45 Única 0,56 Desnecessária 0,704 Nenhuma 0 Parcial 0,275 Completa 0,660 Nenhuma 0 Parcial 0,275 Completa 0,660 Nenhuma 0 Parcial 0,275 Completa 0,660 OWASP 70 Complexidade Vetor de Acesso (AV) Autenticação (AU) Complexidade de Acesso (AC) 20 * AC * AU * AV OWASP 71 Impacto: Confidencialidade (CI) Integridade (II) Disponibilidade (AI) 10,41 * ( 1 - (1 - CI) * (1 - II) * (1 - AI)) OWASP 72 Risco Básico ( 0,6 * Impacto + 0,4 * Complexidade - 1,5 ) * f(Impacto) f(Impacto), terá o valor 0 (zero) se o Impacto for igual a zero. Caso contrário, receberá o valor 1,176. OWASP 73 Métricas Temporais CARACTERÍSTICA MÉTRICAS TEMPORAIS Explorabilidade Nível de Atenuação Grau de Confiança CLASSIFICAÇÃO PESO Não Comprovado 0,85 Prova de Conceito 0,90 Funcional 0,95 Alta 1,0 Não Definida 1,0 Correção Oficial 0,87 Correção Temporária 0,90 Contorno 0,95 Sem Solução 1,0 Não Definida 1,0 Não Confirmada 0,90 Não Corroborada 0,95 Confirmada 1,0 Não Definida 1,0 OWASP 74 Risco Temporal Explorabilidade (EX), Nível de Atenuação (RL) Grau de Confiança (RC) Risco Básico * EX * RL * RC OWASP 75 Métricas Ambientais CARACTERÍSTICA MÉTRICAS AMBIENTAIS Potencial Dano Colateral Distribuição dos Alvos Requisitos de Confidencialidade, Integridade e Disponibilidade CLASSIFICAÇÃO PESO Nenhum 0 Baixo 0,1 Baixo a Médio 0,3 Médio a Alto 0,4 Alto 0,5 Não Definida 1,0 Nenhum 0 1% a 25% 0,25 26% a 75% 0,75 Acima de 75% 1,0 Não Definida 1,0 Baixa 0 Média 0,5 Alta 1,5 Não Definida 1,0 OWASP 76 Variáveis das Métricas Ambientais Potencial Dano Colateral (CD) Nenhum; Baixo, se há danos físicos, perda de lucros ou de produtividade leves; de Baixo a Médio, com danos físicos, perda de lucros ou de produtividade moderados; de Médio a Alto, se houver danos físicos, perda de lucros ou de produtividade significativos; Alto, quando há a possibilidade de danos físicos, perda de lucros ou de produtividade catastróficos. Distribuição dos Alvos (TD) Baixo, entre 1% e 25%; Média, entre 26% e 75%; Alta, acima de 75%; e Nenhum Requisitos de Segurança Requisito de Confidencialidade (CR) Requisito de Integridade (IR) Requisito de Disponibilidade (AR) OWASP 77 Ajuste Temporal Risco Temporal recalculado, substituindo o Risco Básico pelo Impacto Ajustado Impacto Ajustado: min ( 10, 10,41 * ( 1 - (1 - CI*CR) * (1 - II*IR) * (1 - AI*AR))) OWASP 78 Risco Ambiental (( Ajuste Temporal + ( 10 - Ajuste Temporal ) * CD ) * TD ) OWASP 79 Exemplo: Vulnerabilidade CVE-2008-5515 do Tomcat Publicada em 16/06/2009 Vetor de Acesso (AV) = Rede Remota = 1,0 Complexidade de Acesso (AC) = Baixa = 0,71 Autenticação (AU) = Desnecessária = 0,704 Impacto na Confidencialidade (CI) = Parcial =0,275 Impacto na Integridade (II) = Nenhuma = 0 Impacto na Disponibilidade (AI) = Nenhuma = 0 Métricas Temporais = Não Definidas = 1 Potencial Dano Colateral (CD) = Baixo = 0,1 Distribuição dos Alvos (TD) = 5% = 0,25 Requisito de Disponibilidade (AR) = Alta = 1,51 Requisito de Integridade (IR) = Alta = 1,51 Requisito de Confidencialidade (CR) = Alta = 1,51 OWASP 80 Cálculo do Risco Básico Impacto 10,41 * ( 1 - (1 - CI) * (1 - II) * (1 - AI)) = 10,41 * ( 1 - (1 – 0,275) * (1 - 0) * (1 - 0)) = 2,9 Complexidade 20 * AC * AU * AV = 20 * 1 * 0,71 * 0,704 = 10 Risco Básico ( 0,6 * Impacto + 0,4 * Complexidade - 1,5 ) * f(Impacto) = (0,6 * 2,86 + 0,4 * 10 - 1,5) * 1,176 = 5,0 Risco Básico = Médio OWASP 81 Cálculo do Ajuste Temporal Impacto Ajustado min(10, 10,41 * ( 1 - (1 - CI*CR) * (1 - II*IR) * (1 - AI*AR))) = min(10, 10,41 * ( 1 - (1 – 0,275 * 1,51) * (1 – 0 * 1,51) * (1 - 0 * 1,51))) = 5,0 Risco Básico Ajustado (0,6 * 4,3 + 0,4 * 10 - 1,5) * 1,176 = 6,0 Ajuste Temporal Risco Básico * EX * RL * RC = 6,0 * 1 * 1 * 1 = 5,3 Ajuste Temporal Médio OWASP 82 Cálculo do Risco Ambiental Risco Ambiental (( Ajuste Temporal + ( 10 - Ajuste Temporal ) * CD ) * TD ) = (( 6,0 + ( 10 - 5,3) * 0,1) * 0,25 ) = 1,6 Risco Ambiental Baixo OWASP 83 SVSS Aplicado ao Projeto Baseado nos riscos identificados Registro de Riswcos Classificação das vulnerabilidades potenciais Avaliação qualitativa OWASP 84 Níveis de Risco de Segurança OWASP 85 Complementação: Risco 2.1 – Uso de elementos vulneráveis Distribuição das Vulnerabilidades do Tomcat OWASP 86 Avaliação de Riscos Tomar decisões Resultados da análise de risco Identificação Estimativa de Riscos Considerações Propriedades Importância para o negócio ou projeto Custo-benefício Ao término da avaliação é verificado se seu resultado é satisfatório OWASP 87 Níveis de Risco Iniciais OWASP 88 Tratamento do Risco Identificação de opções de tratamento Avaliação das opções Preparação para a implementação dos tratamentos selecionados Lista de riscos ordenados por prioridade Opções de tratamento Redução Retenção Evitação Transferência Riscos residuais Podem ser adotadas as etapas da norma NIST SP800-30 OWASP 89 Riscos Tratados OWASP 90 Avaliação e Seleção dos Tratamentos de Segurança OWASP 91 Aceitação do Risco Análise do risco residual Registro formal e responsabilização Resultados nem sempre satisfatórios Fatores como tempo e custos podem justificar a aceitação dos riscos OWASP 92 Comparativo dos Níveis de Risco de Segurança OWASP 93 Monitoramento e Análise Crítica dos Riscos Os riscos não são estáticos Monitoração para verificar a eficácia das estratégias de implementação e mecanismos de gerenciamento utilizados no tratamento dos riscos Processo contínuo e dinâmico Mudanças organizacionais ou externas Alteram o contexto da análise Revisão completa da gestão de riscos Revisões periódicas OWASP 94 Considerações sobre o Estudo de Caso Identificação de riscos no uso de Web Services; Análise e avaliação dos riscos de segurança; Tratamentos para riscos operacionais discutidos na literatura científica; Identificação de riscos e tratamentos associados ao XML; Identificação de riscos e tratamentos associados ao uso de Padrões; e Identificação de riscos e tratamentos associados aos elementos de infraestrutura usados em Web Services. A gestão de riscos também pode ser aplicada em outras etapas do projeto, como na avaliação dos produtos utilizados no desenvolvimento do protótipo. OWASP 95 Conclusões Com a utilização da metodologia de gestão de riscos, espera-se a identificação e o tratamento da maioria das vulnerabilidades conhecidas e pertinentes às soluções adotadas em projetos de serviços web (Web Services). Isso sem dúvida auxilia no entendimento dos problemas de segurança que seriam enfrentados, tendo como conseqüência a melhoria do projeto como um todo. Infelizmente, não é possível garantir que o projeto seja totalmente seguro. Contudo, podemos afirmar que, com a realização de boas práticas de gestão de risco, são tomadas todas as medidas preventivas necessárias à atenuação do impacto negativo que possíveis vulnerabilidades infringiriam ao projeto. OWASP 96 Contatos: José Eduardo Malta de Sá Brandão [email protected] OWASP 97