Transcript OWASP Testing Guide Lic. Paola Rodríguez [email protected] Bienvenidos al Proyecto de OWASP: Testing Guide! • Detalla los Procedimientos y Herramientas para probar la Seguridad de.

OWASP Testing Guide
Lic. Paola Rodríguez
[email protected]
Bienvenidos al Proyecto de
OWASP: Testing Guide!
• Detalla los Procedimientos y Herramientas
para probar la Seguridad de las Aplicaciones.
• Orientada a:
– Desarrolladores de Software.
– Testers de Software.
– Especialistas en Seguridad.
OWASP Testing Guide.
• Desarrollada al estilo OWASP.
– Abierto
– Colaborativo
• Está relacionada con otras Guías de OWASP.
• La metodología de testing definida es:
– Consistente
– Repetible
– Calidad.
We need a common vulnerability list
Ref.:OWASP_Testing_Guide_-_OWASP_Summit_2011
Historia y Evolución
4
OWASP Testing Guide V4.
Release en Revisión
• 1 Líder del Proyecto
• Miembros del Proyecto: Más de 30 colaboradores y
revisores.
• Alcance: 50% dedicado a completar el capítulo
y el otro 50 % de revisión según feedback.
• Objetivos:
Liberar una guía de calidad.
Crear concientizacion y adopción de la misma.
5
Los diferentes Capítulos:
• Introducción.
• Entorno de Pruebas OWASP:
– Técnicas y tareas en relación a las diferentes fases
del SDLC.
• Pruebas de Intrusión de Aplicaciones WEB.
– Diferentes pruebas para Vulnerabilidades
específicas.
• Valoración del Riesgo y Redacción de
Informes.
6
Principios de la comprobación.
• No existe la bala de plata.
La Seguridad
es un
• Piensa estratégicamente,
no tácticamente.
• SDLC es el Rey.
Proceso,
no un Producto.
• Prueba pronto y prueba a menudo.
• Comprende el Alcance de la Seguridad.
7
Principios de la comprobación
cont. …
• Comprende el objeto de estudio (documentación)
y utiliza las herramientas adecuadas.
• Lo importante está en los detalles.
• Usa el código fuente cuando esté disponible.
• Desarrolla Métricas.
• Documente los resultados de las pruebas.
8
Técnicas de comprobación.
Ventajas
Ventajas (Inspecciones):
(Modelado de Amenazas)
No
requiere
tecnología
de apoyo
Visión
práctica
del sistema
desde el punto de
•Puede
Inspecciones
y Revisiones
Manuales
– Es una
ser
aplicada
a
una
variedad
de
situaciones
vista de un atacante
excelente práctica de verificación y puede
Flexible
Flexible
considerarse
como
una de lás técnicas mas
Fomenta
el
trabajo
en
equipo
Se aplica en una fase temprana del SDLC
efectivas
y
eficaces.
Se
aplica
en
una
fase temprana
del SDLC
Desventajas (Modelado
de Amenazas)
Desventajas
(Inspecciones):
Nueva técnica,
relativamente
consumir
tiempo
Buenos
modelos
de
amenaza
no
garantiza
buen
•Puede
Modelado
demucho
Amenazas.
Permite
desarrollar
Material
de
no siempre disponible
software
. apoyo
estrategias
de mitigación
para
Precisa
de bastantes conocimientos,
vulnerabilidades
potenciales. reflexión y
competencia humana para ser efectiva
9
Técnicas de comprobación.
Ventajas (Revisiones
Código)
(Pruebas dede
Intrusión)
•
Revisión
de
Código.
Eficacia
e
integridad.
Puede ser rápido (y por tanto, barato).
Precisión.
Requiere un conocimiento relativamente menor que una
Rapidez
(Para
revisores
competentes).
revisión
de
código
fuente.
• Pruebas de Intrusión.
Desventajas
Código)
Comprueba el(Revisiones
código quede
está
siendo expuesto realmente.
Requiere
desarrolladores
altamente competentes.
Desventajas
(Pruebas de Intrusión)
No
puede detectar
errores
en tiempo de ejecución con facilidad
Demasiado
tardío en
el SDLC.
El
códigosolo
fuente
realmentefrontales.
en uso puede ser diferente del que
Pruebas
de impactos
está siendo analizado.
10
Enfoque Equilibrado
• El enfoque correcto es el Equilibrado, incluye
El enfoque equilibrado varía dependiendo de
varias técnicas;
muchos factores: como la madurez del
Proceso de Pruebas y la Cultura Corporativa.
• y asegura la cobertura
Es esencial para las organizaciones poner
de mayor
las pruebas
énfasisen
en todas
las Etapas Iniciales del
lasdesarrollo.
fases del SDLC.
Proporción del Esfuerzo de Pruebas en el SDLC
11
Diferentes Fases
• Fase 1: Antes de empezar el Desarrollo.
• Fase 2: Durante el Diseño y Definición.
• Fase 3: Durante el Desarrollo.
• Fase 4: Durante la Implementación.
• Fase 5: Mantenimiento y Operaciones.
12
Antes de empezar el
desarrollo.
• Fase 1A: Revisión de Estándares y Políticas.
– Asegurar que las políticas, documentación y
estándares adecuados están implementados.
• Las personas pueden hacer las cosas
correctamente solo si saben que es
• Faselo1B:
Desarrollo de Métricas y Criterios de
correcto.
Medición.
– Definir los criterios que deben ser medidos
proporciona visibilidad de los defectos, tanto en el
proceso como en el producto.
13
Durante el Diseño y Definición.
• Fase 2A: Revisión de los Requisitos de
Seguridad.
• Fase 2B: Revisión de Diseño y Arquitectura.
• Fase 2C: Creación y Revisión de Modelos UML.
14
Durante el Desarrollo.
• Fase 3A: Inspección de Códigos por Pares.
• Fase 3B: Revisiones de Código.
15
Durante la Implementación.
• Fase 4A: Pruebas de Intrusión en Aplicaciones.
• Fase 4B: Comprobación de Gestión de
Configuraciones.
16
Fase 5 - Mantenimiento y
Operaciones.
• Fase 5A: Ejecución de Revisiones de la
Administración Operativa.
• Fase 5B: Ejecución de Comprobaciones
periódicas (mensuales o trimestrales) de
mantenimiento.
• Fase 5C: Asegurar la Verificación de Cambios.
17
Pruebas de intrusión de
aplicaciones Web.
• ¿Qué es una prueba de intrusión de aplicación
web? Es un método de Evaluación de la
Seguridad de un Sistema, mediante la
simulación de un ataque.
• ¿Qué es una vulnerabilidad? Es una debilidad
en un activo que hace posible su amenza.
• ¿Qué es la metodología de pruebas OWASP?
18
Categorías.
•
•
•
•
•
•
•
•
•
19
Pruebas de Gestión de la Configuración
Pruebas de la Lógica de negocio
Pruebas de Autenticación
Pruebas de Autorización
Pruebas de Gestión de sesiones
Pruebas de Validación de datos
Pruebas de Denegación de Servicio
Pruebas de Servicios Web
Pruebas de AJAX
Ejemplo: Recopilación de
Información.
20
Redacción de Informes
¿ Cómo
valorar el riesgo real ?
Creeando una metodología general para
descomponer los hallazgos de seguridad y
evaluar los riesgos con el objetivo de priorizarlos
y gestionarlos.
21
Metodología de Valoración de
Riesgos
Modelo estándar:
Riesgo = Probabilidad de Ocurrencia
X
Impacto
22
Pasos a seguir…
• Identificar los Riesgos.
• Determinar los Factores para estimar la Probabilidad
de Ocurrencia.
• Determinar los Factores para estimar el Impacto.
• Determinar la Severidad del Riesgo.
• Decidir que Arreglar.
• Ajustar el Modelo de Valoración del Riesgo.
23
Probabilidad de Ocurrencia Factores
Agentes causantes de la Amenaza
Nivel de
Conocimiento
•
•
•
•
•
Motivación
Oportunidad
Tamaño
• En teoría
es posible
• Prácticamente
Imposible
(1) explotarla
• Detección activa en la aplicaci
• Desconocida (1)
(1)
• Difícil (3)
(1)
•
Oculta
(4)
•
Difícil
(3)
• Desarrolladores
(2)
Sin conocimientos
• Fácil (7) (1)
• Registrada y revisada
(3)
•
Obvia
(6)
•
Fácil
(5)
• Administradores
deno
sistemas
(2) (
Algunos
(3)
• conocimientos
Existen herramientas
• acceso
Registrada
pero
revisada
• • Baja
Motivación
•
Ningún
o
ninguna
conocido
(0)
•herramientas
Se conoce• de
forma pública
(9)
Existen
de la intranet
(4)
Usuario avanzado
(4)
automatizadas
disponibles
(9) Usuarios
•
No
registrada
(9)
recompensa
(1)
•
Acceso
limitado
(4)
disponibles
• Socios (9)
(5)
Conocimientos de automatizadas
redes y
• Posible recompensa
• Acceso
(4)total (9)
• Usuarios autenticados (6)
programación
(6)que afectan a la
Factores
• Recompensa alta (9) vulnerabilidad
• Usuarios anónimos de Internet (9
Conocimientos de intrusiones de
Facilidad(9)de
Facilidad de Conocimiento Detecció
seguridad
descubrimiento explotación
24
n de la
Intrusión
Impacto - Factores
Factores de Impacto Técnico
Confidencialidad Integridad
•
•
•
•
•
•
•
•
Disponibilidad Responsabilidad
Menor al coste de arreglar la
• Mínimo
Un individuo (3).
vulnerabilidad
(1). mínimo
Daño
(1). no número de• servicios
Revelación
Mínima
de datos
• •Mínimo,
datos
• ligeramente
Violación
leve (2). • • Totalmente
Trazable(5)(1)
Cientos(1)
de Personas
secundarios
interrumpidos
Leve
efecto
el beneficio
anual
•corruptos(1)
Pérdida
de •lasClara
cuentas
sensibles
(2)en
violación (5) • Miles de Personas(7)
• Es
posible que se pueda tra
• Violación
Mínimo número
de
servicios
(3)
principales
(4)
Revelación
Mínima
de
datos
•
prominente
(7)
• Mínimo datos seriamente
Millones
de Personas
(9) (9)
• • Completamente
anónimo
primarios
interrumpidos
(5)
Efecto
significativo
en
el
•
Pérdidas
del
buen
nombre
(5)
Críticos (6)dañados (3)
•laGran
de servicios (3)
beneficio
anual
(7)sobre
•Gran
Daño
(9)
Amplia•Revelación
de datos
no número
cantidad
demarca
datos
secundarios interrumpidos (5)
Bancarrota
sensibles ligeramente
(6)(9)
dañados (5)
• Gran número de servicios
Aplica Revelación
de datos
• Gran cantidad
de datos
primarossobre
interrumpidos
(7)
Factores
dedañados
Impacto
el
Negocio
Críticos
(9)seriamente
(9)
• Todos los servicios perdidos (9)
No Conformidad
Daño
Reputación
Violación de
Financiero
privacidad
25
Severidad del Riesgo
• Determinar si la probabilidad de ocurrencia y el
impacto son de nivel Alto, Medio ó Bajo.
Probabilidad de ocurrencia y
niveles de impacto
26
0 a <3
ALTO
3 a <6
MEDIO
6a9
BAJO
Severidad del Riesgo (POG)
Factores correspondientes al agente causante de
• Métodos: Informal ylaRepetitivo
amenaza
Nivel de
habilidad
5
Motivo
Oportunidad
Tamaño
Probabilidad de ocurrencia global=4.375
2
1
(MEDIA) 7
Factores asociados a la Vulnerabilidad
Facilidad de Facilidad de
Detección de
Concienciación
descubrimiento explotación
Intrusión
27
3
6
9
2
Severidad del Riesgo (ITG)
Impacto Técnico
Pérdida de
Pérdida de
Pérdida de
Pérdida de control
Técnico Global
= 7.25 (ALTO)
ConfidencialidadImpacto
Integridad
Disponibilidad
de responsabilidad
Impacto Global sobre el Negocio = 2.25 (BAJO)
9
Daño Financiero
28
1
7
5
8
Daño a la
Reputación
No Conformidad
Violación de
Privacidad
2
1
5
Impacto sobre el Negocio
Severidad del Riesgo
29
Decidiendo que arreglar…
Lista Priorizada
• Riesgos Altos
• Riesgos Medios
• Riesgos Severos
Como Regla General: Riesgos Severos
PRIMERO…
30
Ajustando tu modelo de
valoración
• Añadiendo Factores.
• Personalizando opciones.
• Ponderando factores.
31
El Informe de Pruebas
• Secciones Recomendadas:
• Resumen Ejecutivo.
• Consideraciones Técnicas Generales.
• Hallazgos.
32
y ya finalizando… la recomendación es entonces,
la adopción de esta guía en sus organizaciones;
aunque ello implique que deban adaptarla de
acuerdo a sus teconologías, procesos y estructura
organizacional.
MUCHAS GRACIAS POR SU VALIOSO TIEMPO!.