Upload File

a systematic review of security patterns used to develop...

  • Home
  • Documents
  • A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI
36
Presentador Luis Enrique Sánchez- [email protected] Autores Roberto Ortiz [email protected] Santiago Moral Rubio [email protected] Javier Garzás [email protected] Eduardo Fernández-Medina [email protected] A Systematic Review of Security Patterns Used to Develop Security Architectures

Upload: others

Post on 18-Aug-2020

2 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Presentador

Luis Enrique Sánchez- [email protected]

Autores

Roberto Ortiz – [email protected]

Santiago Moral Rubio – [email protected]

Javier Garzás – [email protected]

Eduardo Fernández-Medina – [email protected]

A Systematic Review of Security Patterns Used to Develop Security

Architectures

Page 2: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Índice

• Introducción

– Motivación de la Investigación

– Necesidades Detectadas

– Objetivo

• Investigación

– Análisis

– Resultados

– Conclusiones

Page 3: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Los avances tecnológicos conducen a una

mayor complejidad de los sistemas de

información, aumentando el impacto de los

ataques cibernéticos, ya que los atacantes

tienen más probabilidades de encontrar nuevas

vulnerabilidades en los sistemas, tales como

cross-site scripting, inyección de código,

ejecución de archivos maliciosos, etc.

Motivación de la Investigación

Page 4: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Figura 1: Comparación Anual de Denuncias Recibidas vía Website de IC3

IC3 (Internet Crime Complaint Center)

Motivación de la Investigación

Page 5: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

IC3 (Internet Crime Complaint Center)

Figura 2: Pérdida Anual en Dólares (en Millones) en relación con las denuncias anteriores

Motivación de la Investigación

Page 6: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

¿Por qué ocurren los ataques?

Los ataques cibernéticos se

producen principalmente al

aprovechar pequeños fallos

en los programas o en la

configuración de los sistema

de información.

Motivación de la Investigación

Page 7: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

• Mal diseño de los sistemas y de su seguridad • Escasa actualización de los sistemas • Insuficiente o nula monitorización de los sistemas • Cambios inadecuados en la configuración de los sistemas • Errores en el código de las aplicaciones

La mayoría de estas deficiencias son causadas por:

Motivación de la Investigación

Page 8: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Procesos ejecutados

miles de veces al día

Esta es la principal

razón de la mayoría

de los problemas de

seguridad

Motivación de la Investigación

Page 9: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Los fallos son

debidos a

errores humanos

Motivación de la Investigación

Page 10: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Soluciones específicas y reutilizables para resolver eficazmente los problemas relacionados con las vulnerabilidades de seguridad, y así, minimizar el número de ataques satisfactorios contra los sistemas de una organización.

Necesidades

Page 11: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Minimizar los errores de diseño y de gestión de los sistemas de información de una organización de una forma estructurada y sistemática.

Propuesta

Page 12: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Teniendo en cuenta que la mayoría de los

problemas ocurren de forma similar en

diferentes contextos, soluciones genéricas a

estos problemas pueden ser expresadas

como patrones.

Contribución de los Patrones

Page 13: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Describen un problema recurrente,

proporcionando una solución

documentada y validada que puede

ser usada múltiples veces.

Contribución de los Patrones

Page 14: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Combinan experiencia y buenas

prácticas en el diseño de sistemas

de información.

Contribución de los Patrones

Page 15: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Optimizan el proceso de decisión a

la hora de resolver una necesidad

de seguridad recurrente.

Contribución de los Patrones

Page 16: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Contribución de los Patrones

Incorporan un extenso

conocimiento, en materia de

seguridad, de forma

estructurada.

Page 17: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Hemos llevado a cabo un profundo

análisis de un conjunto de algunas de las

propuestas más relevantes, extraídas

de una revisión sistemática realizada con

anterioridad, las cuales utilizan los

patrones de seguridad para

construir sistemas seguros.

Investigación

Page 18: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Este análisis se centra en la forma en

que estos patrones son utilizados, con el fin

de verificar si estas propuestas tienen en

cuenta una serie de consideraciones que

son necesarias cuando este tipo de

soluciones son introducidas en los sistemas

reales de una organización.

Investigación

Page 19: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Consideraciones

•Impacto en otros componentes

•Impacto en el sistema

•Coste de la solución

•Tiempo empleado

•Presentación de ejemplos reales

•Evaluación de la criticidad de los activos que deben ser

protegidos

•Cumplimiento de normas y regulaciones

Cada uno de estos aspectos son los criterios técnicos que deberían ser

tomados en cuenta, por los ingenieros de seguridad, a la hora de

construir un sistema de información seguro, ya que se relacionan con

parámetros tan importantes como el rendimiento, coste, tiempo,

eficacia o aprendizaje.

Page 20: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Satisface completamente

las consideraciones

planteadas

Se refiere brevemente

a estas consideraciones

No menciona ni considera

dichas consideraciones

SI (S)

PARCIALMENTE

(P)

NO (N)

Análisis de las Propuestas

Page 21: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Análisis de las Propuestas

1

2

1

0

3

2

2

1

4

0

0

4

0

0

9

5

10

11

4

9

9

0 2 4 6 8 10 12

Impact on others components

Impact on the system

Solution cost

Used time

Real examples

Criticallity of assets

Rules and regulations

N

P

F

Reglas y Regulaciones

Criticidad de los activos

Ejemplos reales

Tiempo estimado

Coste de la solución

Impacto en el sistema

Impacto en otros componentes

del sistema

S

Page 22: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

A la mayoría de las propuesta principalmente

les falta…

Una evaluación de las compatibilidades y las

posibles consecuencias al utilizar el patrón

con relación a los otros componentes en el

sistema.

Resultados

Page 23: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Esta falta puede provocar incompatibilidades

con algunos elementos del sistema al no

detectarse a priori , haciendo así que

la solución fracase.

Resultados

Page 24: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

A la mayoría de las propuesta principalmente

les falta…

Una evaluación detallada del impacto que el

uso del patrón puede tener en el sistema

en el que se introduce en términos de

almacenamiento, memoria consumida,

frecuencia de parcheo, procesamiento,

capacidad de ancho de banda, etc.

Resultados

Page 25: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

La falta de análisis de estos parámetros

críticos podría poner en peligro la

disponibilidad del servicio.

Resultados

Page 26: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

A la mayoría de las propuesta

principalmente les falta…

Una clasificación específica de la criticidad

del activo que debe ser protegido por la

solución expuesta por el patrón.

Resultados

Page 27: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Si este parámetro no es analizado, existe el

riesgo de no estimar adecuadamente las

medidas de seguridad a adoptar, lo que

conduce a inversiones excesivas o, en su

defecto, a dejar el sistema vulnerable a

cualquier ataque no considerado

anteriormente.

Resultados

Page 28: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

A la mayoría de las propuesta

principalmente les falta…

Una estimación general de el coste o tiempo

necesario para implementar la solución

expuesta por el patrón.

Resultados

Page 29: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

La ausencia de este análisis puede

causar que la organización descarte la

solución porque no es capaz de asumir los

costes relacionados a posteriori, o porque

sea incapaz de planificar una estrategia de

negocio, ya que el tiempo estimado en la

realización de los cambios no ha sido

definido con claridad.

Resultados

Page 30: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

A la mayoría de las propuesta

principalmente les falta…

Consideraciones específicas en relación a

las limitaciones que pueden ser impuestas

por las normas y regulaciones de los

diferentes países donde residen los

sistemas de información de la organización.

Resultados

Page 31: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Este aspecto es tan critico como los demás,

pero afecta directamente a las organizaciones

internacionales.

Cuando el negocio de una organización depende,

entre otros factores, de las regulaciones del

país donde se encuentran sus sistemas, es

necesario incluir este criterio como una variable

en la ecuación, ya que puede condicionar la

solución final de seguridad en todo momento.

Resultados

Page 32: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Resultados

Todos estos parámetros son críticos, y por

lo tanto, deberían ser decisivos cuando se

utilizan patrones de seguridad en los

sistemas reales de una organización.

Descuidar su análisis puede hacer que la

solución fracase.

Page 33: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Conclusiones

A pesar de los resultados de este análisis, los

patrones de seguridad son, en nuestra opinión,

una buena herramienta con la

que homogeneizar las soluciones de

seguridad para problemas similares que son

resueltos por diferentes ingenieros, además de

proporcionar soluciones ágiles,

probadas, validadas y seguras a problemas de

seguridad recurrentes.

Page 34: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

Conclusiones

• Creemos que es necesario que los patrones de

seguridad, que existen hasta la fecha, evolucionen

para reflejar cada una de las consideraciones

anteriores, a fin de permitir su fácil aplicación en

sistemas reales

• Además creemos que es necesario también, la

elaboración de una metodología de uso de estos

patrones para ayudar a los ingenieros de seguridad de

la información a construir sistemas de información

seguros dentro de organizaciones reales y

complejas, a través de un proceso sistemático

Page 35: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

Bucaramanga, Colombia. CIBSI 2011

• En la actualidad, hemos publicado una nueva plantilla de descripción de

patrones para apoyar el diseño de arquitecturas de seguridad. Además,

hemos presentado una primera aproximación a una metodología basada

en patrones de seguridad para construir sistemas de información seguros

•En los próximos trabajos, nosotros crearemos patrones de seguridad usando la

plantilla mencionada, y mostrando ejemplos reales

•Por otro lado, estamos estudiando en detalle todas las etapas de la metodología

propuesta, presentando en cada etapa ejemplos prácticos que certifiquen su uso

en una organización real

•Finalmente, estamos trabajando en la construcción de una herramienta que de

soporte a la aplicación de la metodología y que sirva para controlar cada una de

las actividades, elementos y personas que toman parte en la construcción de un

sistema de información seguro

Próximos trabajos

Page 36: A Systematic Review of Security Patterns Used to Develop ...138.100.156.48/cibsi/cibsi2011/info/Ponencias/19. A Systematic Revi… · –Conclusiones . Bucaramanga, Colombia. CIBSI

“THE SYSTEMATIC STUDY OF HUMAN SOCIETY” Systematic

VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011. Software d… · de Seguridad Informática CIBSI 2011 Universidad Nacional ... Riesgos Evaluaciones de Seguridad Integridad

Updated - What makes systematic review systematic - Anna Sidorchuk

JORNADAS GRATUITAS DE CRIPTOGRAFÍA Y SEGURIDAD …138.100.156.48/descarga/CiberseguridadFormacionCharl2015UCentralChile.pdf · 16 Seguridad asociada a redes locales que me entregan

A Systematic Review of Systematic Review Process Research ... Kitchenham - A systematic revie… · Keywords: systematic review; systematic literature review; systematic review methodology;

SYSTEMATIC REVIEW Open Access Guidelines for guideline developers: a systematic … · 2017-04-06 · SYSTEMATIC REVIEW Open Access Guidelines for guideline developers: a systematic

Fechas y lugar de celebración Proceso de solicitud de …138.100.156.48/descarga/securmatica12.pdf · 2012-03-21 · Francisco Javier García Carmona Iberdrola Antonio Ramos García

Systematic Literature Reviews - GitHub Pages · Systematic literature review Systematic mapping review Systematic scoping review Situates a study within the relevant literature, non-systematic

Systematic Searching Systematic Reviews · Systematic Searching Systematic Reviews Literature search Tomas Allen ... and other systematic reviews, clinical trials, and more. Cochrane

Cibercrimen 2138.100.156.48/cibsi/cibsi2011/info/Conferencias/Jeimy...Cibercrimen 2.0 Evolución y retos para la próxima década 2010-2020 Jeimy J. Cano M., Ph.D, CFE, CMAS Profesor

Systematic review

Systematic Mapping Studies - Uni Koblenz-LandauMarcel Heinz Systematic Mapping Studies 23. Juli 2014 3 / 44 Systematic Review : History Creating systematic reviews is an established

Systematic Innovation of Products, Processes, and Servicescdn.executive.mit.edu/.../systematic-innovation-of-products-processe… · Systematic Innovation of Products, Processes,

Systematic Approach

Epinephrine in cardiac arrest: systematic review and · PDF fileEpinephrine in cardiac arrest: systematic review and meta-analysis. ... systematic review and meta-analysis ... systematic

INVESTMENT CLASSIFICATION PROJECT: Systematic Valued1pvbs8relied5.cloudfront.net/.../Systematic-Value... · INVESTMENT CLASSIFICATION PROJECT: Systematic Value MARKET INSIGHT PAPER

Systematic A Systematic Review on COVID 19 Vaccine

“...THE SYSTEMATIC STUDY OF HUMAN SOCIETY ” SYSTEMATIC

Systematic Transfer Plan/ Systematic Withdrawal Plan (Form 3)€¦ ·  · 2017-12-074.2 Systematic Transfer Plan ... Systematic Transfer Plan/ Systematic Withdrawal Plan (Form 3)

Trabajo de Investigación. Métricas de... · Dr. Eduardo Fernández-Medina Paton ... Luis Enrique Sánchez Crespo CIBSI 2011 Bucaramanga, Colombia ... Caso práctico real

Privacidad y Protección de Datos Personales en n-de-Datos... · PDF fileGuatemala Si No - Honduras Si No Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI

Systematic Approach

Libro de Actas - CIBSI 2017 en la Universidad de …cibsi2017.org/programa/Actas_cibsi2017_UBA.pdf · 1 al 3 de noviembre de 2017 Libro de Actas POSGRADO EN SEGURIDAD INFORMATICA

Systematic Literature Review - Poltekkes Pontianak · • Campbell collaborationfor systematic reviews of social interventions • Cochrane collaborationfor systematic reviews of

Systematic sampling

Amenazas y Vulnerabilidades a los Sistemas de Información ...138.100.156.48/descarga/Amenazas_y_vulnerabilid_2011_V3_entrega.pdf · Evaluación y Certificación de la Seguridad de

Mapping the systematic literature studies about so …...On the other hand, the terms related to systematic literature reviews are: SLR, Systematic Literature Review, systematic mapping,

UNIVERSIDAD POLITÉCNICA DE MADRID ESCUELA TÉCNICA …138.100.156.48/descarga/CertificacionesDeSeguridad_ProyectoMESI2016.pdfEl trabajo realizado por María del Mar, consistente en

I. ¿Por qué una enciclopedia visual en YouTube?138.100.156.48/descarga/PresentacionProyectoIntypediaRuedaPrens… · Tras un mes de vida en la Red, en la siguiente documentación

Systematic reviews

Systematic Theology - The Cambron Institutethecambroninstitute.org/library/Systematic_Theology.pdf · systematic theology c:\documents and settings\jboehm\desktop\systematic theology.doc

Systematic searching for systematic reviews · Systematic Searching Systematic Reviews Tomas Allen Training Course in Sexual and Reproductive Health Research Geneva 2010 . 2| WHO

Systematic Desensitization

Systematic Reviews. What is systematic review? - Well documented of intervention research -Scientific methodology -reduced systematic errors (biases)

SYSTEMATIC REVIEW A systematic review and meta-analysis