Professional Documents
Culture Documents
OUTLINE
Objetivos
Tendencias en Seguridad
Modelos de Seguridad: Evolucin
Caso de estudio: Web Services
OBJETIVOS
Garantizar la funcionalidad deseada
Garantizar performance adecuada
Lograr confiabilidad y robustez
AMENAZAS TANGIBLES
QU CAMBI?
Ud abrira un file
.exe?
.ppt?
.jpeg?
GDIplus vulnerability
Ataques al Graphic Device Interface dll, usando
buffer overflow
Hubo MUCHOS cambios, este es slo un ejemplo de
una tendencia.
PASADO VS FUTURO
Antes
Ahora
La seguridad es un
problema puramente
tcnico
La seguridad es un problema
que compete a toda la
organizacin
La seguridad es un gasto
El objetivo es la seguridad
El objetivo es la continuidad
de negocio
Me voy a comprar el
gadget que me garantiza
la seguridad!
Seguridad es un proceso
TENDENCIAS EN ATAQUES
Automatizacin
Peer-to-Peer
MODELO FORTALEZA
Proteccin perimetral
Esttico, no diferenciado
Difcil de modificar y adaptar
Descuida el insider problem
MODELO AEROPUERTO
Mayor flexibilidad
Mltiples zonas de seguridad basadas en roles
MODELO PEER-TO-PEER
Conceptos dinmicos de confianza, autenticacin y
autorizacin
Requerimientos comerciales->Requerimientos
tecnolgicos
AUTORIZACIN DINMICA
SSL/TLS no alcanza!
XKMS (W3C):
Especifica protocolos para la registracin y distribucin de claves pblicas
XACML (OASIS):
Permite expresar semnticamente polticas de control de acceso
SAML (OASIS):
Permite a las aplicaciones emitir predicados de confianza
XrML (OASIS):
Permite especificar requerimientos de DRM
WS-Security (IBM-Microsoft-Verisign):
Extiende SOAP, con proteccin de integridad, confidencialidad y
autenticacin de mensajes
Concepto
Someter a
revisin
externa
Determinar los
criterios de firma
de seguridad
Diseos
completos
Entrenar a los
integrantes
del grupo
Realizar la
revisin del grupo
de seguridad
Planes de
prueba
completos
Aprender
y afinar
Pruebas de
puntos vulnerables
de seguridad
Cdigo
completo
Envo
Despus
del envo
=continuado
MITIGAR
ESTRATEGIA RECOMENDADA
Comenzar con polticas de alto nivel que tengan en cuenta un BIA
(Business Impact Analysis) de su organizacin
Utilizar plantillas funcionales de arquitectura de seguridad, que
implementen las best practices correspondientes
Evangelizar a la comunidad desarrolladora de los beneficios de
considerar a la seguridad como premisa inicial de diseo
Migrar modelos del tipo fortaleza a modelos del tipo aeropuerto, que
representen ms fielmente los procesos de negocio
En proyectos autocontenidos (Intranets), desarrollar IPv6-compatible,
para aprovechar las provisiones de seguridad nativas del protocolo
Pensar en un horizonte de 5 a 7 aos para migrar a modelos de
seguridad tipo Peer-to-Peer
La seguridad es un proceso y no un proyecto