Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Uso de O-ISM3 en Bankia

1,894 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Uso de O-ISM3 en Bankia

  1. 1. © 2013 IBM CorporationIBM Security Systems1© 2013 Bankia & IBM CorporationEl proceso de ciclo de vida de desarrolloseguro(PCVDS) en Bankia
  2. 2. © 2013 IBM CorporationIBM Security Systems2© 2013 Bankia & IBM CorporationAspectos destacados 2012
  3. 3. © 2013 Bankia & IBM Corporation3Importante saber dónde están los problemas….
  4. 4. © 2013 Bankia & IBM Corporation4X-Force Report 2012Desde 1997, IBM X-Force ha estado documentando la información pública de lasvulnerabilidades de seguridad. En aquel entonces, había unas pocas vulnerabilidades paradocumentar cada semana. Ahora, más de quince años después, se documenta unpromedio de más de 150 vulnerabilidades por semana. Incontables horas de trabajo sededican semanalmente para analizar Internet, analizando WebSites, leyendo foros y RSSfeeds, e investigando información para IBM X-Force Vulnerability Database (XFDB).Nuestra base de datos contiene actualmente 70.000 vulnerabilidades únicas y siguecreciendo a un ritmo sostenido promedio de 7.700 vulnerabilidadespor año durante los últimos cinco años. Vulnerabilidades de aplicaciones Web siguensiendo un “castigo”.
  5. 5. © 2013 Bankia & IBM Corporation52011: “The year of the targeted attack”Source: IBM X-Force®Research 2011 Trend and Risk ReportMarketingServicesOnlineGamingOnlineGamingOnlineGamingOnlineGamingCentralGovernmentGamingGamingInternetServicesOnlineGamingOnlineGamingOnlineServicesOnlineGamingITSecurityBankingITSecurityGovernmentConsultingITSecurityTele-communicationsEnter-tainmentConsumerElectronicsAgricultureApparelInsuranceConsultingConsumerElectronicsInternetServicesCentralGovtCentralGovtCentralGovtAttack TypeSQL InjectionURL TamperingSpear Phishing3rdParty SoftwareDDoSSecureIDTrojan SoftwareUnknownSize of circle estimates relative impact ofbreach in terms of cost to businessJan Feb Mar Apr May Jun Jul Aug Sep Oct Nov DecEntertainmentDefenseDefenseDefenseConsumerElectronicsCentralGovernmentCentralGovernmentCentralGovernmentCentralGovernmentCentralGovernmentCentralGovernmentCentralGovernmentConsumerElectronicsNationalPoliceNationalPoliceStatePoliceStatePolicePoliceGamingFinancialMarketOnlineServicesConsultingDefenseHeavyIndustryEntertainmentBanking2011 Sampling of Security Incidents by Attack Type, Time and ImpactConjecture of relative breach impact is based on publicly disclosed information regarding leaked records and financial losses
  6. 6. © 2013 Bankia & IBM Corporation62012: The explosion of breaches continues!Source: IBM X-Force®Research 2012 Trend and Risk Report2012 Sampling of Security Incidents by Attack Type, Time and ImpactConjecture of relative breach impact is based on publicly disclosed information regarding leaked records and financial losses
  7. 7. © 2013 Bankia & IBM Corporation7Vulnerabilidades y ExplotaciónEn 2012, vimos 8.168 vulnerabilidades divulgadas públicamente. Aunque no es la cantidadrécord que esperábamos ver después de revisar nuestros datos a mitad de año, todavíarepresenta un aumento de más del 14% en 2011.
  8. 8. © 2013 Bankia & IBM Corporation8Vulnerabilidades y ExplotaciónLas vulnerabilidades de las aplicaciones Web aumentaron un 14% a partir de 2.921vulnerabilidades en 2011 a 3.551 vulnerabilidades en 2012. Cross-site scriptingvulnerabilidades representaron más de la mitad de las vulnerabilidades de las aplicacionesWeb totales durante 2012.
  9. 9. © 2013 Bankia & IBM Corporation9Vulnerabilidades y ExplotaciónCross-site scripting fue el mayor tipo de vulnerabilidad web. El cincuenta y tres por ciento detodos las vulnerabilidades Web eran tipos de cross-site scripting. Esta es la tasa más altaque hemos visto nunca. Este espectacular aumento se produjo mientras vulnerabilidades deSQL Injection mantuvieron una tasa superior a la de 2011, pero seguían siendo reducidosignificativamente desde 2010.
  10. 10. © 2013 Bankia & IBM Corporation10…y ahora qué?
  11. 11. © 2013 Bankia & IBM Corporation11Aprende a pensar como un hacker
  12. 12. © 2013 Bankia & IBM Corporation12PCVDS: Proceso de Ciclo de Vida de Desarrollo Seguro ¿Por qué?– Una parte importante de los incidentes de seguridad producidos en lascompañías son debidas a la explotación malintencionada de defectos deseguridad en los aplicativos. ¿Para qué?– Evitar, detectar o mitigar incidentes de seguridad.– Reducir coste corrección vulnerabilidades– Confianza.
  13. 13. © 2013 Bankia & IBM Corporation13Estados de MadurezNivel madurezRentabilidadTestIntrusiónCajaBlancaPase aProducciónDiseñoSeguroMejoraContinua
  14. 14. © 2013 Bankia & IBM Corporation14Sistema de GestiónDesarrolloInfraestructuraDiseño Construcción Pruebas ProducciónSupervisiónSeguimientoDocumentaciónRevisiónFases Desarrollo Seguro
  15. 15. © 2013 Bankia & IBM Corporation15Entregables Documento de Seguridad• Definición de la aplicación o sistema• Tipos de usuarios• Arquitectura de seguridad elegida• Tipo de información que maneja• Tipo de conexión– Informes RTS• Incumplimientos de la guía técnica• Recomendaciones de corrección• Concienciación.– Seguimiento• De recomendaciones• Reuniones periódicas Desarrollo y Producción.• Cuadro de Mando Dirección (métricas)• SLA– Documentación de procesos• Wiki
  16. 16. © 2013 Bankia & IBM Corporation16…la tecnología tambiénayuda
  17. 17. © 2013 Bankia & IBM Corporation17Seguridad en Aplicaciones
  18. 18. © 2013 Bankia & IBM Corporation18Integración de herramientas de SeguridadAppScan Standard(DAST desktop client)AppScan Source(SAST desktop client)AppScan Enterprise Dynamic AnalysisScanners (server-based DAST)AppScanEnterpriseServerAppScan EnterpriseWeb client• Identified Risk• Application VulnerabilityGestión de Vulnerabilidades : Compartir:– QRadar (SIEM) importa datos devulnerabilidades en aplicaciones deforma nativa a través de laherramienta Appscan.– QRadar muestra el detalle de lasvulnerabilidades a través de su AssetProfile Correlar y Alertar:– Correla eventos de red convulnerabilidades de aplicación,ayudando a determinar la prioridaddel incidente y/o el posible impactodel ataque.– Iniciar el escaneo desde QRadar– Envía alertar a los administradoresdel AppScan.
  19. 19. © 2013 Bankia & IBM Corporation19
  20. 20. © 2013 Bankia & IBM Corporation20Conclusiones
  21. 21. © 2013 Bankia & IBM Corporation21Conclusiones PCVDS “reproducible”. Guías técnicas concisas y en positivo. Por qué hacemos lo que hacemos y lo que no hacemos.¡El desarrollador ya no es nuestro adversario!
  22. 22. © 2013 Bankia & IBM Corporation22ibm.com/security© Copyright IBM Corporation 2012. All rights reserved. The information contained in these materials is provided for informational purposesonly, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the useof, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating anywarranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreementgoverning the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available inall countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s solediscretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in anyway. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the UnitedStates, other countries or both. Other company, product, or service names may be trademarks or service marks of others.Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and responseto improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed or misappropriatedor can result in damage to or misuse of your systems, including to attack others. No IT system or product should be considered completely secureand no single product or security measure can be completely effective in preventing improper access. IBM systems and products are designed tobe part of a comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems,products or services to be most effective. IBM DOES NOT WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THEMALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.

×