¿Métodos para determinar si un error de software es un riesgo de seguridad?

3

Realmente no quiero entrar en los detalles.

Encontré un error de un gran proveedor de software. Como cualquier otro usuario responsable, he reportado el error al proveedor de software.

Es difícil decir si este error se consideraría un riesgo de seguridad o no, ya que no directamente compromete la seguridad. Sin embargo, ciertamente podría ver esto como un vector para "profundizar más".

Independientemente de mis hallazgos o interpretaciones del error, me puse a pensar: ¿cómo se determina sistemáticamente si un error de software debe etiquetarse como una "falla de seguridad"?

    
pregunta Gavin Youker 11.01.2017 - 08:07
fuente

2 respuestas

2

El enfoque metódico para esto es pasar por un marco de seguridad de software estándar como OWASP Software Assurity Maturity Model (Proyecto OWASP SAMM ) o BSSIM o cualquier otro modelo estándar de madurez de seguridad de software. Debe identificar correctamente las cosas tales como agentes de amenazas, vectores de ataque, debilidad de seguridad, controles de seguridad, impactos técnicos e impactos comerciales de su error identificado en términos de seguridad.

Luego, debe modelarlo utilizando un marco del modelo de amenaza y clasificar el error identificado. Existen numerosos modelos de amenazas como CVSS , < a href="https://www.google.com.au/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8& sqi = 2 & ved = 0ahUKEwjFk6KDzrnRAhVCNJQKHS0aDd0QFggjMAA & url = https% 3A% 2F% 2Fen.wikipedia.org% 2Fwiki% 2FDREAD_ (risk_assessment_model) & USG = AFQjCNFTC1JJW49SnZMkdi7YvXJ-B5AYCA & BVM = bv.143423383, d.dGo "> DREAD , STRIDE . Finalmente, debe identificar el ROI del esfuerzo que debe realizar para resolver este problema. La empresa usaría los valores devueltos por el análisis de su modelo y le daría una oportunidad o no para solucionar el problema.

    
respondido por el user3496510 11.01.2017 - 08:58
fuente
0

Me arriesgaría, si esta pregunta no pudiera ser respondida. El tema es demasiado amplio y no especificado.

En primer lugar, una "falla de seguridad" es específica del dominio y la aplicación. Una "falla de seguridad" en una aplicación puede ser considerada como una "característica" en otra en un dominio totalmente no relacionado (por ejemplo, el apagado no autenticado de un sistema está mal en línea en la bolsa de valores, es bueno en una plataforma petrolera si la bomba está fuera de control ).

Entonces realmente no sabemos cómo clasificar errores en el lugar :)

Una buena solución podría ser una evaluación de riesgos basada en evaluaciones de riesgos que a su vez se basa en su especificación. Para esto, necesitarías especialistas ("los tipos de ciberseguridad") involucrados en el proyecto en sí. Sería aconsejable involucrarlos desde la etapa de oferta / planificación temprana, para que puedan identificar los posibles escollos todo el camino a medida que avanza el desarrollo. Lamentablemente, en la actualidad, la seguridad siempre se agrega durante los últimos / últimos pasos y casi siempre implica una sobrecarga innecesaria debido a esto.

Lo malo de la seguridad es que la buena seguridad es invisible, por lo que es difícil de comercializar / vender; por otra parte, la seguridad perdida es probablemente muy devastadora.

Y concluyo con una anécdota de fuentes no reveladas (supuestamente se origina en Amazon): el jefe del departamento de seguridad de TI dice en la reunión de evaluación anual: "No tuvimos ningún incidente el año pasado, por lo que nos gustaría duplicar nuestro presupuesto para el próximo año ".

    
respondido por el D. Kovács 11.01.2017 - 08:17
fuente

Lea otras preguntas en las etiquetas