ficha de registo de tema e orientador de dissertação ... · dcti / iscte – ficha de registo de...

DCTI / ISCTE – Ficha de Registo de Tema e Orientador de Dissertação / Trabalho de Projecto 1

Departamento de Ciências e Tecnologias da Informação

Ficha de Registo de Tema e Orientador de Dissertação / Trabalho de Projecto

Mestrado: METI/MEI

Ano Lectivo: 2014/2015

Nome:

Título da Dissertação / Trabalho: Ambiente de Auditoria para Segurança de Aplicações Web

Área Científica:

Orientador: Carlos Serrão (ISCTE-IUL)

Co-Orientador: Carla Zibreira (MainRoad)

Data Limite Entrega:


A Objectivos Devem indicar-se claramente os objectivos da proposta e o seu enquadramento. Isto é, é necessário indicar que problema se vai resolver e se esse problema se integra ou não num âmbito mais alargado.

A OWASP tem tido como objetivo, em particular através do seu projeto OWASP Top 10, a sensibilização sobre segurança em aplicações através da identificação de alguns dos riscos mais críticos enfrentados pelas organizações. O projeto Top 10 é referenciado por muitas normas, livros, ferramentas e organizações, incluindo MITRE, PCI DSS, DISA, FTC, WASC, entre outras. Representando assim um consenso geral relativamente às vulnerabilidades mais críticas no que diz respeito a aplicações web. Esta tese deve adoptar o OWASP Top 10 como modelo de referência, investigando diferentes ferramentas abertas (open-source) de identificação automática de vulnerabilidades (W3AF, WebScarab, Skipfish, OWASP ZAP, entre outras), combinando-as, para criar um ambiente de auditoria automatizado, personalizável, multi-utilizador e seguro. Este ambiente deve suportar a execução de testes de intrusão de forma regular a sistemas e aplicações web. Nesta plataforma deverá ser possível medir, gerir e sugerir correção de vulnerabilidades, segregadas por cliente, possibilitando uma redução efetiva dos níveis de risco identificados. Entre outras possíveis funcionalidades, a solução deverá permitir gerir grupos de utilizadores com diferentes papéis relativos ao tratamento de vulnerabilidades. Bem como gerir alterações, assets e relatórios. Este ambiente de auditoria deve ser gerido através de uma plataforma Web (desenvolvida em PHP ou Python), suportando múltiplas vistas por cliente. Bem como possuir uma ferramenta interna de gestão de casos onde os clientes possam seguir o processo de mitigação dessas vulnerabilidades e obter métricas de segurança.


B Motivação É necessário indicar, com toda a clareza, a razão pela qual se vai abordar o objectivo/problema indicado. É fundamental explicar o que se ganha e quem ganha com a resolução desse problema. É perfeitamente aceitável que os ganhos não sejam directos ou imediatos, mas tem de haver ganhos, nem que sejam potenciais.

As tecnologias da informação são algo sem o qual negócio hoje em dia não sobrevive. Estas tecnologias habilitam as empresas a comunicar de forma simples e dinâmica. Contudo, o facto de estarmos mais acessíveis e interligados traduz-se em novos riscos de segurança que devem ser identificados e devidamente mitigados. Estes riscos expõem as organizações a perdas de informação, receita e danos de imagem, entre outros. Por outro lado, o paradigma de desenvolvimento aplicacional passou a adoptar um modelo web server centric, em que grande parte da aplicação reside no servidor web e/ou aplicacional. Estas aplicações, assim como as organizações que as exploram passaram a estar sujeitas a um novo tipo de riscos muito especifico e difícil de mitigar. Por outro lado, a segurança deste novo modelo aplicacional, à semelhança de outros não depende estritamente da segurança da rede no qual o mesmo reside, mas também do próprio código-fonte da própria aplicação. Assim, estas aplicações passaram a fazer parte do perímetro de segurança organizacional, que importa proteger. Assim, as organizações devem assegurar que a sua informação se encontra devidamente protegida em termos de integridade e confidencialidade garantindo ao mesmo tempo a disponibilidade da mesma. Uma forma de garantir a segurança da informação passa pela realização de testes de intrusão de forma periódica. Como tal, pretende-se desenvolver uma plataforma web onde as organizações possam gerir os seus assets e respectivas vulnerabilidades, bem como obter métricas de risco associadas.


C Contribuição A investigação deve contribuir para avançar o estado actual dos conhecimentos ou da prática sobre o seu assunto de estudo. Deve indicar-se, ainda que de forma muito sucinta, as contribuições que se propõe dar para avançar o domínio de análise em causa. Este ponto poderá ser agrupado com o ponto da Motivação. D Avaliação dos resultados obtidos O sucesso da dissertação depende em certa medida da possibilidade de se avaliar os resultados. Deve indicar-se, ainda que muito sucintamente, como se vão avaliar os resultados produzidos.

Esta plataforma permitirá fornecer um serviço de auditorias de segurança de forma continuada, e cíclica, apoiando os múltiplos clientes na resolução das vulnerabilidades identificadas. Permitindo de igual forma apresentar métricas relativamente ao grau de risco no que diz respeito às vulnerabilidades ativas, bem como extrair relatórios dos testes efectuados e respectivos resultados para efeitos de compliance. A plataforma deve ainda ser integrável com o processo de Change Management da organização de forma a testar se as alterações efectuadas com vista à mitigação das vulnerabilidades anteriormente identificadas introduziram novas vulnerabilidades. A solução no seu todo permitirá reduzir o risco de forma visível e a exposição da organização a vulnerabilidades de segurança. Esta solução deverá ainda permitir que as organizações beneficiem de uma redução de custos no que concerne a investimento em testes de intrusão dada a redução do esforço humano no acompanhamento do processo de detecção e mitigação de vulnerabilidades. Ou seja, integrar os testes de intrusão no processo de gestão de segurança interno a níveis não comparáveis com o passado.

Para avaliar os resultados obtidos no projeto serão desenvolvidas as seguintes ações: • Análise de ferramentas automáticas de testes de intrusão específicas para

aplicações Web, e perceber o funcionamento das mesmas, assim como dos relatórios que as mesmas geram;

• Desenvolvimento de plataforma web de integração de ferramentas de teste, com preocupação aos seguintes critérios:

o Usabilidade da plataforma no contexto de testes de intrusão. o Precisão dos testes. o Interface user friendly. o Performance. o Facilidade de integração de novas ferramentas. o Customização.

• Validação da ferramenta em testes de utilização real; • Produção de comunicações científicas com os resultados do trabalho realizado.


E Tarefas e calendarização Devem identificar-se e descrever as principais tarefas do trabalho, com a indicação da sua calendarização e resultados. A unidade de tempo a utilizar será a semana.

Segue-se a descrição das tarefas a realizar e a sua duração:

1) Análise do estado da arte (3 semanas) a) Durante esta fase serão analisadas as principais ferramentas de testes de

intrusão para aplicações web assim como as suas principais funcionalidades

2) Pesquisa bibliográfica (2 semanas)

a) Nesta fase será pesquisada bibliografia relevante.

3) Analisar requisitos/funcionalidades da ferramenta (4 semanas) a) Tendo em conta os requisitos e os objectivos da metodologia e da

ferramenta, esta etapa servirá para delinear as principais características da mesmas.

4) Implementação da ferramenta para testes de intrusão (12 semanas)

5) Testar a ferramenta desenvolvida (4 semanas)

6) Validar a implementação do sistema num caso de testes de penetração (8

semanas)

7) Escrita da Dissertação (12 semanas) a) Realizar a parte escrita da tese e a revisão da mesma

8) Produzir 2 comunicações científicas sobre o trabalho realizado (4 semanas)

a) Desenvolver um conjunto de artigos de divulgação científica dos principais resultados do trabalho


F Bibliografia Devem identificar-se algumas referências bibliográficas actuais e relevantes sobre o domínio do trabalho proposto. O(a) Orientador(a) O(a) Mestrando(a) __________________________________ _________________________________ O(a) Co-Orientador(a) _____________________________________ Data: _____________________

• https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • http://cwe.mitre.org/documents/vuln-trends/index.html • http://projects.webappsec.org/w/page/13246975/Threat%20Classification%20Tax

onomy%20Cross%20Reference%20View • http://projects.webappsec.org/w/page/13246986/Web%20Application%20Security

%20Scanner%20Evaluation%20Criteria • http://projects.webappsec.org/w/page/13246995/Web-Hacking-Incident-Database • https://cwe.mitre.org/top25/ • OWASP, T. (2010). Top 10–2010–The Ten Most Critical Web Application

Security Risks. The Open Web Application Security Project. • Doupé, A., Cova, M., & Vigna, G. (2010). Why Johnny can’t pentest: An analysis

of black-box web vulnerability scanners. In Detection of Intrusions and Malware, and Vulnerability Assessment (pp. 111-131). Springer Berlin Heidelberg.

• Huang, Y. W., Huang, S. K., Lin, T. P., & Tsai, C. H. (2003, May). Web application security assessment by fault injection and behavior monitoring. In Proceedings of the 12th international conference on World Wide Web (pp. 148-159). ACM.

• Huang, Y. W., Yu, F., Hang, C., Tsai, C. H., Lee, D. T., & Kuo, S. Y. (2004, May). Securing web application code by static analysis and runtime protection. In Proceedings of the 13th international conference on World Wide Web (pp. 40-52). ACM.

• Curphey, M., & Arawo, R. (2006). Web application security assessment tools. Security & Privacy, IEEE, 4(4), 32-41.

• Stuttard, D., & Pinto, M. (2008). The web application hacker's handbook: discovering and exploiting security flaws. John Wiley & Sons.

ficha de registo de tema e orientador de dissertação ... · dcti / iscte – ficha de registo de...

Documents