Ficha de Registo de Tema e Orientador de Dissertação ... ?· DCTI / ISCTE – Ficha de Registo de…

Download Ficha de Registo de Tema e Orientador de Dissertação ... ?· DCTI / ISCTE – Ficha de Registo de…

Post on 10-Dec-2018

212 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

DCTI / ISCTE Ficha de Registo de Tema e Orientador de Dissertao / Trabalho de Projecto 1

Departamento de Cincias e Tecnologias da Informao

Ficha de Registo de Tema e Orientador de Dissertao / Trabalho de Projecto

Mestrado: METI/MEI

Ano Lectivo: 2014/2015

Nome:

Ttulo da Dissertao / Trabalho: Ambiente de Auditoria para Segurana de Aplicaes Web

rea Cientfica:

Orientador: Carlos Serro (ISCTE-IUL)

Co-Orientador: Carla Zibreira (MainRoad)

Data Limite Entrega:

DCTI / ISCTE Ficha de Registo de Tema e Orientador de Dissertao / Trabalho de Projecto 2

A Objectivos Devem indicar-se claramente os objectivos da proposta e o seu enquadramento. Isto , necessrio indicar que problema se vai resolver e se esse problema se integra ou no num mbito mais alargado.

A OWASP tem tido como objetivo, em particular atravs do seu projeto OWASP Top 10, a sensibilizao sobre segurana em aplicaes atravs da identificao de alguns dos riscos mais crticos enfrentados pelas organizaes. O projeto Top 10 referenciado por muitas normas, livros, ferramentas e organizaes, incluindo MITRE, PCI DSS, DISA, FTC, WASC, entre outras. Representando assim um consenso geral relativamente s vulnerabilidades mais crticas no que diz respeito a aplicaes web. Esta tese deve adoptar o OWASP Top 10 como modelo de referncia, investigando diferentes ferramentas abertas (open-source) de identificao automtica de vulnerabilidades (W3AF, WebScarab, Skipfish, OWASP ZAP, entre outras), combinando-as, para criar um ambiente de auditoria automatizado, personalizvel, multi-utilizador e seguro. Este ambiente deve suportar a execuo de testes de intruso de forma regular a sistemas e aplicaes web. Nesta plataforma dever ser possvel medir, gerir e sugerir correo de vulnerabilidades, segregadas por cliente, possibilitando uma reduo efetiva dos nveis de risco identificados. Entre outras possveis funcionalidades, a soluo dever permitir gerir grupos de utilizadores com diferentes papis relativos ao tratamento de vulnerabilidades. Bem como gerir alteraes, assets e relatrios. Este ambiente de auditoria deve ser gerido atravs de uma plataforma Web (desenvolvida em PHP ou Python), suportando mltiplas vistas por cliente. Bem como possuir uma ferramenta interna de gesto de casos onde os clientes possam seguir o processo de mitigao dessas vulnerabilidades e obter mtricas de segurana.

DCTI / ISCTE Ficha de Registo de Tema e Orientador de Dissertao / Trabalho de Projecto 3

B Motivao necessrio indicar, com toda a clareza, a razo pela qual se vai abordar o objectivo/problema indicado. fundamental explicar o que se ganha e quem ganha com a resoluo desse problema. perfeitamente aceitvel que os ganhos no sejam directos ou imediatos, mas tem de haver ganhos, nem que sejam potenciais.

As tecnologias da informao so algo sem o qual negcio hoje em dia no sobrevive. Estas tecnologias habilitam as empresas a comunicar de forma simples e dinmica. Contudo, o facto de estarmos mais acessveis e interligados traduz-se em novos riscos de segurana que devem ser identificados e devidamente mitigados. Estes riscos expem as organizaes a perdas de informao, receita e danos de imagem, entre outros. Por outro lado, o paradigma de desenvolvimento aplicacional passou a adoptar um modelo web server centric, em que grande parte da aplicao reside no servidor web e/ou aplicacional. Estas aplicaes, assim como as organizaes que as exploram passaram a estar sujeitas a um novo tipo de riscos muito especifico e difcil de mitigar. Por outro lado, a segurana deste novo modelo aplicacional, semelhana de outros no depende estritamente da segurana da rede no qual o mesmo reside, mas tambm do prprio cdigo-fonte da prpria aplicao. Assim, estas aplicaes passaram a fazer parte do permetro de segurana organizacional, que importa proteger. Assim, as organizaes devem assegurar que a sua informao se encontra devidamente protegida em termos de integridade e confidencialidade garantindo ao mesmo tempo a disponibilidade da mesma. Uma forma de garantir a segurana da informao passa pela realizao de testes de intruso de forma peridica. Como tal, pretende-se desenvolver uma plataforma web onde as organizaes possam gerir os seus assets e respectivas vulnerabilidades, bem como obter mtricas de risco associadas.

DCTI / ISCTE Ficha de Registo de Tema e Orientador de Dissertao / Trabalho de Projecto 4

C Contribuio A investigao deve contribuir para avanar o estado actual dos conhecimentos ou da prtica sobre o seu assunto de estudo. Deve indicar-se, ainda que de forma muito sucinta, as contribuies que se prope dar para avanar o domnio de anlise em causa. Este ponto poder ser agrupado com o ponto da Motivao. D Avaliao dos resultados obtidos O sucesso da dissertao depende em certa medida da possibilidade de se avaliar os resultados. Deve indicar-se, ainda que muito sucintamente, como se vo avaliar os resultados produzidos.

Esta plataforma permitir fornecer um servio de auditorias de segurana de forma continuada, e cclica, apoiando os mltiplos clientes na resoluo das vulnerabilidades identificadas. Permitindo de igual forma apresentar mtricas relativamente ao grau de risco no que diz respeito s vulnerabilidades ativas, bem como extrair relatrios dos testes efectuados e respectivos resultados para efeitos de compliance. A plataforma deve ainda ser integrvel com o processo de Change Management da organizao de forma a testar se as alteraes efectuadas com vista mitigao das vulnerabilidades anteriormente identificadas introduziram novas vulnerabilidades. A soluo no seu todo permitir reduzir o risco de forma visvel e a exposio da organizao a vulnerabilidades de segurana. Esta soluo dever ainda permitir que as organizaes beneficiem de uma reduo de custos no que concerne a investimento em testes de intruso dada a reduo do esforo humano no acompanhamento do processo de deteco e mitigao de vulnerabilidades. Ou seja, integrar os testes de intruso no processo de gesto de segurana interno a nveis no comparveis com o passado.

Para avaliar os resultados obtidos no projeto sero desenvolvidas as seguintes aes: Anlise de ferramentas automticas de testes de intruso especficas para

aplicaes Web, e perceber o funcionamento das mesmas, assim como dos relatrios que as mesmas geram;

Desenvolvimento de plataforma web de integrao de ferramentas de teste, com preocupao aos seguintes critrios:

o Usabilidade da plataforma no contexto de testes de intruso. o Preciso dos testes. o Interface user friendly. o Performance. o Facilidade de integrao de novas ferramentas. o Customizao.

Validao da ferramenta em testes de utilizao real; Produo de comunicaes cientficas com os resultados do trabalho realizado.

DCTI / ISCTE Ficha de Registo de Tema e Orientador de Dissertao / Trabalho de Projecto 5

E Tarefas e calendarizao Devem identificar-se e descrever as principais tarefas do trabalho, com a indicao da sua calendarizao e resultados. A unidade de tempo a utilizar ser a semana.

Segue-se a descrio das tarefas a realizar e a sua durao:

1) Anlise do estado da arte (3 semanas) a) Durante esta fase sero analisadas as principais ferramentas de testes de

intruso para aplicaes web assim como as suas principais funcionalidades

2) Pesquisa bibliogrfica (2 semanas)

a) Nesta fase ser pesquisada bibliografia relevante.

3) Analisar requisitos/funcionalidades da ferramenta (4 semanas) a) Tendo em conta os requisitos e os objectivos da metodologia e da

ferramenta, esta etapa servir para delinear as principais caractersticas da mesmas.

4) Implementao da ferramenta para testes de intruso (12 semanas)

5) Testar a ferramenta desenvolvida (4 semanas)

6) Validar a implementao do sistema num caso de testes de penetrao (8

semanas)

7) Escrita da Dissertao (12 semanas) a) Realizar a parte escrita da tese e a reviso da mesma

8) Produzir 2 comunicaes cientficas sobre o trabalho realizado (4 semanas)

a) Desenvolver um conjunto de artigos de divulgao cientfica dos principais resultados do trabalho

DCTI / ISCTE Ficha de Registo de Tema e Orientador de Dissertao / Trabalho de Projecto 6

F Bibliografia Devem identificar-se algumas referncias bibliogrficas actuais e relevantes sobre o domnio do trabalho proposto. O(a) Orientador(a) O(a) Mestrando(a) __________________________________ _________________________________ O(a) Co-Orientador(a) _____________________________________ Data: _____________________

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project http://cwe.mitre.org/documents/vuln-trends/index.html http://projects.webappsec.org/w/page/13246975/Threat%20Classification%20Tax

onomy%20Cross%20Reference%20View http://projects.webappsec.org/w/page/13246986/Web%20Application%20Security

%20Scanner%20Evaluation%20Criteria http://projects.webappsec.org/w/page/13246995/Web-Hacking-Incident-Database https://cwe.mitre.org/top25/ OWASP, T. (2010). Top 102010The Ten Most Critical Web Application

Security Risks. The Open Web Application Security Project. Doup, A., Cova, M., & Vigna, G. (2010). Why Johnny cant pentest: An analysis

of black-box web vulnerability scanners. In Detection of Intrusions and Malware, and Vulnerability Assessment (pp. 111-131). Springer Berlin Heidelberg.

Huang, Y. W., Huang, S. K., Lin, T. P., & Tsai, C. H. (2003, May). Web application security assessment by fault injection and behavior monitoring. In Proceedings of the 12th international conference on World Wide Web (pp. 148-159). ACM.

Huang, Y. W., Yu, F., Hang, C., Tsai, C. H., Lee, D. T., & Kuo, S. Y. (2004, May). Securing web application code by static analysis and runtime protection. In Proceedings of the 13th international conference on World Wide Web (pp. 40-52). ACM.

Curphey, M., & Arawo, R. (2006). Web application security assessment tools. Security & Privacy, IEEE, 4(4), 32-41.

Stuttard, D., & Pinto, M. (2008). The web application hacker's handbook: discovering and exploiting security flaws. John Wiley & Sons.