Where is the Payoff? Métricas para Segurança de Aplicações no Mundo Real

Eduardo V. C. Neves, CISSP

eduardo@camargoneves.com

75% dos web sites contendo códigos maliciosos são legítimos e foram

comprometidos

State of Internet Security, Websense, 2008

Oito em cada dez aplicações testadas falharam em atender as

recomendações do OWASP Top 10

State of Software Security, Veracode, 2011

Conhecemos os problemas e as causas, por que ainda temos softwares tão vulneráveis?

As pessoas são o elo mais fraco na corrente da Segurança da Informação

Quais pessoas?

Vulnerabilidades em Software

Pesquisas realizadas por empresas do mercado dão uma ideia das causas principais deste cenário

• 66% do software comercial tem um nível inaceitável de segurança

• 70% das empresas não investem o suficiente para proteger o software que utilizam

• 34% das vulnerabilidades classificadas como de alto impacto não são corrigidas

Fontes: Ponemon Institute e Veracode

Como a sua Organização lida com isso?

Historicamente as Organizações tratam a proteção do software como um ponto secundário em suas estratégias

• 33% dos ataques ocorridos em 2010 exploraram ocorrências de Cross Site Scripting e SQL Injection

• 50% dos responsáveis foram reprovados em provas de conhecimentos básicos sobre proteção em software

• 66% dos softwares comerciais foram reprovados em testes de segurança primários

Fonte: Veracode

Pessoas ou posturas?

Você reconhece alguma dessas características?

As pesquisas publicadas confirmam o que vemos no dia-a-dia de boa parte das Organizações

• Desconhecimento do problema

• Falta de priorização nos pontos que importam

• Investimentos com critérios inadequados

• Busca de resultados imediatos

Como as métricas podem ajudar a mudar este cenário?

O Papel de um Programa de Métricas

Desenvolve, implementa e avalia indicadores que medem o desempenho e evolução de processos em direção a uma meta estabelecida

• Estabelecem critérios para a avaliação de vulnerabilidades

• Colocam o nível de risco em parâmetros comuns

• Permitem entender onde e como os investimentos devem ser realizados

CIS Security Metrics

Mantido pelo The Center for Internet Security (CIS), define métricas que podem ser aplicadas em diversos pontos da estratégia de segurança

• 28 métricas aplicadas a 7 diferentes funções de negócios

• Alinha questões técnicas com as respostas esperadas pelas áreas de negócios

• Permite combinar métricas em pontos específicos para gerar resultados em uma área de interesse

CIS Security Metrics

Proposta de Aplicação

As métricas propostas pelo CIS podem ser utilizadas para compor um programa aplicável a Organizações de qualquer tamanho e mercado

• Combinação de procedimentos específicos

• Incremento da cobertura de acordo com o nível de maturidade

• Participação das áreas de negócios em todo o processo

Primeira Abordagem

Segurança de Aplicações

Quantidade de Aplicações

% de Aplicações Críticas

Cobertura dos Testes

Qtd de Vulnerabilidades

Financeiro

Correção por Vulnerabilidade

Correção por Aplicação

Custo por Teste Realizado

Custo por Incidente

Decisão de Investimento

Segunda Abordagem

A evolução do Programa permite que novas métricas sejam utilizadas para compor um dashboard de análise

• Gerenciamento de Incidentes

• Gerenciamento de Vulnerabilidades

• Administração de Patches

• Gerenciamento de Configurações

• Change Management

Como errar menos

Métricas podem ser facas de dois gumes

Um programa de métricas pode ser o melhor amigo da Área de Segurança da Informação, porém:

• Use valores precisos sem cair na subjetividade

• Defina um plano de ação e atenha-se ao que foi planejado

• Garanta o estabelecimento de um processo de incremento contínuo

• K.I.S.S.

Nunca se esqueça

Love me for the money, come on, listen to the money talk

Permanecer no contexto do negócio, torna a segurança relevante

Referências

Todos os documentos utilizados no estudo que gerou esta apresentação estão disponíveis para download na Internet

• State of Software Security Report: The Intractable Problem of Insecure Software, Veracode

• State of Internet Security, Websense Security Labs

• A Metrics Framework to Drive Application Security Improvement, Elizabeth A. Nichols e Gunnar Peterson

• Magic Numbers: An In-Depth Guide to the 5 Key Performance Indicators for Web Application Security, Rafal Los

Uso de Imagens

Todos os documentos utilizados no estudo que gerou esta apresentação estão disponíveis para download

• Slide 1: http://www.flickr.com/photos/aztlek

• Slide 4: http://www.flickr.com/photos/aztlek

• Slide 6: http://www.flickr.com/photos/dplanet

• Slide 11: http://www.flickr.com/photos/hyku

• Slide 21: http://www.flickr.com/photos/jakecaptive

Obrigado

Eduardo V. C. Neves

eduardo@camargoneves.com

@evcneves