SlideShare uma empresa Scribd logo

UMLsec

Marcus Botacin
Marcus Botacin

O documento discute a análise de requisitos de segurança em aplicações web usando UMLsec. Apresenta os problemas das abordagens anteriores, propõe o uso do UMLsec para identificar vulnerabilidades e riscos nos estágios iniciais do desenvolvimento e fornece exemplos de modelos UMLsec para um sistema de comércio exterior e hardware protegido.

Imóveis
1 de 42
Baixar para ler offline
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Security Requirement Analysis of Web Application using UML MC426 - Engenharia de Software Marcus Felipe Botacin1 Bruno Gustavo Salomão Agostini1 1Instituto de Computação - UNICAMP November 7, 2012 Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Roteiro 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões A Necessidade de Segurança Alguns Dados Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões A Necessidade de Segurança Alguns Dados A Necessidade de Segurança Internet cada vez mais importante Mais transações são realizadas Maior Risco de Interceptação Falta de legislação específica Especificação funcional tem limitações Segurança nem sempre é pensada ao longo do processo de desenvolvimento Tornar uma aplicação Web segura é difícil e gera instabilidades Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões A Necessidade de Segurança Alguns Dados Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões A Necessidade de Segurança Alguns Dados Estatísticas de 2011 do NIC.br 127 mil incidentes apenas no Brasil Crescimento médio de 40% ao ano Crescimento real de 280% nos últimos anos. Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas 2 Abordagens "Penetrate And Patch" "Training" Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Penetrate And Patch Inseguro Disruptivo Quando Termina ? Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Training Processo Lento Caro Nem sempre aplicado Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Causas das falhas Projetar sistemas seguros corretamente é complicado Projetistas de software não tem conhecimento adequado de segurança Segurança é tratada nas fases finais do processo Segurança pode ser "circunventing" Falta de feedback do cliente Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Crítica ao Modelo Atual Proposta de novos objetivos Apresenta uma nova visão O Padrão UMLsec Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Availability Confindentialy Integrity Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Proposta de uma abordagem atual Identificar as Vulnerabilidades Determinar os Riscos Integração de segurança nos estágios iniciais do desenvolvimento Política de segurança reativa não é a melhor opção Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Perguntas a se fazer "What Are the treats ?" "What Are the risks ?" "What to protect?" "What tests ?" Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos O que é ? Extensão Do UML Criada em 2002 Por Jan Jurgens Munich University Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Como Funciona Baseado em Estereótipos Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Estereótipos Figure: Tabela de estereótipos Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Labels Figure: Tabela de labels Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEX (1) Figure: Modelo de contexto seguro Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEXv(2) Figure: Modelo de casos seguros Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEX (3) Figure: Modelo de cenários críticos Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEX (4) Figure: Diagrama de classes com segurança Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEX (5) Figure: Diagrama de classes de um sistema seguro Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Em Hardware Figure: Modelo de configuração de hardware protegido Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Figure: Violação de «secure links» Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Figure: Violação de «secure dependency» Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Conclusões Segurança deve ser desenvolvida ao longo do processo UML pode ser estendida Modelos precisam ser validados Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Um Resumo Domínio do problema: Desenvolvimento de Aplicações Seguras Por que modelar: Segurança é essencial nas aplicações Por que UML : Linguagem de modelagem padrão, muito flexível Objetivo do trabalho: Apresentar uma extensão da UML para segurança Estudo de caso: Apresentação do UMLsec Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Um Resumo Modelos utilizados: UML, com diagrama de sequencia,classes,usos,modelos de casos de uso seguro Avaliação da solução: Boa Pontos Fortes: Ser extensão do UML; Não depender de implementação Pontos Fracos: Todos os casos críticos devem ser percebidos na modelagem Uma melhoria: Adicionar uma fase de teste com o usuário final,objetivando determinar os requisitos de segurança despercebidos Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Security Requirements Analisys of Web Applications using UML, Chehida Rahmouni UMLsec: Extending UML for Secure System Development, Jurgen UMLsec: Presenting the Profiles : Jurgens Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Obrigado! Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML

Recomendados

Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Conviso Application Security
 
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter CunhaColetanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter CunhaWalter Cunha
 
Final Paper_NMRSEG
Final Paper_NMRSEGFinal Paper_NMRSEG
Final Paper_NMRSEGEvandro Costa
 
Utilização de Modelos BIM para a Verificação Automática de Projetos - Plano d...
Utilização de Modelos BIM para a Verificação Automática de Projetos - Plano d...Utilização de Modelos BIM para a Verificação Automática de Projetos - Plano d...
Utilização de Modelos BIM para a Verificação Automática de Projetos - Plano d...João Poças Martins
 
Sistema de seuransa informatica
Sistema de seuransa informaticaSistema de seuransa informatica
Sistema de seuransa informaticaNOSI
 
Eng.ª do Software - 1. Introdução
Eng.ª do Software - 1. IntroduçãoEng.ª do Software - 1. Introdução
Eng.ª do Software - 1. IntroduçãoManuel Menezes de Sequeira
 
Uma metodologia para captura e teste de requisitos não funcionais de ambiente...
Uma metodologia para captura e teste de requisitos não funcionais de ambiente...Uma metodologia para captura e teste de requisitos não funcionais de ambiente...
Uma metodologia para captura e teste de requisitos não funcionais de ambiente...Gerson Lobato
 

Recomendados

Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Conviso Application Security
 
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter CunhaColetanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter CunhaWalter Cunha
 
Final Paper_NMRSEG
Final Paper_NMRSEGFinal Paper_NMRSEG
Final Paper_NMRSEGEvandro Costa
 
Utilização de Modelos BIM para a Verificação Automática de Projetos - Plano d...
Utilização de Modelos BIM para a Verificação Automática de Projetos - Plano d...Utilização de Modelos BIM para a Verificação Automática de Projetos - Plano d...
Utilização de Modelos BIM para a Verificação Automática de Projetos - Plano d...João Poças Martins
 
Sistema de seuransa informatica
Sistema de seuransa informaticaSistema de seuransa informatica
Sistema de seuransa informaticaNOSI
 
Eng.ª do Software - 1. Introdução
Eng.ª do Software - 1. IntroduçãoEng.ª do Software - 1. Introdução
Eng.ª do Software - 1. IntroduçãoManuel Menezes de Sequeira
 
Uma metodologia para captura e teste de requisitos não funcionais de ambiente...
Uma metodologia para captura e teste de requisitos não funcionais de ambiente...Uma metodologia para captura e teste de requisitos não funcionais de ambiente...
Uma metodologia para captura e teste de requisitos não funcionais de ambiente...Gerson Lobato
 
Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...
Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...
Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...Leinylson Fontinele
 
Objectory
ObjectoryObjectory
ObjectoryMauricio Volkweis Astiazara
 
Project Pre-Presentation
Project Pre-PresentationProject Pre-Presentation
Project Pre-PresentationNuno Canas
 
Gerenciando Testes Com Qualidade V2a
Gerenciando Testes Com Qualidade V2aGerenciando Testes Com Qualidade V2a
Gerenciando Testes Com Qualidade V2aLeonardo Molinari
 
Artc 1249307788 43
Artc 1249307788 43Artc 1249307788 43
Artc 1249307788 43Bruno Bsantos
 
Segurança e privacidade nas redes sociais
Segurança e privacidade nas redes sociaisSegurança e privacidade nas redes sociais
Segurança e privacidade nas redes sociaisPedro Pimenta
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - ApresentaçãoDécio Castaldi, MBA/FIAP
 
My cool new Slideshow!
My cool new Slideshow!My cool new Slideshow!
My cool new Slideshow!Emílio
 
Microsoft ALM = Produtividade
Microsoft ALM = ProdutividadeMicrosoft ALM = Produtividade
Microsoft ALM = ProdutividadeAdriano Bertucci
 
Segurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralSegurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralLuiz Amelotti
 
Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalFabio Hara
 
Agilidade Alternativa com Corrente Crítica
Agilidade Alternativa com Corrente CríticaAgilidade Alternativa com Corrente Crítica
Agilidade Alternativa com Corrente CríticaAdail Retamal
 
Engenharia social
Engenharia socialEngenharia social
Engenharia socialKurte Wagner
 
Introdução a engenharia de software aula 01
Introdução a engenharia de software aula 01Introdução a engenharia de software aula 01
Introdução a engenharia de software aula 01Franklin Matos Correia
 
TI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe
 
Eng.ª do Software - 4. Processos de software
Eng.ª do Software - 4. Processos de softwareEng.ª do Software - 4. Processos de software
Eng.ª do Software - 4. Processos de softwareManuel Menezes de Sequeira
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publicaOsanam Giordane da Costa Junior
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Marcus Botacin
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareMarcus Botacin
 
GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?Marcus Botacin
 

Mais conteúdo relacionado

Semelhante a UMLsec

Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...
Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...
Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...Leinylson Fontinele
 
Project Pre-Presentation
Project Pre-PresentationProject Pre-Presentation
Project Pre-PresentationNuno Canas
 
Gerenciando Testes Com Qualidade V2a
Gerenciando Testes Com Qualidade V2aGerenciando Testes Com Qualidade V2a
Gerenciando Testes Com Qualidade V2aLeonardo Molinari
 
Segurança e privacidade nas redes sociais
Segurança e privacidade nas redes sociaisSegurança e privacidade nas redes sociais
Segurança e privacidade nas redes sociaisPedro Pimenta
 
My cool new Slideshow!
My cool new Slideshow!My cool new Slideshow!
My cool new Slideshow!Emílio
 
Microsoft ALM = Produtividade
Microsoft ALM = ProdutividadeMicrosoft ALM = Produtividade
Microsoft ALM = ProdutividadeAdriano Bertucci
 
Segurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralSegurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralLuiz Amelotti
 
Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalFabio Hara
 
Agilidade Alternativa com Corrente Crítica
Agilidade Alternativa com Corrente CríticaAgilidade Alternativa com Corrente Crítica
Agilidade Alternativa com Corrente CríticaAdail Retamal
 
Introdução a engenharia de software aula 01
Introdução a engenharia de software aula 01Introdução a engenharia de software aula 01
Introdução a engenharia de software aula 01Franklin Matos Correia
 
TI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 

Semelhante a UMLsec (19)

Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...
Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...
Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...
 
Objectory
ObjectoryObjectory
Objectory
 
Project Pre-Presentation
Project Pre-PresentationProject Pre-Presentation
Project Pre-Presentation
 
Gerenciando Testes Com Qualidade V2a
Gerenciando Testes Com Qualidade V2aGerenciando Testes Com Qualidade V2a
Gerenciando Testes Com Qualidade V2a
 
Artc 1249307788 43
Artc 1249307788 43Artc 1249307788 43
Artc 1249307788 43
 
Segurança e privacidade nas redes sociais
Segurança e privacidade nas redes sociaisSegurança e privacidade nas redes sociais
Segurança e privacidade nas redes sociais
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
 
My cool new Slideshow!
My cool new Slideshow!My cool new Slideshow!
My cool new Slideshow!
 
Microsoft ALM = Produtividade
Microsoft ALM = ProdutividadeMicrosoft ALM = Produtividade
Microsoft ALM = Produtividade
 
Segurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralSegurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geral
 
Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-Final
 
Agilidade Alternativa com Corrente Crítica
Agilidade Alternativa com Corrente CríticaAgilidade Alternativa com Corrente Crítica
Agilidade Alternativa com Corrente Crítica
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Introdução a engenharia de software aula 01
Introdução a engenharia de software aula 01Introdução a engenharia de software aula 01
Introdução a engenharia de software aula 01
 
TI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação Industrial
 
Eng.ª do Software - 4. Processos de software
Eng.ª do Software - 4. Processos de softwareEng.ª do Software - 4. Processos de software
Eng.ª do Software - 4. Processos de software
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 

Mais de Marcus Botacin

Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Marcus Botacin
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareMarcus Botacin
 
GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?Marcus Botacin
 
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About AntivirusesMarcus Botacin
 
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change![Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!Marcus Botacin
 
Hardware-accelerated security monitoring
Hardware-accelerated security monitoringHardware-accelerated security monitoring
Hardware-accelerated security monitoringMarcus Botacin
 
How do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guideHow do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guideMarcus Botacin
 
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022Marcus Botacin
 
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários ExecutáveisExtraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários ExecutáveisMarcus Botacin
 
On the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel ApproachesOn the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel ApproachesMarcus Botacin
 
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...Marcus Botacin
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareMarcus Botacin
 
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...Marcus Botacin
 
Integridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomwareIntegridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomwareMarcus Botacin
 
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...Marcus Botacin
 
On the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software RepositoriesOn the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software RepositoriesMarcus Botacin
 
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...Marcus Botacin
 
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?Marcus Botacin
 
Towards Malware Decompilation and Reassembly
Towards Malware Decompilation and ReassemblyTowards Malware Decompilation and Reassembly
Towards Malware Decompilation and ReassemblyMarcus Botacin
 
Reverse Engineering Course
Reverse Engineering CourseReverse Engineering Course
Reverse Engineering CourseMarcus Botacin
 

Mais de Marcus Botacin (20)

Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?
 
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
 
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change![Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
 
Hardware-accelerated security monitoring
Hardware-accelerated security monitoringHardware-accelerated security monitoring
Hardware-accelerated security monitoring
 
How do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guideHow do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guide
 
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
 
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários ExecutáveisExtraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
 
On the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel ApproachesOn the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel Approaches
 
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
 
Integridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomwareIntegridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomware
 
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
 
On the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software RepositoriesOn the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software Repositories
 
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
 
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
 
Towards Malware Decompilation and Reassembly
Towards Malware Decompilation and ReassemblyTowards Malware Decompilation and Reassembly
Towards Malware Decompilation and Reassembly
 
Reverse Engineering Course
Reverse Engineering CourseReverse Engineering Course
Reverse Engineering Course
 

UMLsec

  • 1. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Security Requirement Analysis of Web Application using UML MC426 - Engenharia de Software Marcus Felipe Botacin1 Bruno Gustavo Salomão Agostini1 1Instituto de Computação - UNICAMP November 7, 2012 Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 2. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Roteiro 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 3. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões A Necessidade de Segurança Alguns Dados Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 4. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões A Necessidade de Segurança Alguns Dados A Necessidade de Segurança Internet cada vez mais importante Mais transações são realizadas Maior Risco de Interceptação Falta de legislação específica Especificação funcional tem limitações Segurança nem sempre é pensada ao longo do processo de desenvolvimento Tornar uma aplicação Web segura é difícil e gera instabilidades Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 5. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões A Necessidade de Segurança Alguns Dados Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 6. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões A Necessidade de Segurança Alguns Dados Estatísticas de 2011 do NIC.br 127 mil incidentes apenas no Brasil Crescimento médio de 40% ao ano Crescimento real de 280% nos últimos anos. Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 7. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 8. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas 2 Abordagens "Penetrate And Patch" "Training" Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 9. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Penetrate And Patch Inseguro Disruptivo Quando Termina ? Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 10. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Training Processo Lento Caro Nem sempre aplicado Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 11. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 12. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Causas das falhas Projetar sistemas seguros corretamente é complicado Projetistas de software não tem conhecimento adequado de segurança Segurança é tratada nas fases finais do processo Segurança pode ser "circunventing" Falta de feedback do cliente Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 13. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 14. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Crítica ao Modelo Atual Proposta de novos objetivos Apresenta uma nova visão O Padrão UMLsec Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 15. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 16. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Availability Confindentialy Integrity Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 17. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 18. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Proposta de uma abordagem atual Identificar as Vulnerabilidades Determinar os Riscos Integração de segurança nos estágios iniciais do desenvolvimento Política de segurança reativa não é a melhor opção Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 19. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Perguntas a se fazer "What Are the treats ?" "What Are the risks ?" "What to protect?" "What tests ?" Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 20. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 21. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos O que é ? Extensão Do UML Criada em 2002 Por Jan Jurgens Munich University Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 22. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Como Funciona Baseado em Estereótipos Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 23. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 24. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Estereótipos Figure: Tabela de estereótipos Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 25. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Labels Figure: Tabela de labels Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 26. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 27. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEX (1) Figure: Modelo de contexto seguro Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 28. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEXv(2) Figure: Modelo de casos seguros Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 29. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEX (3) Figure: Modelo de cenários críticos Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 30. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEX (4) Figure: Diagrama de classes com segurança Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 31. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEX (5) Figure: Diagrama de classes de um sistema seguro Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 32. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Em Hardware Figure: Modelo de configuração de hardware protegido Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 33. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 34. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Figure: Violação de «secure links» Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 35. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Figure: Violação de «secure dependency» Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 36. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 37. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Conclusões Segurança deve ser desenvolvida ao longo do processo UML pode ser estendida Modelos precisam ser validados Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 38. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Um Resumo Domínio do problema: Desenvolvimento de Aplicações Seguras Por que modelar: Segurança é essencial nas aplicações Por que UML : Linguagem de modelagem padrão, muito flexível Objetivo do trabalho: Apresentar uma extensão da UML para segurança Estudo de caso: Apresentação do UMLsec Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 39. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Um Resumo Modelos utilizados: UML, com diagrama de sequencia,classes,usos,modelos de casos de uso seguro Avaliação da solução: Boa Pontos Fortes: Ser extensão do UML; Não depender de implementação Pontos Fracos: Todos os casos críticos devem ser percebidos na modelagem Uma melhoria: Adicionar uma fase de teste com o usuário final,objetivando determinar os requisitos de segurança despercebidos Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 40. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 41. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Security Requirements Analisys of Web Applications using UML, Chehida Rahmouni UMLsec: Extending UML for Secure System Development, Jurgen UMLsec: Presenting the Profiles : Jurgens Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 42. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Obrigado! Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML