SlideShare uma empresa Scribd logo
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Security Requirement Analysis of Web
Application using UML
MC426 - Engenharia de Software
Marcus Felipe Botacin1 Bruno Gustavo Salomão Agostini1
1Instituto de Computação - UNICAMP
November 7, 2012
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Roteiro
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
A Necessidade de Segurança
Alguns Dados
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
A Necessidade de Segurança
Alguns Dados
A Necessidade de Segurança
Internet cada vez mais importante
Mais transações são realizadas
Maior Risco de Interceptação
Falta de legislação específica
Especificação funcional tem limitações
Segurança nem sempre é pensada ao longo do processo
de desenvolvimento
Tornar uma aplicação Web segura é difícil e gera
instabilidades
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
A Necessidade de Segurança
Alguns Dados
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
A Necessidade de Segurança
Alguns Dados
Estatísticas de 2011 do NIC.br
127 mil incidentes apenas no Brasil
Crescimento médio de 40% ao ano
Crescimento real de 280% nos últimos anos.
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Modelo Anterior
Falhas
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Modelo Anterior
Falhas
2 Abordagens
"Penetrate And Patch"
"Training"
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Modelo Anterior
Falhas
Penetrate And Patch
Inseguro
Disruptivo
Quando Termina ?
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Modelo Anterior
Falhas
Training
Processo Lento
Caro
Nem sempre aplicado
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Modelo Anterior
Falhas
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Modelo Anterior
Falhas
Causas das falhas
Projetar sistemas seguros corretamente é complicado
Projetistas de software não tem conhecimento adequado
de segurança
Segurança é tratada nas fases finais do processo
Segurança pode ser "circunventing"
Falta de feedback do cliente
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Sobre o Paper
Metas
Proposta
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Sobre o Paper
Metas
Proposta
Crítica ao Modelo Atual
Proposta de novos objetivos
Apresenta uma nova visão
O Padrão UMLsec
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Sobre o Paper
Metas
Proposta
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Sobre o Paper
Metas
Proposta
Availability
Confindentialy
Integrity
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Sobre o Paper
Metas
Proposta
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Sobre o Paper
Metas
Proposta
Proposta de uma abordagem atual
Identificar as Vulnerabilidades
Determinar os Riscos
Integração de segurança nos estágios iniciais do
desenvolvimento
Política de segurança reativa não é a melhor opção
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Sobre o Paper
Metas
Proposta
Perguntas a se fazer
"What Are the treats ?"
"What Are the risks ?"
"What to protect?"
"What tests ?"
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Definições
Estereótipos
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Definições
Estereótipos
O que é ?
Extensão Do UML
Criada em 2002
Por Jan Jurgens
Munich University
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Definições
Estereótipos
Como Funciona
Baseado em Estereótipos
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Definições
Estereótipos
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Definições
Estereótipos
Estereótipos
Figure: Tabela de estereótipos
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Definições
Estereótipos
Labels
Figure: Tabela de labels
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Exemplo IS-COMEX (1)
Figure: Modelo de contexto seguro
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Exemplo IS-COMEXv(2)
Figure: Modelo de casos seguros
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Exemplo IS-COMEX (3)
Figure: Modelo de cenários críticos
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Exemplo IS-COMEX (4)
Figure: Diagrama de classes com segurança
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Exemplo IS-COMEX (5)
Figure: Diagrama de classes de um sistema seguro
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Em Hardware
Figure: Modelo de configuração de hardware protegido
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Figure: Violação de «secure links»
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Figure: Violação de «secure dependency»
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Conclusões
Bibliografia
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Conclusões
Bibliografia
Conclusões
Segurança deve ser desenvolvida ao longo do processo
UML pode ser estendida
Modelos precisam ser validados
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Conclusões
Bibliografia
Um Resumo
Domínio do problema: Desenvolvimento de Aplicações
Seguras
Por que modelar: Segurança é essencial nas aplicações
Por que UML : Linguagem de modelagem padrão, muito
flexível
Objetivo do trabalho: Apresentar uma extensão da UML
para segurança
Estudo de caso: Apresentação do UMLsec
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Conclusões
Bibliografia
Um Resumo
Modelos utilizados: UML, com diagrama de
sequencia,classes,usos,modelos de casos de uso seguro
Avaliação da solução: Boa
Pontos Fortes: Ser extensão do UML; Não depender de
implementação
Pontos Fracos: Todos os casos críticos devem ser
percebidos na modelagem
Uma melhoria: Adicionar uma fase de teste com o usuário
final,objetivando determinar os requisitos de segurança
despercebidos
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Conclusões
Bibliografia
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Conclusões
Bibliografia
Security Requirements Analisys of Web Applications using
UML, Chehida Rahmouni
UMLsec: Extending UML for Secure System Development,
Jurgen
UMLsec: Presenting the Profiles : Jurgens
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Conclusões
Bibliografia
Obrigado!
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML

Mais conteúdo relacionado

Semelhante a UMLsec

Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...
Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...
Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...
Leinylson Fontinele
 
Objectory
ObjectoryObjectory
Project Pre-Presentation
Project Pre-PresentationProject Pre-Presentation
Project Pre-Presentation
Nuno Canas
 
Gerenciando Testes Com Qualidade V2a
Gerenciando Testes Com Qualidade V2aGerenciando Testes Com Qualidade V2a
Gerenciando Testes Com Qualidade V2a
Leonardo Molinari
 
Artc 1249307788 43
Artc 1249307788 43Artc 1249307788 43
Artc 1249307788 43
Bruno Bsantos
 
Segurança e privacidade nas redes sociais
Segurança e privacidade nas redes sociaisSegurança e privacidade nas redes sociais
Segurança e privacidade nas redes sociais
Pedro Pimenta
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
Décio Castaldi, MBA/FIAP
 
My cool new Slideshow!
My cool new Slideshow!My cool new Slideshow!
My cool new Slideshow!
Emílio
 
Microsoft ALM = Produtividade
Microsoft ALM = ProdutividadeMicrosoft ALM = Produtividade
Microsoft ALM = Produtividade
Adriano Bertucci
 
Segurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralSegurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geral
Luiz Amelotti
 
Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-Final
Fabio Hara
 
Agilidade Alternativa com Corrente Crítica
Agilidade Alternativa com Corrente CríticaAgilidade Alternativa com Corrente Crítica
Agilidade Alternativa com Corrente Crítica
Adail Retamal
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
Kurte Wagner
 
Introdução a engenharia de software aula 01
Introdução a engenharia de software   aula 01Introdução a engenharia de software   aula 01
Introdução a engenharia de software aula 01
Franklin Matos Correia
 
TI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação Industrial
TI Safe
 
Eng.ª do Software - 4. Processos de software
Eng.ª do Software - 4. Processos de softwareEng.ª do Software - 4. Processos de software
Eng.ª do Software - 4. Processos de software
Manuel Menezes de Sequeira
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
Osanam Giordane da Costa Junior
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Tenchi Security
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test   roadsec-bh - testes de segurança, não comece pelo fim!Qa test   roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Welington Monteiro
 

Semelhante a UMLsec (19)

Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...
Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...
Informática Agrícola Aula 05 - Aplicações gerais de informática (banco de dad...
 
Objectory
ObjectoryObjectory
Objectory
 
Project Pre-Presentation
Project Pre-PresentationProject Pre-Presentation
Project Pre-Presentation
 
Gerenciando Testes Com Qualidade V2a
Gerenciando Testes Com Qualidade V2aGerenciando Testes Com Qualidade V2a
Gerenciando Testes Com Qualidade V2a
 
Artc 1249307788 43
Artc 1249307788 43Artc 1249307788 43
Artc 1249307788 43
 
Segurança e privacidade nas redes sociais
Segurança e privacidade nas redes sociaisSegurança e privacidade nas redes sociais
Segurança e privacidade nas redes sociais
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
 
My cool new Slideshow!
My cool new Slideshow!My cool new Slideshow!
My cool new Slideshow!
 
Microsoft ALM = Produtividade
Microsoft ALM = ProdutividadeMicrosoft ALM = Produtividade
Microsoft ALM = Produtividade
 
Segurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralSegurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geral
 
Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-Final
 
Agilidade Alternativa com Corrente Crítica
Agilidade Alternativa com Corrente CríticaAgilidade Alternativa com Corrente Crítica
Agilidade Alternativa com Corrente Crítica
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Introdução a engenharia de software aula 01
Introdução a engenharia de software   aula 01Introdução a engenharia de software   aula 01
Introdução a engenharia de software aula 01
 
TI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação Industrial
 
Eng.ª do Software - 4. Processos de software
Eng.ª do Software - 4. Processos de softwareEng.ª do Software - 4. Processos de software
Eng.ª do Software - 4. Processos de software
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test   roadsec-bh - testes de segurança, não comece pelo fim!Qa test   roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 

Mais de Marcus Botacin

Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024
Marcus Botacin
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
Marcus Botacin
 
GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?
Marcus Botacin
 
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
Marcus Botacin
 
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change![Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
Marcus Botacin
 
Hardware-accelerated security monitoring
Hardware-accelerated security monitoringHardware-accelerated security monitoring
Hardware-accelerated security monitoring
Marcus Botacin
 
How do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guideHow do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guide
Marcus Botacin
 
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Marcus Botacin
 
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários ExecutáveisExtraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
Marcus Botacin
 
On the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel ApproachesOn the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel Approaches
Marcus Botacin
 
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
Marcus Botacin
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
Marcus Botacin
 
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Marcus Botacin
 
Integridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomwareIntegridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomware
Marcus Botacin
 
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
Marcus Botacin
 
On the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software RepositoriesOn the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software Repositories
Marcus Botacin
 
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
Marcus Botacin
 
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Marcus Botacin
 
Towards Malware Decompilation and Reassembly
Towards Malware Decompilation and ReassemblyTowards Malware Decompilation and Reassembly
Towards Malware Decompilation and Reassembly
Marcus Botacin
 
Reverse Engineering Course
Reverse Engineering CourseReverse Engineering Course
Reverse Engineering Course
Marcus Botacin
 

Mais de Marcus Botacin (20)

Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?
 
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
 
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change![Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
 
Hardware-accelerated security monitoring
Hardware-accelerated security monitoringHardware-accelerated security monitoring
Hardware-accelerated security monitoring
 
How do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guideHow do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guide
 
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
 
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários ExecutáveisExtraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
 
On the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel ApproachesOn the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel Approaches
 
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
 
Integridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomwareIntegridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomware
 
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
 
On the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software RepositoriesOn the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software Repositories
 
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
 
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
 
Towards Malware Decompilation and Reassembly
Towards Malware Decompilation and ReassemblyTowards Malware Decompilation and Reassembly
Towards Malware Decompilation and Reassembly
 
Reverse Engineering Course
Reverse Engineering CourseReverse Engineering Course
Reverse Engineering Course
 

UMLsec

  • 1. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Security Requirement Analysis of Web Application using UML MC426 - Engenharia de Software Marcus Felipe Botacin1 Bruno Gustavo Salomão Agostini1 1Instituto de Computação - UNICAMP November 7, 2012 Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 2. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Roteiro 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 3. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões A Necessidade de Segurança Alguns Dados Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 4. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões A Necessidade de Segurança Alguns Dados A Necessidade de Segurança Internet cada vez mais importante Mais transações são realizadas Maior Risco de Interceptação Falta de legislação específica Especificação funcional tem limitações Segurança nem sempre é pensada ao longo do processo de desenvolvimento Tornar uma aplicação Web segura é difícil e gera instabilidades Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 5. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões A Necessidade de Segurança Alguns Dados Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 6. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões A Necessidade de Segurança Alguns Dados Estatísticas de 2011 do NIC.br 127 mil incidentes apenas no Brasil Crescimento médio de 40% ao ano Crescimento real de 280% nos últimos anos. Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 7. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 8. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas 2 Abordagens "Penetrate And Patch" "Training" Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 9. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Penetrate And Patch Inseguro Disruptivo Quando Termina ? Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 10. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Training Processo Lento Caro Nem sempre aplicado Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 11. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 12. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Modelo Anterior Falhas Causas das falhas Projetar sistemas seguros corretamente é complicado Projetistas de software não tem conhecimento adequado de segurança Segurança é tratada nas fases finais do processo Segurança pode ser "circunventing" Falta de feedback do cliente Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 13. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 14. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Crítica ao Modelo Atual Proposta de novos objetivos Apresenta uma nova visão O Padrão UMLsec Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 15. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 16. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Availability Confindentialy Integrity Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 17. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 18. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Proposta de uma abordagem atual Identificar as Vulnerabilidades Determinar os Riscos Integração de segurança nos estágios iniciais do desenvolvimento Política de segurança reativa não é a melhor opção Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 19. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Sobre o Paper Metas Proposta Perguntas a se fazer "What Are the treats ?" "What Are the risks ?" "What to protect?" "What tests ?" Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 20. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 21. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos O que é ? Extensão Do UML Criada em 2002 Por Jan Jurgens Munich University Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 22. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Como Funciona Baseado em Estereótipos Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 23. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 24. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Estereótipos Figure: Tabela de estereótipos Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 25. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Definições Estereótipos Labels Figure: Tabela de labels Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 26. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 27. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEX (1) Figure: Modelo de contexto seguro Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 28. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEXv(2) Figure: Modelo de casos seguros Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 29. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEX (3) Figure: Modelo de cenários críticos Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 30. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEX (4) Figure: Diagrama de classes com segurança Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 31. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Exemplo IS-COMEX (5) Figure: Diagrama de classes de um sistema seguro Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 32. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Em Hardware Figure: Modelo de configuração de hardware protegido Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 33. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 34. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Figure: Violação de «secure links» Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 35. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Exemplos Exemplos de violação Figure: Violação de «secure dependency» Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 36. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 37. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Conclusões Segurança deve ser desenvolvida ao longo do processo UML pode ser estendida Modelos precisam ser validados Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 38. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Um Resumo Domínio do problema: Desenvolvimento de Aplicações Seguras Por que modelar: Segurança é essencial nas aplicações Por que UML : Linguagem de modelagem padrão, muito flexível Objetivo do trabalho: Apresentar uma extensão da UML para segurança Estudo de caso: Apresentação do UMLsec Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 39. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Um Resumo Modelos utilizados: UML, com diagrama de sequencia,classes,usos,modelos de casos de uso seguro Avaliação da solução: Boa Pontos Fortes: Ser extensão do UML; Não depender de implementação Pontos Fracos: Todos os casos críticos devem ser percebidos na modelagem Uma melhoria: Adicionar uma fase de teste com o usuário final,objetivando determinar os requisitos de segurança despercebidos Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 40. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Focos do trabalho 1 Introdução A Necessidade de Segurança Alguns Dados 2 Abordagens Anteriores Modelo Anterior Falhas 3 Sobre o Paper Sobre o Paper Metas Proposta 4 UMLsec Definições Estereótipos 5 Casos Práticos Exemplos Exemplos de violação 6 Conclusões Conclusões Bibliografia Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 41. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Security Requirements Analisys of Web Applications using UML, Chehida Rahmouni UMLsec: Extending UML for Secure System Development, Jurgen UMLsec: Presenting the Profiles : Jurgens Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
  • 42. Introdução Abordagens Anteriores Sobre o Paper UMLsec Casos Práticos Conclusões Conclusões Bibliografia Obrigado! Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML