O documento discute a análise de requisitos de segurança em aplicações web usando UMLsec. Apresenta os problemas das abordagens anteriores, propõe o uso do UMLsec para identificar vulnerabilidades e riscos nos estágios iniciais do desenvolvimento e fornece exemplos de modelos UMLsec para um sistema de comércio exterior e hardware protegido.
Baixe mais arquivos em http://pastadomau.wikidot.com.
Trabalho sobre a metodologia de desenvolvimento de software de Ivar Jacobson chamada Objectory. Claro, isso foi antes dele juntar-se a Grady Booch e Jim Rumbaugh para desenvolver a UML e o RUP.
Estudo realizado por um grupo de alunos, estudantes do curso de MBA em Gestão de Segurança da Informação, sobre o WebGoat Project para a disciplina de Gestão de Ameaças e Vulnerabilidades do Prof. MSc. Ricardo Giorgi
Autores:
Cleyton Tsukuda Kano
Danilo Luiz Favacho Lopes
Décio Vicente Castaldi
Paulo Kuester Neto
Segurança e privacidade em computação em nuvem - uma visão geralLuiz Amelotti
A Computação em Nuvem (CeN)- ou Cloud Computing - é a oferta de serviços de TI de maneira descentralizada. De maneira similar ao web-hosting, a computação em nuvem oferece aos seus usuários novas formas de usar os recursos de TI, podendo escalar sua aplicação ou ambiente de maneira simples, rápida e barata. Este é um novo modelo de serviço de TI que está se consolidando a cada dia que passa, definindo claramente um modelo de negócios característico.
Atualmente tem-se discutido muito a respeito dos aspectos de segurança envolvendo os serviços disponibilizados na nuvem. Porém é preciso fazer uma analise cuidadosa deste novo modelo, caracterizando as ameaças estritamente relacionadas à computação em nuvem e ameaças características das tecnologias que dão suporte a este modelo, diferenciando-as das ameaças tradicionais. Também é preciso analisar com cuidado o impacto que a exploração de ameaças tradicionais podem causar.
Este trabalho pretende fazer uma pesquisa bibliográfica e uma análise crítica das características únicas e do impacto de vulnerabilidades intrinsecas da computação em nuvem e de vulnerabilidades tradicionais na tríade da segurança da informação neste modelo de serviço.
Agilidade Alternativa com Corrente CríticaAdail Retamal
Apresentação feita em 25/04/09, no Porto Alegre Agile Weekend 2009. A idéia é mostrar que há casos de sucesso em desenvolvimento de produtos (software e/ou hardware) utilizando uma abordagem turbinada pela Corrente Crítica, em complemento ou mesmo substituindo metodologias Ágeis.
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security
Apresentação de Dani Dilkin no Mind The Sec São Paulo de 2020.
A tecnologia da informação está passando pela maior mudança de paradigma desde que migramos dos mainframes para redes Novell.
A tecnologia de nuvem está permitindo que times cada vez menores, usando cada vez menos capital, e de forma mais ágil criem soluções altamente complexas e profissionais. Isso ajuda a explicar a profusão de novas startups e serviços SaaS, tais como FinTechs, MedTechs e outras. A aparente simplicidade da nuvem, a falta de conhecimento detalhado de como implementar sua segurança e o perfil de tomadores de risco dos empreendedores são fatores críticos que podem ser observados em muitas destas empresas.
De outro lado, os reguladores estão atuando de forma cada vez mais ativa para exigir que as organizações sejam responsabilizadas por eventuais incidentes de segurança em sua cadeia de suprimentos. Grandes empresas que estão confiando dados pessoais, financeiros, médicos e outros dados sensíveis a seus fornecedores estão expostas cada vez mais a penalidades regulatórias advindas destas relações.
A combinação destes fatores está criando uma tempestade perfeita de oportunidades e riscos para o mercado. Durante esta palestra vamos abordar de forma objetiva como lidar com as principais regulamentações envolvidas (LGPD/GDPR, PCI DSS, BACEN 3909 e 4658), e indicar estratégias e melhores práticas para lidar com o desafio de conformidade e segurança neste novo cenário tão desafiador.
Near-memory & In-Memory Detection of Fileless MalwareMarcus Botacin
My keynote at the Brazilian Security Symposium (SBSeg), as part of the Computer Forensics Workshop (WFC), talking about fileless malware, the challenges for antivirus detection, and new detection strategies. I present the prototype of a hardware AV with integrated signature matching to decrease the performance penalty imposed by software-only AVs.
GPThreats-3: Is Automated Malware Generation a Threat?Marcus Botacin
My talk about generating malware automatically using GPT-3, the differences for ChatGPT, limits, and possibilities. Multiple malware variants are generated and submitted to Antivirus (AV) scans. We also present a defense perspective on how defenders can use aritificial intelligence to deobfuscate malware samples.
Baixe mais arquivos em http://pastadomau.wikidot.com.
Trabalho sobre a metodologia de desenvolvimento de software de Ivar Jacobson chamada Objectory. Claro, isso foi antes dele juntar-se a Grady Booch e Jim Rumbaugh para desenvolver a UML e o RUP.
Estudo realizado por um grupo de alunos, estudantes do curso de MBA em Gestão de Segurança da Informação, sobre o WebGoat Project para a disciplina de Gestão de Ameaças e Vulnerabilidades do Prof. MSc. Ricardo Giorgi
Autores:
Cleyton Tsukuda Kano
Danilo Luiz Favacho Lopes
Décio Vicente Castaldi
Paulo Kuester Neto
Segurança e privacidade em computação em nuvem - uma visão geralLuiz Amelotti
A Computação em Nuvem (CeN)- ou Cloud Computing - é a oferta de serviços de TI de maneira descentralizada. De maneira similar ao web-hosting, a computação em nuvem oferece aos seus usuários novas formas de usar os recursos de TI, podendo escalar sua aplicação ou ambiente de maneira simples, rápida e barata. Este é um novo modelo de serviço de TI que está se consolidando a cada dia que passa, definindo claramente um modelo de negócios característico.
Atualmente tem-se discutido muito a respeito dos aspectos de segurança envolvendo os serviços disponibilizados na nuvem. Porém é preciso fazer uma analise cuidadosa deste novo modelo, caracterizando as ameaças estritamente relacionadas à computação em nuvem e ameaças características das tecnologias que dão suporte a este modelo, diferenciando-as das ameaças tradicionais. Também é preciso analisar com cuidado o impacto que a exploração de ameaças tradicionais podem causar.
Este trabalho pretende fazer uma pesquisa bibliográfica e uma análise crítica das características únicas e do impacto de vulnerabilidades intrinsecas da computação em nuvem e de vulnerabilidades tradicionais na tríade da segurança da informação neste modelo de serviço.
Agilidade Alternativa com Corrente CríticaAdail Retamal
Apresentação feita em 25/04/09, no Porto Alegre Agile Weekend 2009. A idéia é mostrar que há casos de sucesso em desenvolvimento de produtos (software e/ou hardware) utilizando uma abordagem turbinada pela Corrente Crítica, em complemento ou mesmo substituindo metodologias Ágeis.
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security
Apresentação de Dani Dilkin no Mind The Sec São Paulo de 2020.
A tecnologia da informação está passando pela maior mudança de paradigma desde que migramos dos mainframes para redes Novell.
A tecnologia de nuvem está permitindo que times cada vez menores, usando cada vez menos capital, e de forma mais ágil criem soluções altamente complexas e profissionais. Isso ajuda a explicar a profusão de novas startups e serviços SaaS, tais como FinTechs, MedTechs e outras. A aparente simplicidade da nuvem, a falta de conhecimento detalhado de como implementar sua segurança e o perfil de tomadores de risco dos empreendedores são fatores críticos que podem ser observados em muitas destas empresas.
De outro lado, os reguladores estão atuando de forma cada vez mais ativa para exigir que as organizações sejam responsabilizadas por eventuais incidentes de segurança em sua cadeia de suprimentos. Grandes empresas que estão confiando dados pessoais, financeiros, médicos e outros dados sensíveis a seus fornecedores estão expostas cada vez mais a penalidades regulatórias advindas destas relações.
A combinação destes fatores está criando uma tempestade perfeita de oportunidades e riscos para o mercado. Durante esta palestra vamos abordar de forma objetiva como lidar com as principais regulamentações envolvidas (LGPD/GDPR, PCI DSS, BACEN 3909 e 4658), e indicar estratégias e melhores práticas para lidar com o desafio de conformidade e segurança neste novo cenário tão desafiador.
Near-memory & In-Memory Detection of Fileless MalwareMarcus Botacin
My keynote at the Brazilian Security Symposium (SBSeg), as part of the Computer Forensics Workshop (WFC), talking about fileless malware, the challenges for antivirus detection, and new detection strategies. I present the prototype of a hardware AV with integrated signature matching to decrease the performance penalty imposed by software-only AVs.
GPThreats-3: Is Automated Malware Generation a Threat?Marcus Botacin
My talk about generating malware automatically using GPT-3, the differences for ChatGPT, limits, and possibilities. Multiple malware variants are generated and submitted to Antivirus (AV) scans. We also present a defense perspective on how defenders can use aritificial intelligence to deobfuscate malware samples.
[HackInTheBOx] All You Always Wanted to Know About AntivirusesMarcus Botacin
My talk at the HackInTheBox security conference Amsterdam 2023 about the reverse engineering of AV engines, covering signatures, whitelists, blocklists, kernel drivers, hooking, and much more.
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!Marcus Botacin
My talk at the USENIX Enigma 2023 discussing challenges and pitfalls in malware research. I discuss 5 aspects to change, from diversity of research work to reproducibility crisis.
In this talk, I cover the basic idea of hardware-assisted, two-level architectures for security monitoring and its applications to the malware detection problem. I propose detection triggers involving branch predictor, MMU, memory controller, co-processors, and FPGAs.
Talk presented at the Real Time systems group seminar series at the University of York.
How do we detect malware? A step-by-step guideMarcus Botacin
Slides from my talk at Texas A&M University (TAMU) seminar series (2002), where I present a landscape of the malware detection pipeline currently used by the industry and how academia can contribute to that. I present new solutions ranging from the use of ML, sandbox solutions, and hardware support for the development of more performance-efficient Antivirus.
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022Marcus Botacin
My talk at Federal University of Minas Gerais (UFMG) to present some aspects of modern malware research and some of my contributions to the field (derived from my PhD defense). I cover all steps of a detection pipelines: threat hunting, malware triage, sandbox execution, threat intelligence, and endpoint protection.
On the Malware Detection Problem: Challenges & Novel ApproachesMarcus Botacin
Marcus Botacin's PhD Defense at Federal University of Paraná (UFPR).
Advisor: Dr André Grégio
Co-Advisor: Paulo de Geus
Evaluation Committee:
Dr Leigh Metcalf, Dr Leyla Bilge, Daniel Alfonso Oliveira
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...Marcus Botacin
Describing our experience in the MLSec competition for the seminar series of the University of Waikato. Presenteed by Fabricio Ceschin and Marcus Botacin from the Federal University of Paraná.
Near-memory & In-Memory Detection of Fileless MalwareMarcus Botacin
Proposal of a hardware-based AV embedded within the memory controller to mitigate the performance penalty when searching for fileless malware samples. Presented at 2020 MEMSYS.
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...Marcus Botacin
My talk at USENIX ENIGMA 2021 about Brazilian Financial Malware. It encompasses desktop and mobile environments, analyzed both statically and dynamically.
On the Security of Application Installers & Online Software RepositoriesMarcus Botacin
My presentation for the DIMVA 2020 conference about the security of application installers. I show the operation dynamics of the repositories and reverse engineer some application installers to show their vulnerabilities, such as to man-in-the-middle attacks.
Towards Malware Decompilation and ReassemblyMarcus Botacin
I present RevEngE, the Reverse Engineering Engine, a PoC for the debug-based decompilation approach. Presentation given at Reverse Engineering (ROOTS) confence in Vienna, Austria, 20219.
1. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Security Requirement Analysis of Web
Application using UML
MC426 - Engenharia de Software
Marcus Felipe Botacin1 Bruno Gustavo Salomão Agostini1
1Instituto de Computação - UNICAMP
November 7, 2012
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
2. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Roteiro
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
3. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
A Necessidade de Segurança
Alguns Dados
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
4. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
A Necessidade de Segurança
Alguns Dados
A Necessidade de Segurança
Internet cada vez mais importante
Mais transações são realizadas
Maior Risco de Interceptação
Falta de legislação específica
Especificação funcional tem limitações
Segurança nem sempre é pensada ao longo do processo
de desenvolvimento
Tornar uma aplicação Web segura é difícil e gera
instabilidades
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
5. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
A Necessidade de Segurança
Alguns Dados
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
6. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
A Necessidade de Segurança
Alguns Dados
Estatísticas de 2011 do NIC.br
127 mil incidentes apenas no Brasil
Crescimento médio de 40% ao ano
Crescimento real de 280% nos últimos anos.
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
7. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Modelo Anterior
Falhas
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
8. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Modelo Anterior
Falhas
2 Abordagens
"Penetrate And Patch"
"Training"
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
9. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Modelo Anterior
Falhas
Penetrate And Patch
Inseguro
Disruptivo
Quando Termina ?
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
10. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Modelo Anterior
Falhas
Training
Processo Lento
Caro
Nem sempre aplicado
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
11. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Modelo Anterior
Falhas
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
12. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Modelo Anterior
Falhas
Causas das falhas
Projetar sistemas seguros corretamente é complicado
Projetistas de software não tem conhecimento adequado
de segurança
Segurança é tratada nas fases finais do processo
Segurança pode ser "circunventing"
Falta de feedback do cliente
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
13. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Sobre o Paper
Metas
Proposta
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
14. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Sobre o Paper
Metas
Proposta
Crítica ao Modelo Atual
Proposta de novos objetivos
Apresenta uma nova visão
O Padrão UMLsec
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
15. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Sobre o Paper
Metas
Proposta
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
16. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Sobre o Paper
Metas
Proposta
Availability
Confindentialy
Integrity
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
17. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Sobre o Paper
Metas
Proposta
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
18. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Sobre o Paper
Metas
Proposta
Proposta de uma abordagem atual
Identificar as Vulnerabilidades
Determinar os Riscos
Integração de segurança nos estágios iniciais do
desenvolvimento
Política de segurança reativa não é a melhor opção
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
19. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Sobre o Paper
Metas
Proposta
Perguntas a se fazer
"What Are the treats ?"
"What Are the risks ?"
"What to protect?"
"What tests ?"
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
20. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Definições
Estereótipos
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
21. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Definições
Estereótipos
O que é ?
Extensão Do UML
Criada em 2002
Por Jan Jurgens
Munich University
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
22. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Definições
Estereótipos
Como Funciona
Baseado em Estereótipos
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
23. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Definições
Estereótipos
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
24. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Definições
Estereótipos
Estereótipos
Figure: Tabela de estereótipos
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
25. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Definições
Estereótipos
Labels
Figure: Tabela de labels
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
26. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
27. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Exemplo IS-COMEX (1)
Figure: Modelo de contexto seguro
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
28. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Exemplo IS-COMEXv(2)
Figure: Modelo de casos seguros
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
29. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Exemplo IS-COMEX (3)
Figure: Modelo de cenários críticos
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
30. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Exemplo IS-COMEX (4)
Figure: Diagrama de classes com segurança
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
31. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Exemplo IS-COMEX (5)
Figure: Diagrama de classes de um sistema seguro
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
32. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Em Hardware
Figure: Modelo de configuração de hardware protegido
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
33. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
34. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Figure: Violação de «secure links»
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
35. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Exemplos
Exemplos de violação
Figure: Violação de «secure dependency»
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
36. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Conclusões
Bibliografia
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
37. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Conclusões
Bibliografia
Conclusões
Segurança deve ser desenvolvida ao longo do processo
UML pode ser estendida
Modelos precisam ser validados
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
38. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Conclusões
Bibliografia
Um Resumo
Domínio do problema: Desenvolvimento de Aplicações
Seguras
Por que modelar: Segurança é essencial nas aplicações
Por que UML : Linguagem de modelagem padrão, muito
flexível
Objetivo do trabalho: Apresentar uma extensão da UML
para segurança
Estudo de caso: Apresentação do UMLsec
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
39. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Conclusões
Bibliografia
Um Resumo
Modelos utilizados: UML, com diagrama de
sequencia,classes,usos,modelos de casos de uso seguro
Avaliação da solução: Boa
Pontos Fortes: Ser extensão do UML; Não depender de
implementação
Pontos Fracos: Todos os casos críticos devem ser
percebidos na modelagem
Uma melhoria: Adicionar uma fase de teste com o usuário
final,objetivando determinar os requisitos de segurança
despercebidos
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
40. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Conclusões
Bibliografia
Focos do trabalho
1 Introdução
A Necessidade de Segurança
Alguns Dados
2 Abordagens Anteriores
Modelo Anterior
Falhas
3 Sobre o Paper
Sobre o Paper
Metas
Proposta
4 UMLsec
Definições
Estereótipos
5 Casos Práticos
Exemplos
Exemplos de violação
6 Conclusões
Conclusões
Bibliografia
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
41. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Conclusões
Bibliografia
Security Requirements Analisys of Web Applications using
UML, Chehida Rahmouni
UMLsec: Extending UML for Secure System Development,
Jurgen
UMLsec: Presenting the Profiles : Jurgens
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML
42. Introdução
Abordagens Anteriores
Sobre o Paper
UMLsec
Casos Práticos
Conclusões
Conclusões
Bibliografia
Obrigado!
Marcus Botacin, Bruno Agostini Security Requirement Analysis of Web Application using UML