Metodología de evaluación de herramientas de análisis automático de seguridad de aplicaciones web para su adaptación en el ciclo de vida de desarrollo= Assessment methodology of web applications automatic security analysis tools for adaptation in the development life cycle
- Bermejo Higuera, Juan Ramon
- Gabriel Díaz Orueta Director
Defence university: UNED. Universidad Nacional de Educación a Distancia
Fecha de defensa: 26 June 2014
- Manuel Alonso Castro Gil Chair
- Rafael Pastor Vargas Secretary
- Xicu Xabiel García Pañeda Committee member
- José Ramón Soler Fuensanta Committee member
- Manuel Caeiro Rodríguez Committee member
Type: Thesis
Abstract
Las técnicas de análisis de seguridad de una aplicación, de caja blanca y de caja negra, realizadas manualmente (revisión de código, test de penetración), sufren de falta de cobertura de la superficie de ataque que tienen las aplicaciones y lo más probable es que con estas pruebas de penetración manuales se tenga una gran pérdida de detección de vulnerabilidades de seguridad. La dificultad de realizar estos test manualmente conduce al desarrollo de técnicas automáticas de análisis de la seguridad. Este trabajo de tesis trata de fijar el ¿estado del arte¿ en cuanto a las últimas tendencias de herramientas de análisis automáticas: análisis estático de caja blanca (SAST), dinámico de caja negra (DAST) y análisis dinámico de caja blanca (RAST / IAST) en tiempo real e híbridas combinando varias de los tipos anteriores. Todas estos tipos de herramientas son evaluadas de acuerdo a una metodología desde una perspectiva global para establecer el grado de eficacia de las herramientas en cuanto detecciones correctas (verdaderos positivos), falsas alarmas (falsos positivos), grado de cobertura de vulnerabilidades, etc. La metodología de evaluación de las herramientas consiste en ejecutar cada herramienta contra aplicaciones benchmark que contienen vulnerabilidades de seguridad conocidas. Al resultado de las ejecuciones, se les aplican posteriormente métricas seleccionadas y ampliamente aceptadas para establecer un ranking en cuanto a la efectividad de análisis de seguridad de cada herramienta. El objetivo final del resultado de la evaluación de los diferentes tipos de herramientas mencionados, es la derivación de un modelo de ciclo de vida de desarrollo seguro de software (SSDLC), aplicando en cada fase los tipos de herramientas más adecuados para conseguir un resultado de conjunto lo más optimizado posible. La diferente naturaleza de cada tipo de herramienta, e incluso entre distintas herramientas del mismo tipo, hace necesario estudiar la sinergia existente entre ellas cuando se combinan para reducir el porcentaje de falsos positivos y aumentar el porcentaje de verdaderos positivos.