SlideShare une entreprise Scribd logo

Presentamos bugScout

Jorge Martínez Taboada
Jorge Martínez Taboada

Presentamos bugScout

Technologie
1  sur  30
Para más información contacte con: sales@buguroo.com
Problemática actual Amenazas ‘Crean una extensión que permite entrar en las cuentas de Facebook y Twitter’ Multas Source: www.elmundo.es ‘Multa récord de 2.8 M.€ a la filial británica de la aseguradora Zurich por haber Desprotección "perdido" datos de decenas ‘Cómo fue el ataque de de miles de clientes’ Source: AFP Stuxnet, dirigido contra instalaciones nucleares de Irán’ Source: www.elpais.com
Riesgos de una programación no segura Amenazas ‘El 95% de los ataques en Internet van contra el aplicativo’ Multas ‘El resultado de un ataque o pérdida de datos implica graves consecuencias Desprotección legales a la compañía’ ‘Más del 90% de las vulnerabilidades en Internet están en el código’
Estadísticas: Vulnerabilidades en aplicativos en Internet (1 de 2) % Vulnerabilidades localizadas por cada tipo de test 100 80 60 Urgent 40 Critical 20 High 0 Medium % Sites (All) % Sites % Sites % Sites Low (Scans) (Blackbox) (WhiteBox) Source: WASC (web application security consortium)
Estadísticas: Vulnerabilidades en aplicativos en Internet (2 de 2) % Vulnerabilidades más comunes % Sectores afectados por ataques 7% 11% 5% 3% 12% XSS 4% Finance Education 39% 19% 4% Information Social/Web Leakage 12% Media Retail 7% SQLi Technology Internet Goverment Insufficent Entertainment Transport Layer Protection 16% Fingerprinting 12% 32% Source: WASC (web application security consortium)
Limitaciones de las soluciones actuales Limitaciones de las auditorías caja negra • No auditan todo el aplicativo Limitaciones de las auditorías manuales • Costes. A pesar de ser una de las soluciones más • Son menos precisas efectivas, la magnitud del código fuente es tan inmensa, que suelen desestimarse por motivos de coste • Pueden incurrir en degradaciones del servicio • Tiempos de espera. La entrega de informes requiere de tiempos de espera tan prolongados, que a menudo se pasa a explotación sin esperar a la obtención de resultados Limitaciones comunes a ambas auditorías • Dependen de que el desarrollo esté terminado • No contemplan vulnerabilidades a futuro. Cada día se descubren nuevos agujeros de seguridad • No contemplan actualizaciones de software, provocando la rápida obsolescencia del trabajo auditado
Nuestra solución: • buguroo ha diseñado y puesto en marcha bugScout, el servicio gestionado más potente del mercado, de análisis de vulnerabilidades en código fuente:  bugScout detecta automáticamente más del 94% de las vulnerabilidades presentes en el código. Es la solución más potente del mercado: su competencia sólo detecta un 60% de las vulnerabilidades existentes  Funciona de manera descentralizada en la nube, permitiendo escalabilidad ilimitada  bugScout permite a sus partners, mediante su solución de appliances, la creación y gestión de sus propias nubes  bugScout está diseñado para auditar simultáneamente múltiples códigos, sin penalización en el rendimiento
Ventajas (1 de 2)  bugScout reduce el coste de auditoría manual en más de un  bugScout se integra en 90% el ciclo de desarrollo de software, agilizando los procesos de  bugScout permite negocio minimizar los tiempos de espera de resultados en más de un 99%
Ventajas (2 de 2) • bugScout permite la corrección de errores a tiempo real, fomentando el aprendizaje del equipo de desarrollo • bugScout audita por completo la aplicación • Las auditorías con bugScout son más precisas, su tecnología permite rastrear eficazmente el código en su totalidad • Evita errores no controlados: Denegación del servicio, ataques de spam no previstos… • bugScout permite actualizar firmas a tiempo real de carácter público y privado, debido a al carácter recurrente de su tecnología • bugScout se integra con el ciclo de desarrollo de software • bugScout se conecta directamente al repositorio de desarrollo, pudiendo auditar el software, desde el minuto uno, sin interrumpir el proceso productivo
- Tecnología y funcionalidades • bugScout consta de una consola web desde la que se ofrecen múltiples funcionalidades para operar con el código, sin necesidad de agentes pesados ni instalación previa de software en el cliente • Asimismo cuenta con:  Un sistema de detección de vulnerabilidades públicas y privadas actualizado al día  Plataforma multi-auditoría, capaz de analizar códigos de manera simultánea sin interferir en el rendimiento y tiempos de la misma  Plataforma multiusuario con granularidad de accesos y permisos
El entorno - Acceso al portal
El entorno - Modular, extensible y escalable … …… … Tareas Licencias Consultas Tareas Licencias Consultas FRAMEWORK 1 FRAMEWORK N BUS DE COMUNICACIONES DISTRIBUIDO (BACKEND) BUS DE COMUNICACIONES DISTRIBUIDO (BACKEND) CORE 1 …. N ENGINE Sheduler Tareas Licencias Resultado Motor N … Descompresión Fam. 1 P1 Cond. 1 Descifrado .. .. .. Motor 1 Core Engine Fam. N PN Cond. N
El entorno - Modular, extensible y escalable 1. Framework. Interfaz para el usuario con acceso hasta 6 módulos 2. Core. Analizador de código fuente 3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de vulnerabilidades y soluciones
Framework - Módulos (1 de 5) 1. Dashboard • Menú inicial configurable por usuario donde podrá, de un vistazo, repasarse la seguridad de los aplicativos de la compañía • El área de trabajo es editable, pueden añadirse, modificarse y/o eliminar los gráficos, así como reordenarlos o redimensionarlos mediante Drag&Drop • Las gráficas además, son interactuables, por lo que pasando el cursor por encima pueden observarse los valores que representan • Para hacer esto posible, el diseño ha sido realizado contando con las más modernas técnicas de web 2.0, sin renunciar a seguridad y rendimiento
Framework - Módulos: Dashboard (2 de 5)
Framework - Módulos (3 de 5) 2. Proyectos • Desde este módulo pueden clasificarse los proyectos y aplicativos, para posteriormente realizar análisis • También desde este apartado es posible: solicitar auditorías manuales, re-auditar código para comprobar su evolución, solicitar que un auditor realice un test de intrusión, generar un informe o consultar vulnerabilidades 3. Gestor documental • Sencillo gestor documental donde pueden consultarse los informes generados de manera automática o manual, documentación de ayuda sobre la herramienta, generación de claves de criptografía asimétrica y realizarse las subidas seguras del código fuente a auditar
Framework - Módulos (4 de 5) 4. Vulnerabilidades • Apartado desde el que trabajar con los resultados de las auditorías, pudiendo comprobar las soluciones propuestas, referencias, explicaciones sobre las vulnerabilidades, etc. 5. Informes • Configurador a medida para generar reportes ejecutivos o técnicos, a diferentes niveles 6. Administración • Módulo habilitado para la gestión de usuarios, grupos y roles • Menú orientado a la creación y estructura jerárquica de empresas (clientes, proveedores o mayoristas) • Es posible configurar el look&feel de la interfaz conforme a los patrones y logos corporativos de cada empresa, y generar así los informes a medida para cada empresa
Framework - Módulos: Proyectos (5 de 5)
El entorno - Modular, extensible y escalable 1. Framework. Interfaz para el usuario con acceso hasta 6 módulos 2. Core. Analizador de código fuente 3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de vulnerabilidades y soluciones
Core (1 de 4) 2. Core • bugScout Core consiste en un sistema de reconocimiento de patrones vulnerables del software analizado. El proceso completo proporciona un análisis del código de máxima fiabilidad para detectar patrones que permitirían a un intruso el acceso a datos no autorizados. • Principales funcionalidades: 1. Detección del lenguaje a procesar 2. Análisis léxico 3. Análisis sintáctico 4. Generación del modelado de la arquitectura software del aplicativo 5. Análisis del flujo de datos 6. Detección de patrones vulnerables 7. Discriminación de falsos positivos 8. Comunicación de las posibles vulnerabilidades encontradas
Core (2 de 4) - Principales Funcionalidades Generación del modelado de la Detección del Análisis léxico Análisis sintáctico arquitectura software del lenguaje a procesar aplicativo Comunicación de las Discriminación de Detección de Análisis del flujo de posibles vulnerabilidades falsos positivos patrones vulnerables datos encontradas
Core - Principales Funcionalidades (3 de 4) 2. Core 1. Detección del lenguaje a procesar: utilizando diferentes filtros y patrones, bugScout Core determina qué lenguaje contiene cada fichero y procede a generar las estructuras básicas para continuar con el proceso 2. Análisis léxico: proceso esencial para iniciar el análisis de un lenguaje, para lograrlo bugScout Core se integra directamente con los analizadores léxicos propios para cada lenguaje 3. Análisis sintáctico: bugScout Core utiliza los analizadores sintácticos que define cada propio lenguaje, ya que es la manera más precisa posible de perfilar las fuentes. Requiriendo, en ocasiones, ciertas modificaciones de los mismos, a fin de poder realizar la construcción de la arquitectura software del aplicativo 4. Generación del modelado de la arquitectura software del aplicativo: consiste en la representación en memoria del código que a analizar, pero con un mayor grado de computabilidad, lo que permite ejecutar operaciones sobre el árbol que requieren un esfuerzo computacional alto, en tiempos mínimos
Core - Principales Funcionalidades (4 de 4) 2. Core 5. Análisis del flujo de datos: consiste en la propia compresión del código fuente que se analizará a fin poder determinar si el código contiene patrones de vulnerabilidades 6. Detección de patrones vulnerables: para la búsqueda de vulnerabilidades, bugScout Core apostará una compleja arquitectura de plug-ins, que facilitará las actualizaciones futuras de firmas en base a nuevos patrones vulnerables. A través de estos plug-ins basados en expresiones regulares formadas ex profeso para cada lenguaje en específico, se puede determinar con un grado de probabilidad alto, si existe una vulnerabilidad en el código 7. Discriminación de falsos positivos: realiza el backtracking y descarte necesarios, en función de las condiciones que el patrón encontrado, represente dentro de ese código concreto, confirmando si existe o no un riesgo real en tal patrón 8. Comunicación de las posibles vulnerabilidades encontradas: en este proceso bugScout Core comunica a la parte visual, la existencia de los fallos de seguridad en el código para mostrarlos
El entorno - Modular, extensible y escalable 1. Framework. Interfaz para el usuario con acceso hasta 6 módulos 2. Core. Analizador de código fuente 3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de vulnerabilidades y soluciones
BackEnd (1 de 4) 3. BackEnd • bugScout BackEnd almacena en Cloud los datos con los que trabaja la herramienta. Nuestro modelo de BackEnd, incorpora tecnologías de última generación, que permiten compatibilizar la máxima eficiencia de los datos almacenados, con la seguridad propia de un entorno de máxima seguridad • Ventajas  Mejora de tiempos de desarrollo  Incremento de la eficacia  Escalabilidad  Flexibilidad  Disponibilidad  Gestión  Seguridad
BackEnd (2 de 4) Data flow Control flow Controlller Unit Conector Data BBDD 1…N BBDD Controller BBDD
BackEnd (3 de 4) 3. BackEnd • La arquitectura de bugScout BackEnd presenta un diseño ágil y conceptualmente sencillo, lo que permite desarrollar un entorno veloz y flexible • La integración de la tecnología Cloud Storage, dota a nuestros sistemas y redes de capacidad para crecer y escalar, con una gestión manual mínima • La seguridad es una parte integral de la computación en la nube. Un diseño de arquitectura de una agrupación de sistemas que trabajarán directamente sobre información altamente sensible, debe proteger en consecuencia dicha información. bugScout BackEnd va un paso más allá al considerar que Cloud Storage implica integrar la nube con tres servicios adicionales fundamentales:  Redimensionamiento  Recuperación ante desastres  Seguridad de los datos y comunicaciones
BackEnd (4 de 4) 3. BackEnd • bugScout BackEnd presenta un sistema de gestión seguro, flexible y escalable:  El paradigma FileNetSystem, implica que desde una única consola se pueden gestionar, de manera independiente, cada uno de los Clouds de Sistemas de Almacenamiento  Su sistema de gestión permite la auto-configuración en las ampliaciones de módulos. Los propios módulos controladores, son capaces de detectar una nueva infraestructura y adaptar la configuración presente a la ampliación, ofreciendo al administrador las opciones disponibles, facilitando el escalado de sistemas • bugScout BackEnd proporciona los siguientes beneficios:  Compliance con regulaciones y leyes  Recuperación ante fallos hardware  Larga viabilidad de los recursos IT  Activos en entornos físicos securizados  Aislamiento de los datos
¿Por qué es la mejor solución? • bugScout ha sido diseñada por uno de los mejores equipos de seguridad con proyectos a nivel mundial • No requiere amplios conocimientos de seguridad • bugScout consigue los mejores ratios de detección y falsos positivos del mercado • Es la primera herramienta que posee motores independientes por lenguaje, rechazando la conversión a pseudo-código. De esta forma se amplía el ratio de detección, siendo capaz de localizar errores como librerías deprecadas, funciones vulnerables, información sensible en comentarios, etc. • bugScout propone soluciones efectivas para generar aplicativos seguros • Permite gestionar con facilidad las vulnerabilidades, realizar informes, almacenar documentación, consultar estadísticas, control de históricos…
www.buguroo.com Para más información contacte con: sales@buguroo.com Tel.: (34) 917 816 160 Plaza Marqués de Salamanca, 3-4, 28006 Madrid

Recommandé

Seguridad, privacidad y medidas de prevención. amenazas informaticas
Seguridad, privacidad y medidas de prevención. amenazas informaticasSeguridad, privacidad y medidas de prevención. amenazas informaticas
Seguridad, privacidad y medidas de prevención. amenazas informaticas
AnnaCecyDS
 
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
Symantec LATAM
 
Retos de la administración
Retos de la administraciónRetos de la administración
Retos de la administración
Universidad
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
ktyk_9329
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
Zorayda81
 
Taller Cloud Panda Security. Israel Ortega
Taller Cloud Panda Security. Israel OrtegaTaller Cloud Panda Security. Israel Ortega
Taller Cloud Panda Security. Israel Ortega
andalucialab
 
Decisão da justiça fedral do paraná
Decisão da justiça fedral do paranáDecisão da justiça fedral do paraná
Decisão da justiça fedral do paraná
Cleuber Carlos Nascimento
 
Louvar nos períodios difíceis!
Louvar nos períodios difíceis!Louvar nos períodios difíceis!
Louvar nos períodios difíceis!
Dennis Edwards
 

Recommandé

Seguridad, privacidad y medidas de prevención. amenazas informaticas
Seguridad, privacidad y medidas de prevención. amenazas informaticasSeguridad, privacidad y medidas de prevención. amenazas informaticas
Seguridad, privacidad y medidas de prevención. amenazas informaticas
AnnaCecyDS
 
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
Symantec LATAM
 
Retos de la administración
Retos de la administraciónRetos de la administración
Retos de la administración
Universidad
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
ktyk_9329
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
Zorayda81
 
Taller Cloud Panda Security. Israel Ortega
Taller Cloud Panda Security. Israel OrtegaTaller Cloud Panda Security. Israel Ortega
Taller Cloud Panda Security. Israel Ortega
andalucialab
 
Decisão da justiça fedral do paraná
Decisão da justiça fedral do paranáDecisão da justiça fedral do paraná
Decisão da justiça fedral do paraná
Cleuber Carlos Nascimento
 
Louvar nos períodios difíceis!
Louvar nos períodios difíceis!Louvar nos períodios difíceis!
Louvar nos períodios difíceis!
Dennis Edwards
 
2012, el mundo no se va a acabar www.gftaognosticaespiritual.org
2012, el mundo no se va a acabar www.gftaognosticaespiritual.org2012, el mundo no se va a acabar www.gftaognosticaespiritual.org
2012, el mundo no se va a acabar www.gftaognosticaespiritual.org
Tao Gnostica Espiritual
 
Bleach Mangá Capitulo 496 em Portugues
Bleach Mangá Capitulo 496 em PortuguesBleach Mangá Capitulo 496 em Portugues
Bleach Mangá Capitulo 496 em Portugues
Ruy Dantas
 
Tabela Segunda Fase Copa do Brasil 2012
Tabela Segunda Fase Copa do Brasil 2012Tabela Segunda Fase Copa do Brasil 2012
Tabela Segunda Fase Copa do Brasil 2012
Cleuber Carlos Nascimento
 
Condenação kajuru
Condenação kajuruCondenação kajuru
Condenação kajuru
Cleuber Carlos Nascimento
 
Actividad nº 2
Actividad nº 2Actividad nº 2
Actividad nº 2
aurajesenia87
 
Final_report
Final_reportFinal_report
Final_report
ashish23993
 
San valentin karen
San valentin karenSan valentin karen
San valentin karen
Karen Cabrera
 
Test 1 d..
Test 1 d..Test 1 d..
Test 1 d..
Johanna Ballen
 
Tratamiento de conductos en 46 con mesiocentral confluyente
Tratamiento de conductos en 46 con mesiocentral confluyente Tratamiento de conductos en 46 con mesiocentral confluyente
Tratamiento de conductos en 46 con mesiocentral confluyente
Óliver Valencia de Pablo
 
Revista veritas 03
Revista veritas 03Revista veritas 03
Revista veritas 03
Veritas Supermercats
 
Dios tomo la forma de una montaña
Dios tomo la forma de una montañaDios tomo la forma de una montaña
Dios tomo la forma de una montaña
Mab Davilla
 
LA CRÓNICA 664
LA CRÓNICA 664LA CRÓNICA 664
LA CRÓNICA 664
La Crónica Comarca de Antequera
 
LA CRÓNICA 646
LA CRÓNICA 646LA CRÓNICA 646
LA CRÓNICA 646
La Crónica Comarca de Antequera
 
Business plan
Business planBusiness plan
Business plan
Ahmed Metawee
 
Mareas y corrientes
Mareas y corrientesMareas y corrientes
Mareas y corrientes
Silvia López Teba
 
Power
Power Power
Power
equipobase4
 
Stella Bayles PR coverage highlights
Stella Bayles PR coverage highlights Stella Bayles PR coverage highlights
Stella Bayles PR coverage highlights
Stella Bayles
 
Revista pediatrica ed4
Revista pediatrica ed4Revista pediatrica ed4
Revista pediatrica ed4
DireccionGH
 
Virus um grupo a parte
Virus um grupo a parteVirus um grupo a parte
Virus um grupo a parte
Joselito Oliveira Neto
 
Antivirus Gateways Architecture Design
Antivirus Gateways Architecture DesignAntivirus Gateways Architecture Design
Antivirus Gateways Architecture Design
Conferencias FIST
 
ESET Security Report - LATINOAMÉRICA 2012
ESET Security Report - LATINOAMÉRICA 2012ESET Security Report - LATINOAMÉRICA 2012
ESET Security Report - LATINOAMÉRICA 2012
ESET Latinoamérica
 
Infraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones web
Infraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones webInfraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones web
Infraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones web
HostDime Latinoamérica
 

Contenu connexe

En vedette

Bleach Mangá Capitulo 496 em Portugues
Bleach Mangá Capitulo 496 em PortuguesBleach Mangá Capitulo 496 em Portugues
Bleach Mangá Capitulo 496 em Portugues
Ruy Dantas
 
Tratamiento de conductos en 46 con mesiocentral confluyente
Tratamiento de conductos en 46 con mesiocentral confluyente Tratamiento de conductos en 46 con mesiocentral confluyente
Tratamiento de conductos en 46 con mesiocentral confluyente
Óliver Valencia de Pablo
 
Dios tomo la forma de una montaña
Dios tomo la forma de una montañaDios tomo la forma de una montaña
Dios tomo la forma de una montaña
Mab Davilla
 

En vedette (19)

2012, el mundo no se va a acabar www.gftaognosticaespiritual.org
2012, el mundo no se va a acabar www.gftaognosticaespiritual.org2012, el mundo no se va a acabar www.gftaognosticaespiritual.org
2012, el mundo no se va a acabar www.gftaognosticaespiritual.org
 
Bleach Mangá Capitulo 496 em Portugues
Bleach Mangá Capitulo 496 em PortuguesBleach Mangá Capitulo 496 em Portugues
Bleach Mangá Capitulo 496 em Portugues
 
Tabela Segunda Fase Copa do Brasil 2012
Tabela Segunda Fase Copa do Brasil 2012Tabela Segunda Fase Copa do Brasil 2012
Tabela Segunda Fase Copa do Brasil 2012
 
Condenação kajuru
Condenação kajuruCondenação kajuru
Condenação kajuru
 
Actividad nº 2
Actividad nº 2Actividad nº 2
Actividad nº 2
 
Final_report
Final_reportFinal_report
Final_report
 
San valentin karen
San valentin karenSan valentin karen
San valentin karen
 
Test 1 d..
Test 1 d..Test 1 d..
Test 1 d..
 
Tratamiento de conductos en 46 con mesiocentral confluyente
Tratamiento de conductos en 46 con mesiocentral confluyente Tratamiento de conductos en 46 con mesiocentral confluyente
Tratamiento de conductos en 46 con mesiocentral confluyente
 
Revista veritas 03
Revista veritas 03Revista veritas 03
Revista veritas 03
 
Dios tomo la forma de una montaña
Dios tomo la forma de una montañaDios tomo la forma de una montaña
Dios tomo la forma de una montaña
 
LA CRÓNICA 664
LA CRÓNICA 664LA CRÓNICA 664
LA CRÓNICA 664
 
LA CRÓNICA 646
LA CRÓNICA 646LA CRÓNICA 646
LA CRÓNICA 646
 
Business plan
Business planBusiness plan
Business plan
 
Mareas y corrientes
Mareas y corrientesMareas y corrientes
Mareas y corrientes
 
Power
Power Power
Power
 
Stella Bayles PR coverage highlights
Stella Bayles PR coverage highlights Stella Bayles PR coverage highlights
Stella Bayles PR coverage highlights
 
Revista pediatrica ed4
Revista pediatrica ed4Revista pediatrica ed4
Revista pediatrica ed4
 
Virus um grupo a parte
Virus um grupo a parteVirus um grupo a parte
Virus um grupo a parte
 

Similaire à Presentamos bugScout

Antivirus Gateways Architecture Design
Antivirus Gateways Architecture DesignAntivirus Gateways Architecture Design
Antivirus Gateways Architecture Design
Conferencias FIST
 
ESET Security Report - LATINOAMÉRICA 2012
ESET Security Report - LATINOAMÉRICA 2012ESET Security Report - LATINOAMÉRICA 2012
ESET Security Report - LATINOAMÉRICA 2012
ESET Latinoamérica
 
Estrategias para gestionar riesgo ante amenazas avanzadas
Estrategias para gestionar riesgo ante amenazas avanzadasEstrategias para gestionar riesgo ante amenazas avanzadas
Estrategias para gestionar riesgo ante amenazas avanzadas
Gabriel Marcos
 
[Salta] Control absoluto. Manejo de identidades.
[Salta] Control absoluto. Manejo de identidades.[Salta] Control absoluto. Manejo de identidades.
[Salta] Control absoluto. Manejo de identidades.
IBMSSA
 
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gabriel Marcos
 
SVT CloudJacket Service
SVT CloudJacket ServiceSVT CloudJacket Service
SVT CloudJacket Service
Josep Bardallo
 
Evento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadasEvento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadas
Gabriel Marcos
 

Similaire à Presentamos bugScout (20)

Antivirus Gateways Architecture Design
Antivirus Gateways Architecture DesignAntivirus Gateways Architecture Design
Antivirus Gateways Architecture Design
 
ESET Security Report - LATINOAMÉRICA 2012
ESET Security Report - LATINOAMÉRICA 2012ESET Security Report - LATINOAMÉRICA 2012
ESET Security Report - LATINOAMÉRICA 2012
 
Infraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones web
Infraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones webInfraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones web
Infraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones web
 
Cómo controlar los riesgos de seguridad de las redes sociales
Cómo controlar los riesgos de seguridad de las redes socialesCómo controlar los riesgos de seguridad de las redes sociales
Cómo controlar los riesgos de seguridad de las redes sociales
 
Seguridad infor
Seguridad inforSeguridad infor
Seguridad infor
 
Seguridad infor
Seguridad inforSeguridad infor
Seguridad infor
 
Desarrollo de aplicaciones seguras
Desarrollo de aplicaciones segurasDesarrollo de aplicaciones seguras
Desarrollo de aplicaciones seguras
 
Estrategias para gestionar riesgo ante amenazas avanzadas
Estrategias para gestionar riesgo ante amenazas avanzadasEstrategias para gestionar riesgo ante amenazas avanzadas
Estrategias para gestionar riesgo ante amenazas avanzadas
 
Presentación csirt campus 21 OCT 2011
Presentación csirt campus 21 OCT 2011Presentación csirt campus 21 OCT 2011
Presentación csirt campus 21 OCT 2011
 
[Salta] Control absoluto. Manejo de identidades.
[Salta] Control absoluto. Manejo de identidades.[Salta] Control absoluto. Manejo de identidades.
[Salta] Control absoluto. Manejo de identidades.
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones Seguras
 
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
 
Recursos de la economía sumergida
Recursos de la economía sumergidaRecursos de la economía sumergida
Recursos de la economía sumergida
 
La infraestructura tecnológica necesaria para la operatividad de un Centro de...
La infraestructura tecnológica necesaria para la operatividad de un Centro de...La infraestructura tecnológica necesaria para la operatividad de un Centro de...
La infraestructura tecnológica necesaria para la operatividad de un Centro de...
 
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
 
SVT CloudJacket Service
SVT CloudJacket ServiceSVT CloudJacket Service
SVT CloudJacket Service
 
Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011
 
Evento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadasEvento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadas
 
Sistema Monitoreo fukl
Sistema Monitoreo fuklSistema Monitoreo fukl
Sistema Monitoreo fukl
 

Dernier

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Dernier (12)

Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 

Presentamos bugScout

  • 1. Para más información contacte con: sales@buguroo.com
  • 2. Problemática actual Amenazas ‘Crean una extensión que permite entrar en las cuentas de Facebook y Twitter’ Multas Source: www.elmundo.es ‘Multa récord de 2.8 M.€ a la filial británica de la aseguradora Zurich por haber Desprotección "perdido" datos de decenas ‘Cómo fue el ataque de de miles de clientes’ Source: AFP Stuxnet, dirigido contra instalaciones nucleares de Irán’ Source: www.elpais.com
  • 3. Riesgos de una programación no segura Amenazas ‘El 95% de los ataques en Internet van contra el aplicativo’ Multas ‘El resultado de un ataque o pérdida de datos implica graves consecuencias Desprotección legales a la compañía’ ‘Más del 90% de las vulnerabilidades en Internet están en el código’
  • 4. Estadísticas: Vulnerabilidades en aplicativos en Internet (1 de 2) % Vulnerabilidades localizadas por cada tipo de test 100 80 60 Urgent 40 Critical 20 High 0 Medium % Sites (All) % Sites % Sites % Sites Low (Scans) (Blackbox) (WhiteBox) Source: WASC (web application security consortium)
  • 5. Estadísticas: Vulnerabilidades en aplicativos en Internet (2 de 2) % Vulnerabilidades más comunes % Sectores afectados por ataques 7% 11% 5% 3% 12% XSS 4% Finance Education 39% 19% 4% Information Social/Web Leakage 12% Media Retail 7% SQLi Technology Internet Goverment Insufficent Entertainment Transport Layer Protection 16% Fingerprinting 12% 32% Source: WASC (web application security consortium)
  • 6. Limitaciones de las soluciones actuales Limitaciones de las auditorías caja negra • No auditan todo el aplicativo Limitaciones de las auditorías manuales • Costes. A pesar de ser una de las soluciones más • Son menos precisas efectivas, la magnitud del código fuente es tan inmensa, que suelen desestimarse por motivos de coste • Pueden incurrir en degradaciones del servicio • Tiempos de espera. La entrega de informes requiere de tiempos de espera tan prolongados, que a menudo se pasa a explotación sin esperar a la obtención de resultados Limitaciones comunes a ambas auditorías • Dependen de que el desarrollo esté terminado • No contemplan vulnerabilidades a futuro. Cada día se descubren nuevos agujeros de seguridad • No contemplan actualizaciones de software, provocando la rápida obsolescencia del trabajo auditado
  • 7. Nuestra solución: • buguroo ha diseñado y puesto en marcha bugScout, el servicio gestionado más potente del mercado, de análisis de vulnerabilidades en código fuente:  bugScout detecta automáticamente más del 94% de las vulnerabilidades presentes en el código. Es la solución más potente del mercado: su competencia sólo detecta un 60% de las vulnerabilidades existentes  Funciona de manera descentralizada en la nube, permitiendo escalabilidad ilimitada  bugScout permite a sus partners, mediante su solución de appliances, la creación y gestión de sus propias nubes  bugScout está diseñado para auditar simultáneamente múltiples códigos, sin penalización en el rendimiento
  • 8. Ventajas (1 de 2)  bugScout reduce el coste de auditoría manual en más de un  bugScout se integra en 90% el ciclo de desarrollo de software, agilizando los procesos de  bugScout permite negocio minimizar los tiempos de espera de resultados en más de un 99%
  • 9. Ventajas (2 de 2) • bugScout permite la corrección de errores a tiempo real, fomentando el aprendizaje del equipo de desarrollo • bugScout audita por completo la aplicación • Las auditorías con bugScout son más precisas, su tecnología permite rastrear eficazmente el código en su totalidad • Evita errores no controlados: Denegación del servicio, ataques de spam no previstos… • bugScout permite actualizar firmas a tiempo real de carácter público y privado, debido a al carácter recurrente de su tecnología • bugScout se integra con el ciclo de desarrollo de software • bugScout se conecta directamente al repositorio de desarrollo, pudiendo auditar el software, desde el minuto uno, sin interrumpir el proceso productivo
  • 10. - Tecnología y funcionalidades • bugScout consta de una consola web desde la que se ofrecen múltiples funcionalidades para operar con el código, sin necesidad de agentes pesados ni instalación previa de software en el cliente • Asimismo cuenta con:  Un sistema de detección de vulnerabilidades públicas y privadas actualizado al día  Plataforma multi-auditoría, capaz de analizar códigos de manera simultánea sin interferir en el rendimiento y tiempos de la misma  Plataforma multiusuario con granularidad de accesos y permisos
  • 11. El entorno - Acceso al portal
  • 12. El entorno - Modular, extensible y escalable … …… … Tareas Licencias Consultas Tareas Licencias Consultas FRAMEWORK 1 FRAMEWORK N BUS DE COMUNICACIONES DISTRIBUIDO (BACKEND) BUS DE COMUNICACIONES DISTRIBUIDO (BACKEND) CORE 1 …. N ENGINE Sheduler Tareas Licencias Resultado Motor N … Descompresión Fam. 1 P1 Cond. 1 Descifrado .. .. .. Motor 1 Core Engine Fam. N PN Cond. N
  • 13. El entorno - Modular, extensible y escalable 1. Framework. Interfaz para el usuario con acceso hasta 6 módulos 2. Core. Analizador de código fuente 3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de vulnerabilidades y soluciones
  • 14. Framework - Módulos (1 de 5) 1. Dashboard • Menú inicial configurable por usuario donde podrá, de un vistazo, repasarse la seguridad de los aplicativos de la compañía • El área de trabajo es editable, pueden añadirse, modificarse y/o eliminar los gráficos, así como reordenarlos o redimensionarlos mediante Drag&Drop • Las gráficas además, son interactuables, por lo que pasando el cursor por encima pueden observarse los valores que representan • Para hacer esto posible, el diseño ha sido realizado contando con las más modernas técnicas de web 2.0, sin renunciar a seguridad y rendimiento
  • 15. Framework - Módulos: Dashboard (2 de 5)
  • 16. Framework - Módulos (3 de 5) 2. Proyectos • Desde este módulo pueden clasificarse los proyectos y aplicativos, para posteriormente realizar análisis • También desde este apartado es posible: solicitar auditorías manuales, re-auditar código para comprobar su evolución, solicitar que un auditor realice un test de intrusión, generar un informe o consultar vulnerabilidades 3. Gestor documental • Sencillo gestor documental donde pueden consultarse los informes generados de manera automática o manual, documentación de ayuda sobre la herramienta, generación de claves de criptografía asimétrica y realizarse las subidas seguras del código fuente a auditar
  • 17. Framework - Módulos (4 de 5) 4. Vulnerabilidades • Apartado desde el que trabajar con los resultados de las auditorías, pudiendo comprobar las soluciones propuestas, referencias, explicaciones sobre las vulnerabilidades, etc. 5. Informes • Configurador a medida para generar reportes ejecutivos o técnicos, a diferentes niveles 6. Administración • Módulo habilitado para la gestión de usuarios, grupos y roles • Menú orientado a la creación y estructura jerárquica de empresas (clientes, proveedores o mayoristas) • Es posible configurar el look&feel de la interfaz conforme a los patrones y logos corporativos de cada empresa, y generar así los informes a medida para cada empresa
  • 18. Framework - Módulos: Proyectos (5 de 5)
  • 19. El entorno - Modular, extensible y escalable 1. Framework. Interfaz para el usuario con acceso hasta 6 módulos 2. Core. Analizador de código fuente 3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de vulnerabilidades y soluciones
  • 20. Core (1 de 4) 2. Core • bugScout Core consiste en un sistema de reconocimiento de patrones vulnerables del software analizado. El proceso completo proporciona un análisis del código de máxima fiabilidad para detectar patrones que permitirían a un intruso el acceso a datos no autorizados. • Principales funcionalidades: 1. Detección del lenguaje a procesar 2. Análisis léxico 3. Análisis sintáctico 4. Generación del modelado de la arquitectura software del aplicativo 5. Análisis del flujo de datos 6. Detección de patrones vulnerables 7. Discriminación de falsos positivos 8. Comunicación de las posibles vulnerabilidades encontradas
  • 21. Core (2 de 4) - Principales Funcionalidades Generación del modelado de la Detección del Análisis léxico Análisis sintáctico arquitectura software del lenguaje a procesar aplicativo Comunicación de las Discriminación de Detección de Análisis del flujo de posibles vulnerabilidades falsos positivos patrones vulnerables datos encontradas
  • 22. Core - Principales Funcionalidades (3 de 4) 2. Core 1. Detección del lenguaje a procesar: utilizando diferentes filtros y patrones, bugScout Core determina qué lenguaje contiene cada fichero y procede a generar las estructuras básicas para continuar con el proceso 2. Análisis léxico: proceso esencial para iniciar el análisis de un lenguaje, para lograrlo bugScout Core se integra directamente con los analizadores léxicos propios para cada lenguaje 3. Análisis sintáctico: bugScout Core utiliza los analizadores sintácticos que define cada propio lenguaje, ya que es la manera más precisa posible de perfilar las fuentes. Requiriendo, en ocasiones, ciertas modificaciones de los mismos, a fin de poder realizar la construcción de la arquitectura software del aplicativo 4. Generación del modelado de la arquitectura software del aplicativo: consiste en la representación en memoria del código que a analizar, pero con un mayor grado de computabilidad, lo que permite ejecutar operaciones sobre el árbol que requieren un esfuerzo computacional alto, en tiempos mínimos
  • 23. Core - Principales Funcionalidades (4 de 4) 2. Core 5. Análisis del flujo de datos: consiste en la propia compresión del código fuente que se analizará a fin poder determinar si el código contiene patrones de vulnerabilidades 6. Detección de patrones vulnerables: para la búsqueda de vulnerabilidades, bugScout Core apostará una compleja arquitectura de plug-ins, que facilitará las actualizaciones futuras de firmas en base a nuevos patrones vulnerables. A través de estos plug-ins basados en expresiones regulares formadas ex profeso para cada lenguaje en específico, se puede determinar con un grado de probabilidad alto, si existe una vulnerabilidad en el código 7. Discriminación de falsos positivos: realiza el backtracking y descarte necesarios, en función de las condiciones que el patrón encontrado, represente dentro de ese código concreto, confirmando si existe o no un riesgo real en tal patrón 8. Comunicación de las posibles vulnerabilidades encontradas: en este proceso bugScout Core comunica a la parte visual, la existencia de los fallos de seguridad en el código para mostrarlos
  • 24. El entorno - Modular, extensible y escalable 1. Framework. Interfaz para el usuario con acceso hasta 6 módulos 2. Core. Analizador de código fuente 3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de vulnerabilidades y soluciones
  • 25. BackEnd (1 de 4) 3. BackEnd • bugScout BackEnd almacena en Cloud los datos con los que trabaja la herramienta. Nuestro modelo de BackEnd, incorpora tecnologías de última generación, que permiten compatibilizar la máxima eficiencia de los datos almacenados, con la seguridad propia de un entorno de máxima seguridad • Ventajas  Mejora de tiempos de desarrollo  Incremento de la eficacia  Escalabilidad  Flexibilidad  Disponibilidad  Gestión  Seguridad
  • 26. BackEnd (2 de 4) Data flow Control flow Controlller Unit Conector Data BBDD 1…N BBDD Controller BBDD
  • 27. BackEnd (3 de 4) 3. BackEnd • La arquitectura de bugScout BackEnd presenta un diseño ágil y conceptualmente sencillo, lo que permite desarrollar un entorno veloz y flexible • La integración de la tecnología Cloud Storage, dota a nuestros sistemas y redes de capacidad para crecer y escalar, con una gestión manual mínima • La seguridad es una parte integral de la computación en la nube. Un diseño de arquitectura de una agrupación de sistemas que trabajarán directamente sobre información altamente sensible, debe proteger en consecuencia dicha información. bugScout BackEnd va un paso más allá al considerar que Cloud Storage implica integrar la nube con tres servicios adicionales fundamentales:  Redimensionamiento  Recuperación ante desastres  Seguridad de los datos y comunicaciones
  • 28. BackEnd (4 de 4) 3. BackEnd • bugScout BackEnd presenta un sistema de gestión seguro, flexible y escalable:  El paradigma FileNetSystem, implica que desde una única consola se pueden gestionar, de manera independiente, cada uno de los Clouds de Sistemas de Almacenamiento  Su sistema de gestión permite la auto-configuración en las ampliaciones de módulos. Los propios módulos controladores, son capaces de detectar una nueva infraestructura y adaptar la configuración presente a la ampliación, ofreciendo al administrador las opciones disponibles, facilitando el escalado de sistemas • bugScout BackEnd proporciona los siguientes beneficios:  Compliance con regulaciones y leyes  Recuperación ante fallos hardware  Larga viabilidad de los recursos IT  Activos en entornos físicos securizados  Aislamiento de los datos
  • 29. ¿Por qué es la mejor solución? • bugScout ha sido diseñada por uno de los mejores equipos de seguridad con proyectos a nivel mundial • No requiere amplios conocimientos de seguridad • bugScout consigue los mejores ratios de detección y falsos positivos del mercado • Es la primera herramienta que posee motores independientes por lenguaje, rechazando la conversión a pseudo-código. De esta forma se amplía el ratio de detección, siendo capaz de localizar errores como librerías deprecadas, funciones vulnerables, información sensible en comentarios, etc. • bugScout propone soluciones efectivas para generar aplicativos seguros • Permite gestionar con facilidad las vulnerabilidades, realizar informes, almacenar documentación, consultar estadísticas, control de históricos…
  • 30. www.buguroo.com Para más información contacte con: sales@buguroo.com Tel.: (34) 917 816 160 Plaza Marqués de Salamanca, 3-4, 28006 Madrid