10. Qué es SDL?
• El Microsoft SDL es el Ciclo de Vida del Desarrollo
Seguro.
• Introduce consideraciones de seguridad y privacidad
en todas las fases del proceso de desarrollo.
• Ayudar a los desarrolladores a desarrollar software
altamente seguro, abordando los requisitos de
cumplimiento de seguridad y reducir los costos de
desarrollo.
• La orientación, las mejores prácticas, las herramientas
y los procesos en el SDL de Microsoft son prácticas
que utilizan internamente para crear sus productos y
servicios más seguros. Desde que se compartió por
primera vez en 2008, han actualizado las prácticas
como resultado de su creciente experiencia con
nuevos escenarios, como la nube, Internet de las
cosas (IoT) e inteligencia artificial (IA).
https://www.microsoft.com/en-us/securityengineering/sdl/
12. Por qué debo aplicar SDL?
• Cumplimiento regulatorio de manejo de información (Privacidad
de Información).
• Aumento de confianza y credibilidad de sus clientes.
• Reducción de esfuerzo y costos en desarrollo.
https://www.microsoft.com/en-us/securityengineering/sdl/
13. Cuándo debo usar SDL?
• Arquitecturas empresariales, negocio o organización.
• Arquitecturas que manejen información de identificación
personal (PII).
• Arquitecturas expuestas en internet u otras redes.
• Aplicaciones que procesen datos de fuentes no autenticadas.
• Funcionalidades que procesen archivos que no están
protegidos.
https://www.microsoft.com/en-us/securityengineering/sdl/
15. Por dónde empiezo?
Identificando
Conociendo el nivel de
madurez posee mi
organización.
Auto evaluando
Revisar la guía para
evaluar el nivel de
madurez.
Implementando
Usar la guía de recursos
para crear un plan de
implementación para el
avance de la Madurez
https://www.microsoft.com/en-us/securityengineering/sdl/
17. Modelado de Amenazas
• Es un elemento central del
Ciclo de vida de desarrollo
seguro de Microsoft (SDL). Es
una técnica de ingeniería que
puede usar para ayudarlo a
identificar amenazas,
ataques, vulnerabilidades y
contramedidas que podrían
afectar su arquitectura.
Puede utilizar el modelado
de amenazas para dar forma
al diseño de su arquitectura,
cumplir con los objetivos de
seguridad de su empresa y
reducir el riesgo.
https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
18. Objetivos
• Definir los requisitos de
seguridad.
• Crear un diagrama de
arquitectura.
• Identificar amenazas.
• Mitigar Amenazas.
• Validar que las amenazas
han sido mitigadas.
https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
19. Beneficios
• No requiere ser experto en
seguridad.
• Poseer una herramienta de
comunicación sobre el diseño
de seguridad de sus sistemas.
• Tendrá la capacidad de analizar
esos diseños, para detectar
posibles problemas de
seguridad utilizando una
metodología probada.
• Podrás sugerir y gestionar
mitigaciones por problemas de
seguridad.
https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
20. STRIDE (Amenaza) y DREAD (Riesgo)
https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
Amenaza Propiedad Deseada
Spoofing Autenticidad
Tampering Integridad
Repudiation No Repudiable
Information
disclosure
Confidencialidad
Denial of Service Disponibilidad
Elevation of
Privilege
Autorización
22. Referencias
• Microsoft Threat Modeling Tool
• Guía de Microsoft SDL
• Prácticas SDL
• Más Recursos y Herramientas
• OWASP Zed Attack Proxy(ZAP)
• Mitigaciones Microsoft SDL