SlideShare una empresa de Scribd logo
Para más información contacte con:
sales@buguroo.com
Problemática actual


        Amenazas
  ‘Crean una extensión que
permite entrar en las cuentas
    de Facebook y Twitter’                                             Multas
      Source: www.elmundo.es
                                                             ‘Multa récord de 2.8 M.€ a la
                                                                  filial británica de la
                                                             aseguradora Zurich por haber
                                   Desprotección              "perdido" datos de decenas
                                 ‘Cómo fue el ataque de          de miles de clientes’
                                                                       Source: AFP
                                 Stuxnet, dirigido contra
                               instalaciones nucleares de
                                           Irán’
                                    Source: www.elpais.com
Riesgos de una programación no segura


       Amenazas
 ‘El 95% de los ataques en
   Internet van contra el
         aplicativo’                                       Multas
                                                  ‘El resultado de un ataque
                                                  o pérdida de datos implica
                                                     graves consecuencias
                         Desprotección              legales a la compañía’
                       ‘Más del 90% de las
                       vulnerabilidades en
                   Internet están en el código’
Estadísticas: Vulnerabilidades en aplicativos en Internet (1 de 2)


             % Vulnerabilidades localizadas por cada tipo de test

      100
        80
        60                                                                   Urgent
        40                                                                   Critical

        20                                                                   High

         0                                                                   Medium

              % Sites (All)   % Sites     % Sites         % Sites            Low
                              (Scans)   (Blackbox)      (WhiteBox)

                                          Source: WASC (web application security consortium)
Estadísticas: Vulnerabilidades en aplicativos en Internet (2 de 2)


 % Vulnerabilidades más comunes                 % Sectores afectados por ataques

                                                                 7%
               11%                                                             5%
          3%                                           12%
                              XSS
     4%                                                                                         Finance
                                                                                                Education
                        39%                                                               19%
4%                            Information                                                       Social/Web
                              Leakage           12%                                             Media
                                                                                                Retail
7%                            SQLi                                                              Technology
                                                                                                Internet
                                                                                                Goverment
                              Insufficent
                                                                                                Entertainment
                              Transport Layer
                              Protection                                            16%
                              Fingerprinting           12%
                32%




                                                      Source: WASC (web application security consortium)
Limitaciones de las soluciones actuales


                                                                   Limitaciones de las auditorías caja negra
                                                               •    No auditan todo el aplicativo
     Limitaciones de las auditorías manuales
•   Costes. A pesar de ser una de las soluciones más
                                                               •    Son menos precisas
    efectivas, la magnitud del código fuente es tan inmensa,
    que suelen desestimarse por motivos de coste
                                                               •    Pueden incurrir en degradaciones del servicio
•   Tiempos de espera. La entrega de informes requiere de
    tiempos de espera tan prolongados, que a menudo se
    pasa a explotación sin esperar a la obtención de
    resultados
                                                                   Limitaciones comunes a ambas auditorías
•   Dependen de que el desarrollo esté terminado               •    No contemplan vulnerabilidades a futuro. Cada
                                                                    día se descubren nuevos agujeros de seguridad

                                                               •    No contemplan actualizaciones de software,
                                                                    provocando la rápida obsolescencia del trabajo
                                                                    auditado
Nuestra solución:

•   buguroo ha diseñado y puesto en marcha bugScout, el servicio gestionado más potente del
    mercado, de análisis de vulnerabilidades en código fuente:

      bugScout detecta automáticamente más del 94% de las vulnerabilidades presentes en el código. Es
        la solución más potente del mercado: su competencia sólo detecta un 60% de las vulnerabilidades
        existentes

      Funciona de manera descentralizada en la nube, permitiendo escalabilidad ilimitada

      bugScout permite a sus partners, mediante su solución de appliances, la creación y gestión de sus
        propias nubes

      bugScout está diseñado para auditar simultáneamente múltiples códigos, sin penalización en el
        rendimiento
Ventajas (1 de 2)



 bugScout reduce el
  coste de auditoría
  manual en más de un
                                             bugScout se integra en
  90%
                                              el ciclo de desarrollo
                                              de software, agilizando
                                              los procesos de
                 bugScout permite            negocio
                  minimizar los tiempos
                  de espera de resultados
                  en más de un 99%
Ventajas (2 de 2)

•   bugScout permite la corrección de errores a tiempo real, fomentando el aprendizaje del equipo de
    desarrollo

•   bugScout audita por completo la aplicación

•   Las auditorías con bugScout son más precisas, su tecnología permite rastrear eficazmente el código en su
    totalidad

•   Evita errores no controlados: Denegación del servicio, ataques de spam no previstos…

•   bugScout permite actualizar firmas a tiempo real de carácter público y privado, debido a al carácter
    recurrente de su tecnología

•   bugScout se integra con el ciclo de desarrollo de software

•   bugScout se conecta directamente al repositorio de desarrollo, pudiendo auditar el software, desde el
    minuto uno, sin interrumpir el proceso productivo
- Tecnología y funcionalidades


•   bugScout consta de una consola web desde la que se ofrecen múltiples funcionalidades para operar con el
    código, sin necesidad de agentes pesados ni instalación previa de software en el cliente

•   Asimismo cuenta con:
        Un sistema de detección de vulnerabilidades públicas y privadas actualizado al día

        Plataforma multi-auditoría, capaz de analizar códigos de manera simultánea sin interferir en el rendimiento y tiempos
         de la misma

        Plataforma multiusuario con granularidad de accesos y permisos
El entorno   - Acceso al portal
El entorno                               - Modular, extensible y escalable


             …                                       ……                              …
    Tareas        Licencias     Consultas                                 Tareas            Licencias   Consultas

              FRAMEWORK 1                                                               FRAMEWORK N


BUS DE COMUNICACIONES DISTRIBUIDO (BACKEND)                   BUS DE COMUNICACIONES DISTRIBUIDO (BACKEND)


                              CORE 1 …. N                     ENGINE



                                              Sheduler
 Tareas      Licencias                                                                                  Resultado
                                                                Motor N




                                                              …
                                              Descompresión

                                                                               Fam. 1          P1        Cond. 1
                                              Descifrado




                                                                                            ..
                                                                                            ..
                                                                            ..
                                                                Motor 1

 Core                                           Engine                             Fam. N      PN        Cond. N
El entorno                        - Modular, extensible y escalable




             1. Framework. Interfaz para el usuario con acceso hasta 6 módulos




             2. Core. Analizador de código fuente




             3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de
                 vulnerabilidades y soluciones
Framework - Módulos (1 de 5)


    1. Dashboard

•    Menú inicial configurable por usuario donde podrá, de un vistazo, repasarse la seguridad de los aplicativos
     de la compañía

•    El área de trabajo es editable, pueden añadirse, modificarse y/o eliminar los gráficos, así como
     reordenarlos o redimensionarlos mediante Drag&Drop

•    Las gráficas además, son interactuables, por lo que pasando el cursor por encima pueden observarse los
     valores que representan

•    Para hacer esto posible, el diseño ha sido realizado contando con las más modernas técnicas de web 2.0,
     sin renunciar a seguridad y rendimiento
Framework - Módulos: Dashboard (2 de 5)
Framework - Módulos (3 de 5)


    2. Proyectos

•    Desde este módulo pueden clasificarse los proyectos y aplicativos, para posteriormente realizar análisis

•    También desde este apartado es posible: solicitar auditorías manuales, re-auditar código para comprobar
     su evolución, solicitar que un auditor realice un test de intrusión, generar un informe o consultar
     vulnerabilidades


    3. Gestor documental

•    Sencillo gestor documental donde pueden consultarse los informes generados de manera automática o
     manual, documentación de ayuda sobre la herramienta, generación de claves de criptografía asimétrica y
     realizarse las subidas seguras del código fuente a auditar
Framework - Módulos (4 de 5)


    4. Vulnerabilidades

•    Apartado desde el que trabajar con los resultados de las auditorías, pudiendo comprobar las soluciones
     propuestas, referencias, explicaciones sobre las vulnerabilidades, etc.


    5. Informes

•    Configurador a medida para generar reportes ejecutivos o técnicos, a diferentes niveles


    6. Administración

•    Módulo habilitado para la gestión de usuarios, grupos y roles
•    Menú orientado a la creación y estructura jerárquica de empresas (clientes, proveedores o mayoristas)
•    Es posible configurar el look&feel de la interfaz conforme a los patrones y logos corporativos de cada
     empresa, y generar así los informes a medida para cada empresa
Framework - Módulos: Proyectos (5 de 5)
El entorno                        - Modular, extensible y escalable




             1. Framework. Interfaz para el usuario con acceso hasta 6 módulos




             2. Core. Analizador de código fuente




             3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de
                 vulnerabilidades y soluciones
Core (1 de 4)


    2. Core

•    bugScout Core consiste en un sistema de reconocimiento de patrones vulnerables del software analizado.
     El proceso completo proporciona un análisis del código de máxima fiabilidad para detectar patrones que
     permitirían a un intruso el acceso a datos no autorizados.

•    Principales funcionalidades:
      1.   Detección del lenguaje a procesar

      2.   Análisis léxico

      3.   Análisis sintáctico

      4.   Generación del modelado de la arquitectura software del aplicativo

      5.   Análisis del flujo de datos

      6.   Detección de patrones vulnerables

      7.   Discriminación de falsos positivos

      8.   Comunicación de las posibles vulnerabilidades encontradas
Core (2 de 4) - Principales Funcionalidades




                                                                           Generación del modelado de la
   Detección del               Análisis léxico      Análisis sintáctico
                                                                             arquitectura software del
lenguaje a procesar                                                                  aplicativo




  Comunicación de las           Discriminación de       Detección de             Análisis del flujo de
posibles vulnerabilidades        falsos positivos   patrones vulnerables                datos
      encontradas
Core - Principales Funcionalidades (3 de 4)


     2. Core

1.    Detección del lenguaje a procesar: utilizando diferentes filtros y patrones, bugScout Core determina qué
      lenguaje contiene cada fichero y procede a generar las estructuras básicas para continuar con el proceso

2.    Análisis léxico: proceso esencial para iniciar el análisis de un lenguaje, para lograrlo bugScout Core se
      integra directamente con los analizadores léxicos propios para cada lenguaje

3.    Análisis sintáctico: bugScout Core utiliza los analizadores sintácticos que define cada propio lenguaje, ya
      que es la manera más precisa posible de perfilar las fuentes. Requiriendo, en ocasiones, ciertas
      modificaciones de los mismos, a fin de poder realizar la construcción de la arquitectura software del
      aplicativo

4.    Generación del modelado de la arquitectura software del aplicativo: consiste en la representación en
      memoria del código que a analizar, pero con un mayor grado de computabilidad, lo que permite ejecutar
      operaciones sobre el árbol que requieren un esfuerzo computacional alto, en tiempos mínimos
Core - Principales Funcionalidades (4 de 4)


     2. Core

5.    Análisis del flujo de datos: consiste en la propia compresión del código fuente que se analizará a fin
      poder determinar si el código contiene patrones de vulnerabilidades

6.    Detección de patrones vulnerables: para la búsqueda de vulnerabilidades, bugScout Core apostará una
      compleja arquitectura de plug-ins, que facilitará las actualizaciones futuras de firmas en base a nuevos
      patrones vulnerables. A través de estos plug-ins basados en expresiones regulares formadas ex profeso
      para cada lenguaje en específico, se puede determinar con un grado de probabilidad alto, si existe una
      vulnerabilidad en el código

7.    Discriminación de falsos positivos: realiza el backtracking y descarte necesarios, en función de las
      condiciones que el patrón encontrado, represente dentro de ese código concreto, confirmando si existe o
      no un riesgo real en tal patrón

8.    Comunicación de las posibles vulnerabilidades encontradas: en este proceso bugScout Core comunica a
      la parte visual, la existencia de los fallos de seguridad en el código para mostrarlos
El entorno                        - Modular, extensible y escalable




             1. Framework. Interfaz para el usuario con acceso hasta 6 módulos




             2. Core. Analizador de código fuente




             3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de
                 vulnerabilidades y soluciones
BackEnd (1 de 4)


    3. BackEnd

•    bugScout BackEnd almacena en Cloud los datos con los que trabaja la herramienta. Nuestro modelo de
     BackEnd, incorpora tecnologías de última generación, que permiten compatibilizar la máxima eficiencia
     de los datos almacenados, con la seguridad propia de un entorno de máxima seguridad

•    Ventajas
         Mejora de tiempos de desarrollo

         Incremento de la eficacia

         Escalabilidad

         Flexibilidad

         Disponibilidad

         Gestión

         Seguridad
BackEnd (2 de 4)




                Data flow         Control flow




               Controlller Unit    Conector
Data


                                                    BBDD
                                              1…N




               BBDD Controller                      BBDD
BackEnd (3 de 4)


    3. BackEnd

•    La arquitectura de bugScout BackEnd presenta un diseño ágil y conceptualmente sencillo, lo que permite
     desarrollar un entorno veloz y flexible

•    La integración de la tecnología Cloud Storage, dota a nuestros sistemas y redes de capacidad para crecer y
     escalar, con una gestión manual mínima

•    La seguridad es una parte integral de la computación en la nube. Un diseño de arquitectura de una
     agrupación de sistemas que trabajarán directamente sobre información altamente sensible, debe
     proteger en consecuencia dicha información. bugScout BackEnd va un paso más allá al considerar que
     Cloud Storage implica integrar la nube con tres servicios adicionales fundamentales:
         Redimensionamiento

         Recuperación ante desastres

         Seguridad de los datos y comunicaciones
BackEnd (4 de 4)


    3. BackEnd

•    bugScout BackEnd presenta un sistema de gestión seguro, flexible y escalable:

         El paradigma FileNetSystem, implica que desde una única consola se pueden gestionar, de manera independiente,
          cada uno de los Clouds de Sistemas de Almacenamiento

         Su sistema de gestión permite la auto-configuración en las ampliaciones de módulos. Los propios módulos
          controladores, son capaces de detectar una nueva infraestructura y adaptar la configuración presente a la ampliación,
          ofreciendo al administrador las opciones disponibles, facilitando el escalado de sistemas

•    bugScout BackEnd proporciona los siguientes beneficios:
         Compliance con regulaciones y leyes

         Recuperación ante fallos hardware

         Larga viabilidad de los recursos IT

         Activos en entornos físicos securizados

         Aislamiento de los datos
¿Por qué                           es la mejor solución?


•   bugScout ha sido diseñada por uno de los mejores equipos de seguridad con proyectos a
    nivel mundial

•   No requiere amplios conocimientos de seguridad

•   bugScout consigue los mejores ratios de detección y falsos positivos del mercado

•   Es la primera herramienta que posee motores independientes por lenguaje, rechazando la
    conversión a pseudo-código. De esta forma se amplía el ratio de detección, siendo capaz de
    localizar errores como librerías deprecadas, funciones vulnerables, información sensible en
    comentarios, etc.

•   bugScout propone soluciones efectivas para generar aplicativos seguros

•   Permite gestionar con facilidad las vulnerabilidades, realizar informes, almacenar
    documentación, consultar estadísticas, control de históricos…
www.buguroo.com




                            Para más información contacte con:
                                           sales@buguroo.com
                                          Tel.: (34) 917 816 160
                  Plaza Marqués de Salamanca, 3-4, 28006 Madrid

Más contenido relacionado

Destacado

2012, el mundo no se va a acabar www.gftaognosticaespiritual.org
2012, el mundo no se va a acabar www.gftaognosticaespiritual.org2012, el mundo no se va a acabar www.gftaognosticaespiritual.org
2012, el mundo no se va a acabar www.gftaognosticaespiritual.org
Tao Gnostica Espiritual
 
Bleach Mangá Capitulo 496 em Portugues
Bleach Mangá Capitulo 496 em PortuguesBleach Mangá Capitulo 496 em Portugues
Bleach Mangá Capitulo 496 em Portugues
Ruy Dantas
 
Condenação kajuru
Condenação kajuruCondenação kajuru
Condenação kajuru
Cleuber Carlos Nascimento
 
Actividad nº 2
Actividad nº 2Actividad nº 2
Actividad nº 2
aurajesenia87
 
Final_report
Final_reportFinal_report
Final_report
ashish23993
 
San valentin karen
San valentin karenSan valentin karen
San valentin karen
Karen Cabrera
 
Test 1 d..
Test  1 d..Test  1 d..
Test 1 d..
Johanna Ballen
 
Tratamiento de conductos en 46 con mesiocentral confluyente
Tratamiento de conductos en 46 con mesiocentral confluyente  Tratamiento de conductos en 46 con mesiocentral confluyente
Tratamiento de conductos en 46 con mesiocentral confluyente
Óliver Valencia de Pablo
 
Revista veritas 03
Revista veritas 03Revista veritas 03
Revista veritas 03
Veritas Supermercats
 
Dios tomo la forma de una montaña
Dios tomo la forma de una montañaDios tomo la forma de una montaña
Dios tomo la forma de una montaña
Mab Davilla
 
LA CRÓNICA 664
LA CRÓNICA 664LA CRÓNICA 664
LA CRÓNICA 646
LA CRÓNICA 646LA CRÓNICA 646
Business plan
Business planBusiness plan
Business plan
Ahmed Metawee
 
Mareas y corrientes
Mareas y corrientesMareas y corrientes
Mareas y corrientes
Silvia López Teba
 
Power
Power Power
Power
equipobase4
 
Stella Bayles PR coverage highlights
Stella Bayles PR coverage highlights Stella Bayles PR coverage highlights
Stella Bayles PR coverage highlights
Stella Bayles
 
Revista pediatrica ed4
Revista pediatrica ed4Revista pediatrica ed4
Revista pediatrica ed4
DireccionGH
 
Virus um grupo a parte
Virus  um grupo a parteVirus  um grupo a parte
Virus um grupo a parte
Joselito Oliveira Neto
 

Destacado (19)

2012, el mundo no se va a acabar www.gftaognosticaespiritual.org
2012, el mundo no se va a acabar www.gftaognosticaespiritual.org2012, el mundo no se va a acabar www.gftaognosticaespiritual.org
2012, el mundo no se va a acabar www.gftaognosticaespiritual.org
 
Bleach Mangá Capitulo 496 em Portugues
Bleach Mangá Capitulo 496 em PortuguesBleach Mangá Capitulo 496 em Portugues
Bleach Mangá Capitulo 496 em Portugues
 
Tabela Segunda Fase Copa do Brasil 2012
Tabela Segunda Fase Copa do Brasil 2012Tabela Segunda Fase Copa do Brasil 2012
Tabela Segunda Fase Copa do Brasil 2012
 
Condenação kajuru
Condenação kajuruCondenação kajuru
Condenação kajuru
 
Actividad nº 2
Actividad nº 2Actividad nº 2
Actividad nº 2
 
Final_report
Final_reportFinal_report
Final_report
 
San valentin karen
San valentin karenSan valentin karen
San valentin karen
 
Test 1 d..
Test  1 d..Test  1 d..
Test 1 d..
 
Tratamiento de conductos en 46 con mesiocentral confluyente
Tratamiento de conductos en 46 con mesiocentral confluyente  Tratamiento de conductos en 46 con mesiocentral confluyente
Tratamiento de conductos en 46 con mesiocentral confluyente
 
Revista veritas 03
Revista veritas 03Revista veritas 03
Revista veritas 03
 
Dios tomo la forma de una montaña
Dios tomo la forma de una montañaDios tomo la forma de una montaña
Dios tomo la forma de una montaña
 
LA CRÓNICA 664
LA CRÓNICA 664LA CRÓNICA 664
LA CRÓNICA 664
 
LA CRÓNICA 646
LA CRÓNICA 646LA CRÓNICA 646
LA CRÓNICA 646
 
Business plan
Business planBusiness plan
Business plan
 
Mareas y corrientes
Mareas y corrientesMareas y corrientes
Mareas y corrientes
 
Power
Power Power
Power
 
Stella Bayles PR coverage highlights
Stella Bayles PR coverage highlights Stella Bayles PR coverage highlights
Stella Bayles PR coverage highlights
 
Revista pediatrica ed4
Revista pediatrica ed4Revista pediatrica ed4
Revista pediatrica ed4
 
Virus um grupo a parte
Virus  um grupo a parteVirus  um grupo a parte
Virus um grupo a parte
 

Similar a Presentamos bugScout

Antivirus Gateways Architecture Design
Antivirus Gateways Architecture DesignAntivirus Gateways Architecture Design
Antivirus Gateways Architecture Design
Conferencias FIST
 
ESET Security Report - LATINOAMÉRICA 2012
ESET Security Report  - LATINOAMÉRICA 2012ESET Security Report  - LATINOAMÉRICA 2012
ESET Security Report - LATINOAMÉRICA 2012
ESET Latinoamérica
 
Infraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones web
Infraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones webInfraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones web
Infraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones web
HostDime Latinoamérica
 
Cómo controlar los riesgos de seguridad de las redes sociales
Cómo controlar los riesgos de seguridad de las redes socialesCómo controlar los riesgos de seguridad de las redes sociales
Cómo controlar los riesgos de seguridad de las redes sociales
Mundo Contact
 
Seguridad infor
Seguridad inforSeguridad infor
Seguridad infor
eltigretigre
 
Seguridad infor
Seguridad inforSeguridad infor
Seguridad infor
eltigretigre
 
Desarrollo de aplicaciones seguras
Desarrollo de aplicaciones segurasDesarrollo de aplicaciones seguras
Desarrollo de aplicaciones seguras
Fernando Tricas García
 
Estrategias para gestionar riesgo ante amenazas avanzadas
Estrategias para gestionar riesgo ante amenazas avanzadasEstrategias para gestionar riesgo ante amenazas avanzadas
Estrategias para gestionar riesgo ante amenazas avanzadas
Gabriel Marcos
 
Presentación csirt campus 21 OCT 2011
Presentación csirt campus 21 OCT 2011Presentación csirt campus 21 OCT 2011
Presentación csirt campus 21 OCT 2011
Julio C. Hidalgo
 
[Salta] Control absoluto. Manejo de identidades.
[Salta] Control absoluto. Manejo de identidades.[Salta] Control absoluto. Manejo de identidades.
[Salta] Control absoluto. Manejo de identidades.
IBMSSA
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Fernando Tricas García
 
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gabriel Marcos
 
Recursos de la economía sumergida
Recursos de la economía sumergidaRecursos de la economía sumergida
Recursos de la economía sumergida
David Barroso
 
La infraestructura tecnológica necesaria para la operatividad de un Centro de...
La infraestructura tecnológica necesaria para la operatividad de un Centro de...La infraestructura tecnológica necesaria para la operatividad de un Centro de...
La infraestructura tecnológica necesaria para la operatividad de un Centro de...
Mundo Contact
 
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
Symantec LATAM
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
Cristian Garcia G.
 
SVT CloudJacket Service
SVT CloudJacket ServiceSVT CloudJacket Service
SVT CloudJacket Service
Josep Bardallo
 
Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011
Emilio Márquez Espino
 
Evento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadasEvento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadas
Gabriel Marcos
 
Sistema Monitoreo fukl
Sistema Monitoreo fuklSistema Monitoreo fukl

Similar a Presentamos bugScout (20)

Antivirus Gateways Architecture Design
Antivirus Gateways Architecture DesignAntivirus Gateways Architecture Design
Antivirus Gateways Architecture Design
 
ESET Security Report - LATINOAMÉRICA 2012
ESET Security Report  - LATINOAMÉRICA 2012ESET Security Report  - LATINOAMÉRICA 2012
ESET Security Report - LATINOAMÉRICA 2012
 
Infraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones web
Infraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones webInfraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones web
Infraestructura TI, (cap. 2) Nube publica y seguridad en Aplicaciones web
 
Cómo controlar los riesgos de seguridad de las redes sociales
Cómo controlar los riesgos de seguridad de las redes socialesCómo controlar los riesgos de seguridad de las redes sociales
Cómo controlar los riesgos de seguridad de las redes sociales
 
Seguridad infor
Seguridad inforSeguridad infor
Seguridad infor
 
Seguridad infor
Seguridad inforSeguridad infor
Seguridad infor
 
Desarrollo de aplicaciones seguras
Desarrollo de aplicaciones segurasDesarrollo de aplicaciones seguras
Desarrollo de aplicaciones seguras
 
Estrategias para gestionar riesgo ante amenazas avanzadas
Estrategias para gestionar riesgo ante amenazas avanzadasEstrategias para gestionar riesgo ante amenazas avanzadas
Estrategias para gestionar riesgo ante amenazas avanzadas
 
Presentación csirt campus 21 OCT 2011
Presentación csirt campus 21 OCT 2011Presentación csirt campus 21 OCT 2011
Presentación csirt campus 21 OCT 2011
 
[Salta] Control absoluto. Manejo de identidades.
[Salta] Control absoluto. Manejo de identidades.[Salta] Control absoluto. Manejo de identidades.
[Salta] Control absoluto. Manejo de identidades.
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones Seguras
 
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
 
Recursos de la economía sumergida
Recursos de la economía sumergidaRecursos de la economía sumergida
Recursos de la economía sumergida
 
La infraestructura tecnológica necesaria para la operatividad de un Centro de...
La infraestructura tecnológica necesaria para la operatividad de un Centro de...La infraestructura tecnológica necesaria para la operatividad de un Centro de...
La infraestructura tecnológica necesaria para la operatividad de un Centro de...
 
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
 
SVT CloudJacket Service
SVT CloudJacket ServiceSVT CloudJacket Service
SVT CloudJacket Service
 
Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011
 
Evento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadasEvento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadas
 
Sistema Monitoreo fukl
Sistema Monitoreo fuklSistema Monitoreo fukl
Sistema Monitoreo fukl
 

Último

TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
MenaOlortinYherlyEli
 
11. Legislación Aplicada a la Informática.pdf
11. Legislación Aplicada a la Informática.pdf11. Legislación Aplicada a la Informática.pdf
11. Legislación Aplicada a la Informática.pdf
PanchoChangue
 
Generaciones de Computadoras .
Generaciones de Computadoras                 .Generaciones de Computadoras                 .
Generaciones de Computadoras .
gregory760891
 
Transporte a través del tiempo en el perú.pdf
Transporte a través del tiempo en el perú.pdfTransporte a través del tiempo en el perú.pdf
Transporte a través del tiempo en el perú.pdf
milagrosAlbanPacherr
 
Informe_mc_bombas_Warman_001-WEIR vulco.pdf
Informe_mc_bombas_Warman_001-WEIR vulco.pdfInforme_mc_bombas_Warman_001-WEIR vulco.pdf
Informe_mc_bombas_Warman_001-WEIR vulco.pdf
Rubén Cortes Zavala
 
590248542-Pruebas-de-auditoria-informatica.pdf
590248542-Pruebas-de-auditoria-informatica.pdf590248542-Pruebas-de-auditoria-informatica.pdf
590248542-Pruebas-de-auditoria-informatica.pdf
ivanbrito1105
 
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
bellomiguelangel68
 
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptxDiapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
GnesisOrtegaDeLen
 
Índice del libro "Metaverso y mundos virtuales: Tecnologías, Retos y Oportuni...
Índice del libro "Metaverso y mundos virtuales: Tecnologías, Retos y Oportuni...Índice del libro "Metaverso y mundos virtuales: Tecnologías, Retos y Oportuni...
Índice del libro "Metaverso y mundos virtuales: Tecnologías, Retos y Oportuni...
Telefónica
 
El uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptxEl uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptx
Katia Reyes
 
DN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en PerúDN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en Perú
estudios22
 
bomba-koomey -Todo sobre sus istema y conexiones
bomba-koomey -Todo sobre sus istema y conexionesbomba-koomey -Todo sobre sus istema y conexiones
bomba-koomey -Todo sobre sus istema y conexiones
JessAdrinGonzlezCade
 
Catálogo LG de lavadora de ropa , manual
Catálogo LG de lavadora de ropa , manualCatálogo LG de lavadora de ropa , manual
Catálogo LG de lavadora de ropa , manual
RobertoAlvarez835593
 
Conceptos y definiciones de Antenas y propagación
Conceptos y definiciones de Antenas y propagaciónConceptos y definiciones de Antenas y propagación
Conceptos y definiciones de Antenas y propagación
edgarcalle8
 
Evolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TICEvolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TIC
Henry W. Zavala
 
Catalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdfCatalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdf
walter729637
 
SEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docx
SEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docxSEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docx
SEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docx
Eddy Nathaly Jaimes Villamizar
 
_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf
correodetareas
 
DE LO HUMANO Y LO COMUNITARIO PROYECTO INTEGRADOR (2).docx
DE LO HUMANO Y LO COMUNITARIO PROYECTO INTEGRADOR (2).docxDE LO HUMANO Y LO COMUNITARIO PROYECTO INTEGRADOR (2).docx
DE LO HUMANO Y LO COMUNITARIO PROYECTO INTEGRADOR (2).docx
lourdesuribe6
 
PROTOCOLO DE NANOPOROS Kit de códigos de barras 16S (SQK-RAB204)
PROTOCOLO DE NANOPOROS Kit de códigos de barras 16S (SQK-RAB204)PROTOCOLO DE NANOPOROS Kit de códigos de barras 16S (SQK-RAB204)
PROTOCOLO DE NANOPOROS Kit de códigos de barras 16S (SQK-RAB204)
ADELAIDA90
 

Último (20)

TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
 
11. Legislación Aplicada a la Informática.pdf
11. Legislación Aplicada a la Informática.pdf11. Legislación Aplicada a la Informática.pdf
11. Legislación Aplicada a la Informática.pdf
 
Generaciones de Computadoras .
Generaciones de Computadoras                 .Generaciones de Computadoras                 .
Generaciones de Computadoras .
 
Transporte a través del tiempo en el perú.pdf
Transporte a través del tiempo en el perú.pdfTransporte a través del tiempo en el perú.pdf
Transporte a través del tiempo en el perú.pdf
 
Informe_mc_bombas_Warman_001-WEIR vulco.pdf
Informe_mc_bombas_Warman_001-WEIR vulco.pdfInforme_mc_bombas_Warman_001-WEIR vulco.pdf
Informe_mc_bombas_Warman_001-WEIR vulco.pdf
 
590248542-Pruebas-de-auditoria-informatica.pdf
590248542-Pruebas-de-auditoria-informatica.pdf590248542-Pruebas-de-auditoria-informatica.pdf
590248542-Pruebas-de-auditoria-informatica.pdf
 
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
 
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptxDiapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
 
Índice del libro "Metaverso y mundos virtuales: Tecnologías, Retos y Oportuni...
Índice del libro "Metaverso y mundos virtuales: Tecnologías, Retos y Oportuni...Índice del libro "Metaverso y mundos virtuales: Tecnologías, Retos y Oportuni...
Índice del libro "Metaverso y mundos virtuales: Tecnologías, Retos y Oportuni...
 
El uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptxEl uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptx
 
DN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en PerúDN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en Perú
 
bomba-koomey -Todo sobre sus istema y conexiones
bomba-koomey -Todo sobre sus istema y conexionesbomba-koomey -Todo sobre sus istema y conexiones
bomba-koomey -Todo sobre sus istema y conexiones
 
Catálogo LG de lavadora de ropa , manual
Catálogo LG de lavadora de ropa , manualCatálogo LG de lavadora de ropa , manual
Catálogo LG de lavadora de ropa , manual
 
Conceptos y definiciones de Antenas y propagación
Conceptos y definiciones de Antenas y propagaciónConceptos y definiciones de Antenas y propagación
Conceptos y definiciones de Antenas y propagación
 
Evolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TICEvolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TIC
 
Catalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdfCatalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdf
 
SEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docx
SEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docxSEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docx
SEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docx
 
_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf
 
DE LO HUMANO Y LO COMUNITARIO PROYECTO INTEGRADOR (2).docx
DE LO HUMANO Y LO COMUNITARIO PROYECTO INTEGRADOR (2).docxDE LO HUMANO Y LO COMUNITARIO PROYECTO INTEGRADOR (2).docx
DE LO HUMANO Y LO COMUNITARIO PROYECTO INTEGRADOR (2).docx
 
PROTOCOLO DE NANOPOROS Kit de códigos de barras 16S (SQK-RAB204)
PROTOCOLO DE NANOPOROS Kit de códigos de barras 16S (SQK-RAB204)PROTOCOLO DE NANOPOROS Kit de códigos de barras 16S (SQK-RAB204)
PROTOCOLO DE NANOPOROS Kit de códigos de barras 16S (SQK-RAB204)
 

Presentamos bugScout

  • 1. Para más información contacte con: sales@buguroo.com
  • 2. Problemática actual Amenazas ‘Crean una extensión que permite entrar en las cuentas de Facebook y Twitter’ Multas Source: www.elmundo.es ‘Multa récord de 2.8 M.€ a la filial británica de la aseguradora Zurich por haber Desprotección "perdido" datos de decenas ‘Cómo fue el ataque de de miles de clientes’ Source: AFP Stuxnet, dirigido contra instalaciones nucleares de Irán’ Source: www.elpais.com
  • 3. Riesgos de una programación no segura Amenazas ‘El 95% de los ataques en Internet van contra el aplicativo’ Multas ‘El resultado de un ataque o pérdida de datos implica graves consecuencias Desprotección legales a la compañía’ ‘Más del 90% de las vulnerabilidades en Internet están en el código’
  • 4. Estadísticas: Vulnerabilidades en aplicativos en Internet (1 de 2) % Vulnerabilidades localizadas por cada tipo de test 100 80 60 Urgent 40 Critical 20 High 0 Medium % Sites (All) % Sites % Sites % Sites Low (Scans) (Blackbox) (WhiteBox) Source: WASC (web application security consortium)
  • 5. Estadísticas: Vulnerabilidades en aplicativos en Internet (2 de 2) % Vulnerabilidades más comunes % Sectores afectados por ataques 7% 11% 5% 3% 12% XSS 4% Finance Education 39% 19% 4% Information Social/Web Leakage 12% Media Retail 7% SQLi Technology Internet Goverment Insufficent Entertainment Transport Layer Protection 16% Fingerprinting 12% 32% Source: WASC (web application security consortium)
  • 6. Limitaciones de las soluciones actuales Limitaciones de las auditorías caja negra • No auditan todo el aplicativo Limitaciones de las auditorías manuales • Costes. A pesar de ser una de las soluciones más • Son menos precisas efectivas, la magnitud del código fuente es tan inmensa, que suelen desestimarse por motivos de coste • Pueden incurrir en degradaciones del servicio • Tiempos de espera. La entrega de informes requiere de tiempos de espera tan prolongados, que a menudo se pasa a explotación sin esperar a la obtención de resultados Limitaciones comunes a ambas auditorías • Dependen de que el desarrollo esté terminado • No contemplan vulnerabilidades a futuro. Cada día se descubren nuevos agujeros de seguridad • No contemplan actualizaciones de software, provocando la rápida obsolescencia del trabajo auditado
  • 7. Nuestra solución: • buguroo ha diseñado y puesto en marcha bugScout, el servicio gestionado más potente del mercado, de análisis de vulnerabilidades en código fuente:  bugScout detecta automáticamente más del 94% de las vulnerabilidades presentes en el código. Es la solución más potente del mercado: su competencia sólo detecta un 60% de las vulnerabilidades existentes  Funciona de manera descentralizada en la nube, permitiendo escalabilidad ilimitada  bugScout permite a sus partners, mediante su solución de appliances, la creación y gestión de sus propias nubes  bugScout está diseñado para auditar simultáneamente múltiples códigos, sin penalización en el rendimiento
  • 8. Ventajas (1 de 2)  bugScout reduce el coste de auditoría manual en más de un  bugScout se integra en 90% el ciclo de desarrollo de software, agilizando los procesos de  bugScout permite negocio minimizar los tiempos de espera de resultados en más de un 99%
  • 9. Ventajas (2 de 2) • bugScout permite la corrección de errores a tiempo real, fomentando el aprendizaje del equipo de desarrollo • bugScout audita por completo la aplicación • Las auditorías con bugScout son más precisas, su tecnología permite rastrear eficazmente el código en su totalidad • Evita errores no controlados: Denegación del servicio, ataques de spam no previstos… • bugScout permite actualizar firmas a tiempo real de carácter público y privado, debido a al carácter recurrente de su tecnología • bugScout se integra con el ciclo de desarrollo de software • bugScout se conecta directamente al repositorio de desarrollo, pudiendo auditar el software, desde el minuto uno, sin interrumpir el proceso productivo
  • 10. - Tecnología y funcionalidades • bugScout consta de una consola web desde la que se ofrecen múltiples funcionalidades para operar con el código, sin necesidad de agentes pesados ni instalación previa de software en el cliente • Asimismo cuenta con:  Un sistema de detección de vulnerabilidades públicas y privadas actualizado al día  Plataforma multi-auditoría, capaz de analizar códigos de manera simultánea sin interferir en el rendimiento y tiempos de la misma  Plataforma multiusuario con granularidad de accesos y permisos
  • 11. El entorno - Acceso al portal
  • 12. El entorno - Modular, extensible y escalable … …… … Tareas Licencias Consultas Tareas Licencias Consultas FRAMEWORK 1 FRAMEWORK N BUS DE COMUNICACIONES DISTRIBUIDO (BACKEND) BUS DE COMUNICACIONES DISTRIBUIDO (BACKEND) CORE 1 …. N ENGINE Sheduler Tareas Licencias Resultado Motor N … Descompresión Fam. 1 P1 Cond. 1 Descifrado .. .. .. Motor 1 Core Engine Fam. N PN Cond. N
  • 13. El entorno - Modular, extensible y escalable 1. Framework. Interfaz para el usuario con acceso hasta 6 módulos 2. Core. Analizador de código fuente 3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de vulnerabilidades y soluciones
  • 14. Framework - Módulos (1 de 5) 1. Dashboard • Menú inicial configurable por usuario donde podrá, de un vistazo, repasarse la seguridad de los aplicativos de la compañía • El área de trabajo es editable, pueden añadirse, modificarse y/o eliminar los gráficos, así como reordenarlos o redimensionarlos mediante Drag&Drop • Las gráficas además, son interactuables, por lo que pasando el cursor por encima pueden observarse los valores que representan • Para hacer esto posible, el diseño ha sido realizado contando con las más modernas técnicas de web 2.0, sin renunciar a seguridad y rendimiento
  • 15. Framework - Módulos: Dashboard (2 de 5)
  • 16. Framework - Módulos (3 de 5) 2. Proyectos • Desde este módulo pueden clasificarse los proyectos y aplicativos, para posteriormente realizar análisis • También desde este apartado es posible: solicitar auditorías manuales, re-auditar código para comprobar su evolución, solicitar que un auditor realice un test de intrusión, generar un informe o consultar vulnerabilidades 3. Gestor documental • Sencillo gestor documental donde pueden consultarse los informes generados de manera automática o manual, documentación de ayuda sobre la herramienta, generación de claves de criptografía asimétrica y realizarse las subidas seguras del código fuente a auditar
  • 17. Framework - Módulos (4 de 5) 4. Vulnerabilidades • Apartado desde el que trabajar con los resultados de las auditorías, pudiendo comprobar las soluciones propuestas, referencias, explicaciones sobre las vulnerabilidades, etc. 5. Informes • Configurador a medida para generar reportes ejecutivos o técnicos, a diferentes niveles 6. Administración • Módulo habilitado para la gestión de usuarios, grupos y roles • Menú orientado a la creación y estructura jerárquica de empresas (clientes, proveedores o mayoristas) • Es posible configurar el look&feel de la interfaz conforme a los patrones y logos corporativos de cada empresa, y generar así los informes a medida para cada empresa
  • 18. Framework - Módulos: Proyectos (5 de 5)
  • 19. El entorno - Modular, extensible y escalable 1. Framework. Interfaz para el usuario con acceso hasta 6 módulos 2. Core. Analizador de código fuente 3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de vulnerabilidades y soluciones
  • 20. Core (1 de 4) 2. Core • bugScout Core consiste en un sistema de reconocimiento de patrones vulnerables del software analizado. El proceso completo proporciona un análisis del código de máxima fiabilidad para detectar patrones que permitirían a un intruso el acceso a datos no autorizados. • Principales funcionalidades: 1. Detección del lenguaje a procesar 2. Análisis léxico 3. Análisis sintáctico 4. Generación del modelado de la arquitectura software del aplicativo 5. Análisis del flujo de datos 6. Detección de patrones vulnerables 7. Discriminación de falsos positivos 8. Comunicación de las posibles vulnerabilidades encontradas
  • 21. Core (2 de 4) - Principales Funcionalidades Generación del modelado de la Detección del Análisis léxico Análisis sintáctico arquitectura software del lenguaje a procesar aplicativo Comunicación de las Discriminación de Detección de Análisis del flujo de posibles vulnerabilidades falsos positivos patrones vulnerables datos encontradas
  • 22. Core - Principales Funcionalidades (3 de 4) 2. Core 1. Detección del lenguaje a procesar: utilizando diferentes filtros y patrones, bugScout Core determina qué lenguaje contiene cada fichero y procede a generar las estructuras básicas para continuar con el proceso 2. Análisis léxico: proceso esencial para iniciar el análisis de un lenguaje, para lograrlo bugScout Core se integra directamente con los analizadores léxicos propios para cada lenguaje 3. Análisis sintáctico: bugScout Core utiliza los analizadores sintácticos que define cada propio lenguaje, ya que es la manera más precisa posible de perfilar las fuentes. Requiriendo, en ocasiones, ciertas modificaciones de los mismos, a fin de poder realizar la construcción de la arquitectura software del aplicativo 4. Generación del modelado de la arquitectura software del aplicativo: consiste en la representación en memoria del código que a analizar, pero con un mayor grado de computabilidad, lo que permite ejecutar operaciones sobre el árbol que requieren un esfuerzo computacional alto, en tiempos mínimos
  • 23. Core - Principales Funcionalidades (4 de 4) 2. Core 5. Análisis del flujo de datos: consiste en la propia compresión del código fuente que se analizará a fin poder determinar si el código contiene patrones de vulnerabilidades 6. Detección de patrones vulnerables: para la búsqueda de vulnerabilidades, bugScout Core apostará una compleja arquitectura de plug-ins, que facilitará las actualizaciones futuras de firmas en base a nuevos patrones vulnerables. A través de estos plug-ins basados en expresiones regulares formadas ex profeso para cada lenguaje en específico, se puede determinar con un grado de probabilidad alto, si existe una vulnerabilidad en el código 7. Discriminación de falsos positivos: realiza el backtracking y descarte necesarios, en función de las condiciones que el patrón encontrado, represente dentro de ese código concreto, confirmando si existe o no un riesgo real en tal patrón 8. Comunicación de las posibles vulnerabilidades encontradas: en este proceso bugScout Core comunica a la parte visual, la existencia de los fallos de seguridad en el código para mostrarlos
  • 24. El entorno - Modular, extensible y escalable 1. Framework. Interfaz para el usuario con acceso hasta 6 módulos 2. Core. Analizador de código fuente 3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de vulnerabilidades y soluciones
  • 25. BackEnd (1 de 4) 3. BackEnd • bugScout BackEnd almacena en Cloud los datos con los que trabaja la herramienta. Nuestro modelo de BackEnd, incorpora tecnologías de última generación, que permiten compatibilizar la máxima eficiencia de los datos almacenados, con la seguridad propia de un entorno de máxima seguridad • Ventajas  Mejora de tiempos de desarrollo  Incremento de la eficacia  Escalabilidad  Flexibilidad  Disponibilidad  Gestión  Seguridad
  • 26. BackEnd (2 de 4) Data flow Control flow Controlller Unit Conector Data BBDD 1…N BBDD Controller BBDD
  • 27. BackEnd (3 de 4) 3. BackEnd • La arquitectura de bugScout BackEnd presenta un diseño ágil y conceptualmente sencillo, lo que permite desarrollar un entorno veloz y flexible • La integración de la tecnología Cloud Storage, dota a nuestros sistemas y redes de capacidad para crecer y escalar, con una gestión manual mínima • La seguridad es una parte integral de la computación en la nube. Un diseño de arquitectura de una agrupación de sistemas que trabajarán directamente sobre información altamente sensible, debe proteger en consecuencia dicha información. bugScout BackEnd va un paso más allá al considerar que Cloud Storage implica integrar la nube con tres servicios adicionales fundamentales:  Redimensionamiento  Recuperación ante desastres  Seguridad de los datos y comunicaciones
  • 28. BackEnd (4 de 4) 3. BackEnd • bugScout BackEnd presenta un sistema de gestión seguro, flexible y escalable:  El paradigma FileNetSystem, implica que desde una única consola se pueden gestionar, de manera independiente, cada uno de los Clouds de Sistemas de Almacenamiento  Su sistema de gestión permite la auto-configuración en las ampliaciones de módulos. Los propios módulos controladores, son capaces de detectar una nueva infraestructura y adaptar la configuración presente a la ampliación, ofreciendo al administrador las opciones disponibles, facilitando el escalado de sistemas • bugScout BackEnd proporciona los siguientes beneficios:  Compliance con regulaciones y leyes  Recuperación ante fallos hardware  Larga viabilidad de los recursos IT  Activos en entornos físicos securizados  Aislamiento de los datos
  • 29. ¿Por qué es la mejor solución? • bugScout ha sido diseñada por uno de los mejores equipos de seguridad con proyectos a nivel mundial • No requiere amplios conocimientos de seguridad • bugScout consigue los mejores ratios de detección y falsos positivos del mercado • Es la primera herramienta que posee motores independientes por lenguaje, rechazando la conversión a pseudo-código. De esta forma se amplía el ratio de detección, siendo capaz de localizar errores como librerías deprecadas, funciones vulnerables, información sensible en comentarios, etc. • bugScout propone soluciones efectivas para generar aplicativos seguros • Permite gestionar con facilidad las vulnerabilidades, realizar informes, almacenar documentación, consultar estadísticas, control de históricos…
  • 30. www.buguroo.com Para más información contacte con: sales@buguroo.com Tel.: (34) 917 816 160 Plaza Marqués de Salamanca, 3-4, 28006 Madrid