Este documento presenta la solución bugScout para la detección automática de vulnerabilidades en el código fuente. BugScout puede detectar más del 94% de vulnerabilidades a través de un análisis del flujo de datos y la detección de patrones. Consiste en un framework, un core de análisis de código y un backend seguro en la nube. Reduce los costes y tiempos de auditoría manual en más del 90% al tiempo que ofrece actualizaciones continuas.

1. Para más información contacte con:
sales@buguroo.com

2. Problemática actual
Amenazas
‘Crean una extensión que
permite entrar en las cuentas
de Facebook y Twitter’ Multas
Source: www.elmundo.es
‘Multa récord de 2.8 M.€ a la
filial británica de la
aseguradora Zurich por haber
Desprotección "perdido" datos de decenas
‘Cómo fue el ataque de de miles de clientes’
Source: AFP
Stuxnet, dirigido contra
instalaciones nucleares de
Irán’
Source: www.elpais.com

3. Riesgos de una programación no segura
Amenazas
‘El 95% de los ataques en
Internet van contra el
aplicativo’ Multas
‘El resultado de un ataque
o pérdida de datos implica
graves consecuencias
Desprotección legales a la compañía’
‘Más del 90% de las
vulnerabilidades en
Internet están en el código’

4. Estadísticas: Vulnerabilidades en aplicativos en Internet (1 de 2)
% Vulnerabilidades localizadas por cada tipo de test
100
80
60 Urgent
40 Critical
20 High
0 Medium
% Sites (All) % Sites % Sites % Sites Low
(Scans) (Blackbox) (WhiteBox)
Source: WASC (web application security consortium)

5. Estadísticas: Vulnerabilidades en aplicativos en Internet (2 de 2)
% Vulnerabilidades más comunes % Sectores afectados por ataques
7%
11% 5%
3% 12%
XSS
4% Finance
Education
39% 19%
4% Information Social/Web
Leakage 12% Media
Retail
7% SQLi Technology
Internet
Goverment
Insufficent
Entertainment
Transport Layer
Protection 16%
Fingerprinting 12%
32%
Source: WASC (web application security consortium)

6. Limitaciones de las soluciones actuales
Limitaciones de las auditorías caja negra
• No auditan todo el aplicativo
Limitaciones de las auditorías manuales
• Costes. A pesar de ser una de las soluciones más
• Son menos precisas
efectivas, la magnitud del código fuente es tan inmensa,
que suelen desestimarse por motivos de coste
• Pueden incurrir en degradaciones del servicio
• Tiempos de espera. La entrega de informes requiere de
tiempos de espera tan prolongados, que a menudo se
pasa a explotación sin esperar a la obtención de
resultados
Limitaciones comunes a ambas auditorías
• Dependen de que el desarrollo esté terminado • No contemplan vulnerabilidades a futuro. Cada
día se descubren nuevos agujeros de seguridad
• No contemplan actualizaciones de software,
provocando la rápida obsolescencia del trabajo
auditado

7. Nuestra solución:
• buguroo ha diseñado y puesto en marcha bugScout, el servicio gestionado más potente del
mercado, de análisis de vulnerabilidades en código fuente:
 bugScout detecta automáticamente más del 94% de las vulnerabilidades presentes en el código. Es
la solución más potente del mercado: su competencia sólo detecta un 60% de las vulnerabilidades
existentes
 Funciona de manera descentralizada en la nube, permitiendo escalabilidad ilimitada
 bugScout permite a sus partners, mediante su solución de appliances, la creación y gestión de sus
propias nubes
 bugScout está diseñado para auditar simultáneamente múltiples códigos, sin penalización en el
rendimiento

8. Ventajas (1 de 2)
 bugScout reduce el
coste de auditoría
manual en más de un
 bugScout se integra en
90%
el ciclo de desarrollo
de software, agilizando
los procesos de
 bugScout permite negocio
minimizar los tiempos
de espera de resultados
en más de un 99%

9. Ventajas (2 de 2)
• bugScout permite la corrección de errores a tiempo real, fomentando el aprendizaje del equipo de
desarrollo
• bugScout audita por completo la aplicación
• Las auditorías con bugScout son más precisas, su tecnología permite rastrear eficazmente el código en su
totalidad
• Evita errores no controlados: Denegación del servicio, ataques de spam no previstos…
• bugScout permite actualizar firmas a tiempo real de carácter público y privado, debido a al carácter
recurrente de su tecnología
• bugScout se integra con el ciclo de desarrollo de software
• bugScout se conecta directamente al repositorio de desarrollo, pudiendo auditar el software, desde el
minuto uno, sin interrumpir el proceso productivo

10. - Tecnología y funcionalidades
• bugScout consta de una consola web desde la que se ofrecen múltiples funcionalidades para operar con el
código, sin necesidad de agentes pesados ni instalación previa de software en el cliente
• Asimismo cuenta con:
 Un sistema de detección de vulnerabilidades públicas y privadas actualizado al día
 Plataforma multi-auditoría, capaz de analizar códigos de manera simultánea sin interferir en el rendimiento y tiempos
de la misma
 Plataforma multiusuario con granularidad de accesos y permisos

11. El entorno - Acceso al portal

12. El entorno - Modular, extensible y escalable
… …… …
Tareas Licencias Consultas Tareas Licencias Consultas
FRAMEWORK 1 FRAMEWORK N
BUS DE COMUNICACIONES DISTRIBUIDO (BACKEND) BUS DE COMUNICACIONES DISTRIBUIDO (BACKEND)
CORE 1 …. N ENGINE
Sheduler
Tareas Licencias Resultado
Motor N
…
Descompresión
Fam. 1 P1 Cond. 1
Descifrado
..
..
..
Motor 1
Core Engine Fam. N PN Cond. N

13. El entorno - Modular, extensible y escalable
1. Framework. Interfaz para el usuario con acceso hasta 6 módulos
2. Core. Analizador de código fuente
3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de
vulnerabilidades y soluciones

14. Framework - Módulos (1 de 5)
1. Dashboard
• Menú inicial configurable por usuario donde podrá, de un vistazo, repasarse la seguridad de los aplicativos
de la compañía
• El área de trabajo es editable, pueden añadirse, modificarse y/o eliminar los gráficos, así como
reordenarlos o redimensionarlos mediante Drag&Drop
• Las gráficas además, son interactuables, por lo que pasando el cursor por encima pueden observarse los
valores que representan
• Para hacer esto posible, el diseño ha sido realizado contando con las más modernas técnicas de web 2.0,
sin renunciar a seguridad y rendimiento

15. Framework - Módulos: Dashboard (2 de 5)

16. Framework - Módulos (3 de 5)
2. Proyectos
• Desde este módulo pueden clasificarse los proyectos y aplicativos, para posteriormente realizar análisis
• También desde este apartado es posible: solicitar auditorías manuales, re-auditar código para comprobar
su evolución, solicitar que un auditor realice un test de intrusión, generar un informe o consultar
vulnerabilidades
3. Gestor documental
• Sencillo gestor documental donde pueden consultarse los informes generados de manera automática o
manual, documentación de ayuda sobre la herramienta, generación de claves de criptografía asimétrica y
realizarse las subidas seguras del código fuente a auditar

17. Framework - Módulos (4 de 5)
4. Vulnerabilidades
• Apartado desde el que trabajar con los resultados de las auditorías, pudiendo comprobar las soluciones
propuestas, referencias, explicaciones sobre las vulnerabilidades, etc.
5. Informes
• Configurador a medida para generar reportes ejecutivos o técnicos, a diferentes niveles
6. Administración
• Módulo habilitado para la gestión de usuarios, grupos y roles
• Menú orientado a la creación y estructura jerárquica de empresas (clientes, proveedores o mayoristas)
• Es posible configurar el look&feel de la interfaz conforme a los patrones y logos corporativos de cada
empresa, y generar así los informes a medida para cada empresa

18. Framework - Módulos: Proyectos (5 de 5)

19. El entorno - Modular, extensible y escalable
1. Framework. Interfaz para el usuario con acceso hasta 6 módulos
2. Core. Analizador de código fuente
3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de
vulnerabilidades y soluciones

20. Core (1 de 4)
2. Core
• bugScout Core consiste en un sistema de reconocimiento de patrones vulnerables del software analizado.
El proceso completo proporciona un análisis del código de máxima fiabilidad para detectar patrones que
permitirían a un intruso el acceso a datos no autorizados.
• Principales funcionalidades:
1. Detección del lenguaje a procesar
2. Análisis léxico
3. Análisis sintáctico
4. Generación del modelado de la arquitectura software del aplicativo
5. Análisis del flujo de datos
6. Detección de patrones vulnerables
7. Discriminación de falsos positivos
8. Comunicación de las posibles vulnerabilidades encontradas

21. Core (2 de 4) - Principales Funcionalidades
Generación del modelado de la
Detección del Análisis léxico Análisis sintáctico
arquitectura software del
lenguaje a procesar aplicativo
Comunicación de las Discriminación de Detección de Análisis del flujo de
posibles vulnerabilidades falsos positivos patrones vulnerables datos
encontradas

22. Core - Principales Funcionalidades (3 de 4)
2. Core
1. Detección del lenguaje a procesar: utilizando diferentes filtros y patrones, bugScout Core determina qué
lenguaje contiene cada fichero y procede a generar las estructuras básicas para continuar con el proceso
2. Análisis léxico: proceso esencial para iniciar el análisis de un lenguaje, para lograrlo bugScout Core se
integra directamente con los analizadores léxicos propios para cada lenguaje
3. Análisis sintáctico: bugScout Core utiliza los analizadores sintácticos que define cada propio lenguaje, ya
que es la manera más precisa posible de perfilar las fuentes. Requiriendo, en ocasiones, ciertas
modificaciones de los mismos, a fin de poder realizar la construcción de la arquitectura software del
aplicativo
4. Generación del modelado de la arquitectura software del aplicativo: consiste en la representación en
memoria del código que a analizar, pero con un mayor grado de computabilidad, lo que permite ejecutar
operaciones sobre el árbol que requieren un esfuerzo computacional alto, en tiempos mínimos

23. Core - Principales Funcionalidades (4 de 4)
2. Core
5. Análisis del flujo de datos: consiste en la propia compresión del código fuente que se analizará a fin
poder determinar si el código contiene patrones de vulnerabilidades
6. Detección de patrones vulnerables: para la búsqueda de vulnerabilidades, bugScout Core apostará una
compleja arquitectura de plug-ins, que facilitará las actualizaciones futuras de firmas en base a nuevos
patrones vulnerables. A través de estos plug-ins basados en expresiones regulares formadas ex profeso
para cada lenguaje en específico, se puede determinar con un grado de probabilidad alto, si existe una
vulnerabilidad en el código
7. Discriminación de falsos positivos: realiza el backtracking y descarte necesarios, en función de las
condiciones que el patrón encontrado, represente dentro de ese código concreto, confirmando si existe o
no un riesgo real en tal patrón
8. Comunicación de las posibles vulnerabilidades encontradas: en este proceso bugScout Core comunica a
la parte visual, la existencia de los fallos de seguridad en el código para mostrarlos

24. El entorno - Modular, extensible y escalable
1. Framework. Interfaz para el usuario con acceso hasta 6 módulos
2. Core. Analizador de código fuente
3. BackEnd. Almacenamiento seguro de códigos, informes y BB.DD. de
vulnerabilidades y soluciones

25. BackEnd (1 de 4)
3. BackEnd
• bugScout BackEnd almacena en Cloud los datos con los que trabaja la herramienta. Nuestro modelo de
BackEnd, incorpora tecnologías de última generación, que permiten compatibilizar la máxima eficiencia
de los datos almacenados, con la seguridad propia de un entorno de máxima seguridad
• Ventajas
 Mejora de tiempos de desarrollo
 Incremento de la eficacia
 Escalabilidad
 Flexibilidad
 Disponibilidad
 Gestión
 Seguridad

26. BackEnd (2 de 4)
Data flow Control flow
Controlller Unit Conector
Data
BBDD
1…N
BBDD Controller BBDD

27. BackEnd (3 de 4)
3. BackEnd
• La arquitectura de bugScout BackEnd presenta un diseño ágil y conceptualmente sencillo, lo que permite
desarrollar un entorno veloz y flexible
• La integración de la tecnología Cloud Storage, dota a nuestros sistemas y redes de capacidad para crecer y
escalar, con una gestión manual mínima
• La seguridad es una parte integral de la computación en la nube. Un diseño de arquitectura de una
agrupación de sistemas que trabajarán directamente sobre información altamente sensible, debe
proteger en consecuencia dicha información. bugScout BackEnd va un paso más allá al considerar que
Cloud Storage implica integrar la nube con tres servicios adicionales fundamentales:
 Redimensionamiento
 Recuperación ante desastres
 Seguridad de los datos y comunicaciones

28. BackEnd (4 de 4)
3. BackEnd
• bugScout BackEnd presenta un sistema de gestión seguro, flexible y escalable:
 El paradigma FileNetSystem, implica que desde una única consola se pueden gestionar, de manera independiente,
cada uno de los Clouds de Sistemas de Almacenamiento
 Su sistema de gestión permite la auto-configuración en las ampliaciones de módulos. Los propios módulos
controladores, son capaces de detectar una nueva infraestructura y adaptar la configuración presente a la ampliación,
ofreciendo al administrador las opciones disponibles, facilitando el escalado de sistemas
• bugScout BackEnd proporciona los siguientes beneficios:
 Compliance con regulaciones y leyes
 Recuperación ante fallos hardware
 Larga viabilidad de los recursos IT
 Activos en entornos físicos securizados
 Aislamiento de los datos

29. ¿Por qué es la mejor solución?
• bugScout ha sido diseñada por uno de los mejores equipos de seguridad con proyectos a
nivel mundial
• No requiere amplios conocimientos de seguridad
• bugScout consigue los mejores ratios de detección y falsos positivos del mercado
• Es la primera herramienta que posee motores independientes por lenguaje, rechazando la
conversión a pseudo-código. De esta forma se amplía el ratio de detección, siendo capaz de
localizar errores como librerías deprecadas, funciones vulnerables, información sensible en
comentarios, etc.
• bugScout propone soluciones efectivas para generar aplicativos seguros
• Permite gestionar con facilidad las vulnerabilidades, realizar informes, almacenar
documentación, consultar estadísticas, control de históricos…

30. www.buguroo.com
Para más información contacte con:
sales@buguroo.com
Tel.: (34) 917 816 160
Plaza Marqués de Salamanca, 3-4, 28006 Madrid