[Owasp-brazil] CCWAPSS - CommonCriteria WebApplication SecurityScoring

Ana Cristina Almeida acrdutra at gmail.com
Wed Nov 21 19:47:54 EST 2007


Já que sou a única mulher da lista (até agora),
a minha humilde opinião:

Se o referido sistema dá lucro, mesmo com bugs e suas inseguranças, o Final
Costumer não vai ligar muito para gap analysis de segurança em web, não.
E até agora, ainda não vi, nenhum fornecedor oferecendo sistema com base em
critérios de segurança.
Entretanto, eu realmente gostaria de ver um exemplo destes.
Concordo com o Cima quando ele fala sobre a nota de 0 a 10.
Critérios quantitativos são muito falhos porque o que conta mesmo em uma
análise de segurança, são os critérios qualitativos. E estes, são difíceis
de se mensurar.
Aí, o que conta mesmo é a expertise do consultor. Quanto maior expertise ele
tiver no negócio em questão, ou mesmo, feeling, melhor análise fará...

Meus 2 cents de contribuição,

Ana


On 11/20/07, Wagner Elias <wagner.elias at gmail.com> wrote:
>
> Opa Cima,
>
> Talvez eu não me expressei bem. Sim, se não existir um padrão não existe
> comparação entre o atual e desejado. Eu uso referência, como citei no meu
> e-mail. Agora o que eu não acho adequado é responder um questionário e
> dizer
> você está bem ou mal. A questão que o paper coloca, com certeza não faria
> parte da minha análise.
>
> Eu não cheguei a utilizar em projetos mas, IMHO acredito que é uma base
> para
> se desenvolver um Gap Analysis, já que o paper é baseado no OWASP (não é
> uma
> ISO ou padrão mas é referência em segurança web).
>
> Att.
> Wagner Elias
>
> -----Original Message-----
> From: owasp-brazil-bounces at lists.owasp.org
> [mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Fernando Cima
> Sent: segunda-feira, 19 de novembro de 2007 17:09
> To: owasp-brazil at lists.owasp.org
> Subject: Re: [Owasp-brazil] CCWAPSS - CommonCriteria WebApplication
> SecurityScoring
>
> Oi Wagner,
>
> Gap analysis por definição requer que se tenha um padrão de referência
> para
> fazer a comparação. Mas acho que a idéia por tras disso é outra, é mesmo
> dar
> uma nota de 1 a 10 para a "segurança" da aplicação Web. Do paper:
>
> "One of the main questions security auditors have to answer is : 'What is
> our security level on a /10 basis ?'"
>
> Essa pergunta não faz o menor sentido, e um profissional de segurança
> deveria resistir a respondê-la mesmo sob tortura, e aproveitar para educar
> o
> cliente. Ao invés disso esse pessoal criou uma "metodologia" para calibrar
> o
> chute.
>
> Abracos,
>
> - Fernando Cima
>
> -----Original Message-----
> From: owasp-brazil-bounces at lists.owasp.org
> [mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Wagner Elias
> Sent: segunda-feira, 19 de novembro de 2007 12:27
> To: owasp-brazil at lists.owasp.org
> Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria WebApplication
> SecurityScoring
>
> Hahaha...Isso que eu gosto Cima, simples, objetivo e direto.
>
> Por isso mesmo eu utilizaria apenas como Gap Analysis. Eu tenho uma
> pontuação de 1 a 10 e complemento com uma análise nos projetos do OWASP.
> Todos os projetos de Gap Analysis que eu já realizei possuem uma métrica e
> um forte trabalho de análise e conclusão. O ponto chave do seu comentário
> é
> o "Final Customer", pois, ele espera no mínimo um check-list que aponte
> quais as vulnerabilidades e o nível. Já eu como consultor não sinto
> confortável em desenvolver trabalhos apenas baseado em check-lists ou
> padrões. Eu utilizo uma referência (OWASP, ISSO, BS, Etc...) e uma análise
> caso a caso.
>
> Att.
> Wagner Elias
>
> -----Original Message-----
> From: owasp-brazil-bounces at lists.owasp.org
> [mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Fernando Cima
> Sent: segunda-feira, 19 de novembro de 2007 13:03
> To: owasp-brazil at lists.owasp.org
> Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria WebApplication
> SecurityScoring
>
> Oi Wagner,
>
> Eu não conhecia, li e para dizer a verdade achei bem ruim.
>
> Depois de ler o paper, a pergunta que ficou é "para quê serve isso?". De
> uma
> avaliação de segurança um "final customer" vai esperar uma descrição das
> vulnerabilidades encontradas e o seu nível de risco, ou se a aplicação
> está
> em conformidade com alguma norma ou padrão. Uma nota de 1 a 10 para mim
> não
> diz nada e não serve para nada.
>
> Mas os desenhos ficaram bonitos ;)
>
> Abracos,
>
> - Fernando Cima
>
>
>
> -----Original Message-----
> From: owasp-brazil-bounces at lists.owasp.org
> [mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Wagner Elias
> Sent: segunda-feira, 19 de novembro de 2007 07:52
> To: owasp-brazil at lists.owasp.org
> Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria Web Application
> SecurityScoring
>
> Eu conheço Rodrigo. Ainda não tive oportunidade de utilizar mas, achei
> interessante para realizar um Gap Analysis de segurança em aplicações web.
>
> Att.
> Wagner Elias
>
> -----Original Message-----
> From: owasp-brazil-bounces at lists.owasp.org
> [mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Rodrigo Montoro
> (Sp0oKeR)
> Sent: sábado, 17 de novembro de 2007 10:52
> To: owasp-brazil at lists.owasp.org
> Subject: [Owasp-brazil] CCWAPSS - Common Criteria Web Application
> SecurityScoring
>
> Alguém conhece ou já usou?
>
> The purpose of the scoring scale CCWAPSS (to be pronounced [sisiwaps]) is
> to
> share a common evaluation method for web application security assessments
> between security auditors and final customers.
>
> http://ccwapss.blogspot.com/
> http://www.xmcopartners.com/whitepapers/ccwapss_1.1.pdf
>
>
> []z! Rodrigo Montoro (Sp0oKeR)
>
> --
> =========================
>     Rodrigo Ribeiro Montoro
>      Analista de Segurança
>    SnortCP / RHCE / LPIC-I
> http://spookerlabs.multiply.com
> =========================
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
>
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
>
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
>
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazil/attachments/20071121/631d552f/attachment.html 


More information about the Owasp-brazil mailing list