[Owasp-brazil] CCWAPSS - CommonCriteria WebApplication SecurityScoring

Marcos Aurelio Rodrigues deigratia33 at gmail.com
Thu Nov 22 05:31:33 EST 2007


Sou novo na lista, conheco poucos de voces (trabalho com quem iniciou
a thread, hehe), mas quero deixar minha opniao...

Concordo com praticamente tudo que foi dito, porem se analisarmos as
falhas de uma determinada aplicacao e nao passarmos pra frente estas
falhas, as convertendo em valores fincanceiros e possiveis prejuizos
deixando explicitamente no qualitativo...com certeza nao irao dar a
minima, acredito que em sua  maioria temos que fazer a conversao do
lucro que estao tendo com a aplicacao problematica versus a perda
financeira no caso de falha...


Marcos

On Nov 21, 2007 10:47 PM, Ana Cristina Almeida <acrdutra at gmail.com> wrote:
> Já que sou a única mulher da lista (até agora),
> a minha humilde opinião:
>
> Se o referido sistema dá lucro, mesmo com bugs e suas inseguranças, o Final
> Costumer não vai ligar muito para gap analysis de segurança em web, não.
> E até agora, ainda não vi, nenhum fornecedor oferecendo sistema com base em
> critérios de segurança.
> Entretanto, eu realmente gostaria de ver um exemplo destes.
> Concordo com o Cima quando ele fala sobre a nota de 0 a 10.
> Critérios quantitativos são muito falhos porque o que conta mesmo em uma
> análise de segurança, são os critérios qualitativos. E estes, são difíceis
> de se mensurar.
> Aí, o que conta mesmo é a expertise do consultor. Quanto maior expertise ele
> tiver no negócio em questão, ou mesmo, feeling, melhor análise fará...
>
> Meus 2 cents de contribuição,
>
> Ana
>
>
>
>
> On 11/20/07, Wagner Elias <wagner.elias at gmail.com> wrote:
> > Opa Cima,
> >
> > Talvez eu não me expressei bem. Sim, se não existir um padrão não existe
> > comparação entre o atual e desejado. Eu uso referência, como citei no meu
> > e-mail. Agora o que eu não acho adequado é responder um questionário e
> dizer
> > você está bem ou mal. A questão que o paper coloca, com certeza não faria
> > parte da minha análise.
> >
> > Eu não cheguei a utilizar em projetos mas, IMHO acredito que é uma base
> para
> > se desenvolver um Gap Analysis, já que o paper é baseado no OWASP (não é
> uma
> > ISO ou padrão mas é referência em segurança web).
> >
> > Att.
> > Wagner Elias
> >
> > -----Original Message-----
> > From: owasp-brazil-bounces at lists.owasp.org
> > [mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Fernando Cima
> > Sent: segunda-feira, 19 de novembro de 2007 17:09
> > To: owasp-brazil at lists.owasp.org
> > Subject: Re: [Owasp-brazil] CCWAPSS - CommonCriteria WebApplication
> > SecurityScoring
> >
> > Oi Wagner,
> >
> > Gap analysis por definição requer que se tenha um padrão de referência
> para
> > fazer a comparação. Mas acho que a idéia por tras disso é outra, é mesmo
> dar
> > uma nota de 1 a 10 para a "segurança" da aplicação Web. Do paper:
> >
> > "One of the main questions security auditors have to answer is : 'What is
> > our security level on a /10 basis ?'"
> >
> > Essa pergunta não faz o menor sentido, e um profissional de segurança
> > deveria resistir a respondê-la mesmo sob tortura, e aproveitar para educar
> o
> > cliente. Ao invés disso esse pessoal criou uma "metodologia" para calibrar
> o
> > chute.
> >
> > Abracos,
> >
> > - Fernando Cima
> >
> > -----Original Message-----
> > From: owasp-brazil-bounces at lists.owasp.org
> > [mailto: owasp-brazil-bounces at lists.owasp.org] On Behalf Of Wagner Elias
> > Sent: segunda-feira, 19 de novembro de 2007 12:27
> > To: owasp-brazil at lists.owasp.org
> > Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria WebApplication
> > SecurityScoring
> >
> > Hahaha...Isso que eu gosto Cima, simples, objetivo e direto.
> >
> > Por isso mesmo eu utilizaria apenas como Gap Analysis. Eu tenho uma
> > pontuação de 1 a 10 e complemento com uma análise nos projetos do OWASP.
> > Todos os projetos de Gap Analysis que eu já realizei possuem uma métrica e
> > um forte trabalho de análise e conclusão. O ponto chave do seu comentário
> é
> > o "Final Customer", pois, ele espera no mínimo um check-list que aponte
> > quais as vulnerabilidades e o nível. Já eu como consultor não sinto
> > confortável em desenvolver trabalhos apenas baseado em check-lists ou
> > padrões. Eu utilizo uma referência (OWASP, ISSO, BS, Etc...) e uma análise
> > caso a caso.
> >
> > Att.
> > Wagner Elias
> >
> > -----Original Message-----
> > From: owasp-brazil-bounces at lists.owasp.org
> > [mailto: owasp-brazil-bounces at lists.owasp.org] On Behalf Of Fernando Cima
> > Sent: segunda-feira, 19 de novembro de 2007 13:03
> > To: owasp-brazil at lists.owasp.org
> > Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria WebApplication
> > SecurityScoring
> >
> > Oi Wagner,
> >
> > Eu não conhecia, li e para dizer a verdade achei bem ruim.
> >
> > Depois de ler o paper, a pergunta que ficou é "para quê serve isso?". De
> uma
> > avaliação de segurança um "final customer" vai esperar uma descrição das
> > vulnerabilidades encontradas e o seu nível de risco, ou se a aplicação
> está
> > em conformidade com alguma norma ou padrão. Uma nota de 1 a 10 para mim
> não
> > diz nada e não serve para nada.
> >
> > Mas os desenhos ficaram bonitos ;)
> >
> > Abracos,
> >
> > - Fernando Cima
> >
> >
> >
> > -----Original Message-----
> > From: owasp-brazil-bounces at lists.owasp.org
> > [mailto: owasp-brazil-bounces at lists.owasp.org] On Behalf Of Wagner Elias
> > Sent: segunda-feira, 19 de novembro de 2007 07:52
> > To: owasp-brazil at lists.owasp.org
> > Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria Web Application
> > SecurityScoring
> >
> > Eu conheço Rodrigo. Ainda não tive oportunidade de utilizar mas, achei
> > interessante para realizar um Gap Analysis de segurança em aplicações web.
> >
> > Att.
> > Wagner Elias
> >
> > -----Original Message-----
> > From: owasp-brazil-bounces at lists.owasp.org
> > [mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Rodrigo Montoro
> > (Sp0oKeR)
> > Sent: sábado, 17 de novembro de 2007 10:52
> > To: owasp-brazil at lists.owasp.org
> > Subject: [Owasp-brazil] CCWAPSS - Common Criteria Web Application
> > SecurityScoring
> >
> > Alguém conhece ou já usou?
> >
> > The purpose of the scoring scale CCWAPSS (to be pronounced [sisiwaps]) is
> to
> > share a common evaluation method for web application security assessments
> > between security auditors and final customers.
> >
> > http://ccwapss.blogspot.com/
> > http://www.xmcopartners.com/whitepapers/ccwapss_1.1.pdf
> >
> >
> > []z! Rodrigo Montoro (Sp0oKeR)
> >
> > --
> > =========================
> >     Rodrigo Ribeiro Montoro
> >      Analista de Segurança
> >    SnortCP / RHCE / LPIC-I
> > http://spookerlabs.multiply.com
> > =========================
> > _______________________________________________
> > Owasp-brazil mailing list
> > Owasp-brazil at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazil
> >
> > _______________________________________________
> > Owasp-brazil mailing list
> > Owasp-brazil at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazil
> > _______________________________________________
> > Owasp-brazil mailing list
> > Owasp-brazil at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazil
> >
> > _______________________________________________
> > Owasp-brazil mailing list
> > Owasp-brazil at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazil
> > _______________________________________________
> > Owasp-brazil mailing list
> > Owasp-brazil at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazil
> >
> > _______________________________________________
> > Owasp-brazil mailing list
> > Owasp-brazil at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazil
> >
>
>
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
>
>



-- 
========================================
Marcos Aurelio Rodrigues (DE!Gr4t!4-33)
<deigratia33 at gmail.com>
CCNA
Mirabilia laudo semprer, Dei
========================================


More information about the Owasp-brazil mailing list