Cornucopia – Historias De Seguridad

¿Qué es la cornucopia?

Es un juego de cartas que te permite llevar a cabo una sesión amigable y amena entre el equipo de Seguridad y Desarrollo, utilizando técnicas de Gamification. Para iniciar la sesión debe tener los requisitos de funcionalidad en mente, para lograr el objetivo de identificar los requisitos de Seguridad para incluirlos en las iteraciones de los procesos agiles, inclusive son válidos para los proyectos en cascada.

La Idea

Cornucopia fue creado con la teniendo en mente ayudar a los equipos de desarrollo, especialmente a los equipos que utilizan metodología ágil para que puedan identificar los requisitos de seguridad de manera temprana y ajustar sus historias de usuario considerando la seguridad. Esta idea se llevó a cabo por la motivación generada por medio de una publicación de SAFECode de “Historias practicas de seguridad y tareas de seguridad para entornos de desarrollo ágil” en Julio del 2012.

El equipo SDL de Microsoft para entonces, ya había publicado “Elevation of Privilege: The Threat Modeling Game” (EoP), pero parecía que no abordaba el tipo de problemas que se presentan en los equipos de aplicaciones web. EoP es un gran concepto y su estrategia de juego fue publicado bajo una licencia de atribución Creative Commons.

Así que Cornucopia se basó en conceptos y las ideas de juegos de EoP, pero se ha modificado para que sean más relevantes respecto a los tipos de problemas que enfrentan los desarrolladores web en el comercio electrónico. Además, intenta introducir al análisis y modelado de amenazas en los equipos agiles, que están mas centrados en las debilidades de las aplicaciones web que otro tipo de vulnerabilidades de software, o quienes no están familiarizados con STRIDE y DREAD.

Para comenzar a utilizar Cornucopia:

  1. Descargar las cartas
  2. Imprimirlas en papel normal o especial
  3. Cortar y separar las tarjetas en individual
  4. Identificar una aplicación, o módulos de ella a evaluar.
  5. Invite a los Owners del negocio, arquitectos, desarrolladores y testers a un juego de cartas.
  6. Consiga que la gente patrocine el evento con: Pizza, Chocolate, Cerveza y Premios para el ganador.
  7. Seleccionar una parte del mazo de cartas para empezar
  8. Juega y discute, también es necesario documentar los requisitos de seguridad por cada ronda.
  9. Se acumula puntos para ganar premios

La versión más actualizada de cartas es la v1.2 – Descargar

Baraja de Cartas

E Commerce Website Edition.

En lugar de utilizar STRIDE de EoP. Cornucopia selecciona las secciones según la estructura de buenas prácticas de codificación segura del OWASP SCP (Secure Coding Practices-Quick References Guide), pero con una consideración adicional a las secciones del OWASP ASVS (Application Security Verification Standard), OWASP Web Security Testing Guide y los principios de desarrollo seguro de David Rook’s, quien proporciona las 5 categorías, más uno adicional, llamado cornucopia.

  1. Data Validation and Encoding
  2. Authentication
  3. Session Management
  4. Authorization
  5. Cryptography
  6. Cornucopia

Cada una de las suits contiene 13 cartas (As, 2 al 10, Jack, Queen y King), también hay 2 cartas de Jocker. El Contenido se extrajo principalmente del SCP.

Otras Barajas

En el futuro, se crearán otras barajas que harán referencias a otros patrones y buenas practicas seguras.

Mappings

Cornucopia logra vincular los ataques con los requisitos y verificación de las técnicas de verificación, al referenciar los ID de la debilidad identificada con CWE (Common Weakness Enumeration), pero debido a que son muy numerosos en lugar de referenciar directamente a CWE se hizo hacia el patrón de ataque de software CAPEC (Common Attack Pattern Enumeration and Classification) que asignan CWE, así que el resultado será el mismo. Solo debes de verificar en otro patrón.

A cada tarjeta se le asignan 36 historias de seguridad, así como se hace referencia a OWASP SCP V2, ASVS v3.0.1 y AppSensor (Deteccion y respuesta de ataques de aplicaciones) con ello, ayudar a los equipos a diseñar sus propias historias de seguridad dentro de su proceso ágil e iterativo.

Referencias Web