Use este identificador para citar ou linkar para este item: http://repositorio.unb.br/handle/10482/17874
Título: Abordagem ontológica para mitigação de riscos em aplicações web
Autor(es): Marques, Marcius Montedo
Orientador(es): Ralha, Célia Ghedini
Assunto: Segurança da informação
Ontologia
Data de publicação: 10-Abr-2015
Data de defesa: 12-Dez-2014
Citação: MARQUES, Marcius Montedo. Abordagem ontológica para mitigação de riscos em aplicações web. 2014. 92 f., il. Dissertação (Mestrado em Informática)—Universidade de Brasília, Brasília, 2014.
Resumo: Segurança da Informação (SegInfo) está se tornando um quesito de alta prioridade no suporte às atividades de negócios, a medida que as organizações se esforçam para que seus dados fiquem disponíveis e seguros em aplicações web. Entretanto, a segurança não é uma preocupação presente desde o início do processo de desenvolvimento, principalmente porque os desenvolvedores não são especialistas no assunto. Consequentemente, sistemas vulneráveis são projetados e, quando atacados, podem comprometer os dados e operações das organizações, resultando em grandes perdas financeiras. Em uma pesquisa realizada com mais de 200 desenvolvedores de aplicativos, verificou-se que, apesar de perceberem o quão importante é o seu papel no processo de garantia da segurança, a grande maioria não está interessada em aprender os detalhes necessários para desenvolver soluções seguras. Como a maioria dos ataques miram a camada de aplicação, propomos uma abordagem inteligente baseada em ontologia para mitigar os riscos em aplicações web. Este tipo de abordagem não requer que os desenvolvedores frequentem cursos de segurança de longa duração, ou leiam extensos livros e pesquisem diversas páginas sobre SegInfo para adquirir os conhecimentos necessários para produzir aplicações mais seguras. Uma abordagem ontológica também contribui para a disseminação do conhecimento sobre SegInfo e reduz o trabalho de implementação de aplicações web seguras nas organizações. A base de conhecimento para construção da ontologia se fundamenta em três repositórios conhecidos que tratam de vulnerabilidades: OWASP 1 Top 10, OWASP ASVS 2 e CWE3. Eles são combinados e aplicados para reduzir a lacuna entre o desenvolvedor e as informações relacionadas à segurança. O modelo proposto é aplicado na fase de projeto do desenvolvimento em diversos casos reais, tendo como resultado aplicações web mais seguras. A ontologia, extensível e reutilizável, é avaliada quantitativamente e qualitativamente para efeitos de comparação. Os resultados mostram que as vulnerabilidades podem ser reduzidas por meio do aumento direcionado da conscientização sobre segurança dos desenvolvedores web durante o processo de desenvolvimento das aplicações. ____________________________________________________________________________________ ABSTRACT
Information Security (InfoSec) is becoming a high priority asset to support business activities, as organizations struggle to assure that data is available and secure in web applications. However, security is not a concern from the beginning of the development process, mainly because developers are not security specialists. Consequently, vulnerable systems are designed and when attacked can compromise organization's data and operations, enclosing high financial losses. On a survey performed with more than 200 application's developers, it was found that although they realize how important is their role in the security assurance process, the huge majority is not interested in learning security in depth to develop solutions. Because most attacks target the application layer, we propose an intelligent approach based on ontology to mitigate risks in web applications. This type of approach does not require developers to go through long time consuming courses, books or different sites about InfoSec in order to acquire the needed knowledge to produce more secure applications. An ontological approach can also contribute to InfoSec knowledge dissemination and reduce the burden of implementing secure web applications on organizations. The knowledge base to build the ontology is from three well known sources about vulnerabilities: OWASP Top 10, OWASP ASVS and CWE. They are merged and applied together to reduce the gap between the application developer and the security related information. The proposed model is employed in the development's design phase of several real case scenarios; with more secure web applications as the outcome. The extensible and reusable developed ontology is evaluated quantitatively and qualitatively for comparison purposes. The results show that vulnerabilities can be reduced by increasing the security awareness of web developers during the application development process.
Descrição: Dissertação (mestrado)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciências da Computação, 2014.
Licença: A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor com as seguintes condições: Na qualidade de titular dos direitos de autor da publicação, autorizo a Universidade de Brasília e o IBICT a disponibilizar por meio dos sites www.bce.unb.br, www.ibict.br, http://hercules.vtls.com/cgi-bin/ndltd/chameleon?lng=pt&skin=ndltd sem ressarcimento dos direitos autorais, de acordo com a Lei nº 9610/98, o texto integral da obra disponibilizada, conforme permissões assinaladas, para fins de leitura, impressão e/ou download, a título de divulgação da produção científica brasileira, a partir desta data.
Aparece nas coleções:CIC - Mestrado em Informática (Dissertações)

Arquivos associados a este item:
Arquivo Descrição TamanhoFormato 
2014_MarciusMontedoMarques.pdf1,55 MBAdobe PDFVisualizar/Abrir


Os itens no repositório estão protegidos por copyright, com todos os direitos reservados, salvo quando é indicado o contrário.