http://repositorio.unb.br/handle/10482/17874
File | Description | Size | Format | |
---|---|---|---|---|
2014_MarciusMontedoMarques.pdf | 1,55 MB | Adobe PDF | View/Open |
Title: | Abordagem ontológica para mitigação de riscos em aplicações web |
Authors: | Marques, Marcius Montedo |
Orientador(es):: | Ralha, Célia Ghedini |
Assunto:: | Segurança da informação Ontologia |
Issue Date: | 10-Apr-2015 |
Data de defesa:: | 12-Dec-2014 |
Citation: | MARQUES, Marcius Montedo. Abordagem ontológica para mitigação de riscos em aplicações web. 2014. 92 f., il. Dissertação (Mestrado em Informática)—Universidade de Brasília, Brasília, 2014. |
Abstract: | Segurança da Informação (SegInfo) está se tornando um quesito de alta prioridade no suporte às atividades de negócios, a medida que as organizações se esforçam para que seus dados fiquem disponíveis e seguros em aplicações web. Entretanto, a segurança não é uma preocupação presente desde o início do processo de desenvolvimento, principalmente porque os desenvolvedores não são especialistas no assunto. Consequentemente, sistemas vulneráveis são projetados e, quando atacados, podem comprometer os dados e operações das organizações, resultando em grandes perdas financeiras. Em uma pesquisa realizada com mais de 200 desenvolvedores de aplicativos, verificou-se que, apesar de perceberem o quão importante é o seu papel no processo de garantia da segurança, a grande maioria não está interessada em aprender os detalhes necessários para desenvolver soluções seguras. Como a maioria dos ataques miram a camada de aplicação, propomos uma abordagem inteligente baseada em ontologia para mitigar os riscos em aplicações web. Este tipo de abordagem não requer que os desenvolvedores frequentem cursos de segurança de longa duração, ou leiam extensos livros e pesquisem diversas páginas sobre SegInfo para adquirir os conhecimentos necessários para produzir aplicações mais seguras. Uma abordagem ontológica também contribui para a disseminação do conhecimento sobre SegInfo e reduz o trabalho de implementação de aplicações web seguras nas organizações. A base de conhecimento para construção da ontologia se fundamenta em três repositórios conhecidos que tratam de vulnerabilidades: OWASP 1 Top 10, OWASP ASVS 2 e CWE3. Eles são combinados e aplicados para reduzir a lacuna entre o desenvolvedor e as informações relacionadas à segurança. O modelo proposto é aplicado na fase de projeto do desenvolvimento em diversos casos reais, tendo como resultado aplicações web mais seguras. A ontologia, extensível e reutilizável, é avaliada quantitativamente e qualitativamente para efeitos de comparação. Os resultados mostram que as vulnerabilidades podem ser reduzidas por meio do aumento direcionado da conscientização sobre segurança dos desenvolvedores web durante o processo de desenvolvimento das aplicações. |
Abstract: | Information Security (InfoSec) is becoming a high priority asset to support business activities, as organizations struggle to assure that data is available and secure in web applications. However, security is not a concern from the beginning of the development process, mainly because developers are not security specialists. Consequently, vulnerable systems are designed and when attacked can compromise organization's data and operations, enclosing high financial losses. On a survey performed with more than 200 application's developers, it was found that although they realize how important is their role in the security assurance process, the huge majority is not interested in learning security in depth to develop solutions. Because most attacks target the application layer, we propose an intelligent approach based on ontology to mitigate risks in web applications. This type of approach does not require developers to go through long time consuming courses, books or different sites about InfoSec in order to acquire the needed knowledge to produce more secure applications. An ontological approach can also contribute to InfoSec knowledge dissemination and reduce the burden of implementing secure web applications on organizations. The knowledge base to build the ontology is from three well known sources about vulnerabilities: OWASP Top 10, OWASP ASVS and CWE. They are merged and applied together to reduce the gap between the application developer and the security related information. The proposed model is employed in the development's design phase of several real case scenarios; with more secure web applications as the outcome. The extensible and reusable developed ontology is evaluated quantitatively and qualitatively for comparison purposes. The results show that vulnerabilities can be reduced by increasing the security awareness of web developers during the application development process. |
metadata.dc.description.unidade: | Instituto de Ciências Exatas (IE) Departamento de Ciência da Computação (IE CIC) |
Description: | Dissertação (mestrado)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciências da Computação, 2014. |
metadata.dc.description.ppg: | Programa de Pós-Graduação em Informática |
Licença:: | A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor com as seguintes condições: Na qualidade de titular dos direitos de autor da publicação, autorizo a Universidade de Brasília e o IBICT a disponibilizar por meio dos sites www.bce.unb.br, www.ibict.br, http://hercules.vtls.com/cgi-bin/ndltd/chameleon?lng=pt&skin=ndltd sem ressarcimento dos direitos autorais, de acordo com a Lei nº 9610/98, o texto integral da obra disponibilizada, conforme permissões assinaladas, para fins de leitura, impressão e/ou download, a título de divulgação da produção científica brasileira, a partir desta data. |
DOI: | http://dx.doi.org/10.26512/2014.12.D.17874 |
Appears in Collections: | Teses, dissertações e produtos pós-doutorado |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.