Modelagem de software baseada em análise de vulnerabilidades é um processo de análise feita durante o desenvolvimento de uma aplicação, onde devemos identificar os bens ou recursos que aplicação deve proteger e avaliar a necessidade de proteção em relação aos acessos de usuários aos recursos do sistema e sua possibilidade de ação/interação na aplicação.
Devemos ter em mente o ativo que pretendemos proteger e como desenvolvedores podem simular invasões na aplicação e exploração dos pontos de coleta de informações. Este processo deve ser repetido durante a análise, construção, teste e manutenção da aplicação.
Criar uma visão geral da arquitetura também torna o sistema mais seguro, já que ao documentar os processos do mesmo com seus limites de confiança, fluxo de dados e subsistemas nos permitindo controlar o andamento do processo e controlar alteração que possam torna a aplicação vulnerável quando modificada.
Decompor a aplicação facilita o caminho para a busca de vulnerabilidade do sistema, pois com a separação podemos dividir tarefas que podem ser verificadas em momentos distintos por pessoas diferentes e esta separação também proporciona um alcance maior das deficiências do sistema.
Com as atividades anteriores encaminhadas chega o momento de identificar as ameaças, para tal devemos pensar como um invasor com muito conhecimento do sistema e executar ações que explorem estes pontos fracos do sistema. Devemos documentar e criar rotinas e processos a serem executados para garantir e ineficácia da ação do invasor.
Devemos ter em mente uma melhoria constante do processo com verificações periódicas. Conforme o projeto evolui e as ameaças se atualizam, também devemos estar atentos a modificações no sistema e isso é indispensável para o sucesso do processo com um todo.
O uso desta análise torna mais visível os problemas de segurança em softwares, principalmente web. Os desenvolvedores de software devem adotar tais procedimentos como práticas diárias, pois trazem retornos satisfatórios no que tange a segurança, funcionando como uma forma de prevenção a possível invasores destes aplicativos .
Por Luís Carlos Loppe
Artigo do Seminário de Segurança em Desenvolvimento de Sistemas 2011-2
Revisão Thiarlei Macedo | Fonte Micreiros.com