IMPLEMENTANDO SEGURIDAD END POINT

punto final" puede significar una gran variedad de dispositivos desde estaciones de trabajo para PDAs, ordenadores porttiles a telfonos inteligentes , este captulo se utiliza el "punto final" en el sentido de una equipo individual o dispositivo que acta como un cliente de red. Adems de los comunes extremos tales como ordenadores porttiles, sistemas de escritorio y PDA, servidores tambin pueden ser considerados puntos finales en un entorno de red. se analiza la variedad de amenazas que se ciernen Tambin se analizan las tecnologas especficas de Cisco que han sido diseados para ayudar a protegerlos.

Defining Endpoint Security

Antes de que usted puede tomar medidas para defender sus puntos finales, que deben

comprender mejor lo que seguridad de punto final es y en qu consiste. Vamos a comenzar por la exploracin de los derechos fundamentales principios que intervienen en la seguridad del host, as como discutir la necesidad de defender los puntos finales de virus, gusanos, troyanos y otras amenazas de seguridad. Cisco basa su estrategia para asegurar los ejrcitos, as como la red social ms general y necesidades de las empresas de seguridad, en tres grandes elementos

Elementos de seguridad cisco

Elementos Proteccin END POINT Descripcion Los agentes de seguridad cisco proporciona una nuevo comportamiento basada en la tecnologa tecnologa que est diseada para proteger los extremos de la amenaza que de los virus, troyanos y gusanos Para asegurarse de que cumple todos los parmetros y politicas de seguridad de red antes de que se conceda el acceso a la red, las organizaciones puede emplear el marco de Cisco NAC. Contar con NAC asegura que los dispositivos compatibles se proporcionan acceso. No cumplen las normas a los dispositivos se les niega el acceso, puestos en cuarentena, o dado acceso restringido a los recursos. Cisco ha introducido la red de contencin para hacer frente a los nuevos mtodos de ataque que pueden comprometer una red. El enfoque de contencin es automatizar los elementos clave de la infeccin respuesta de proceso. Este servicio se proporciona a travs de varios de Cisco La defensa de Auto-Network (SDN) elementos como el NAC de Cisco Agente de Seguridad, y el sistema de prevencin de intrusiones (IPS

Control de admisin de red (NAC)

Contencin de infeccin de red

Los extremos en el entorno de ejecutar varias piezas de software, as como los sistemas operativos potencialmente diferentes. Tener una seguridad de punto final la estrategia es fundamental para la proteccin de su entorno, ya que el software que estos sistemas ejecucin ha tenido histricamente las debilidades que los atacantes a menudo explotados. Un mtodo para esto es utilizar "seguro" (confiable) de software que est diseado especficamente para proteger los datos y resistir los intentos de ataque. En la prctica, sin embargo, "seguro" de software ha generalmente se utiliza slo con los militares y en los sistemas crticos comerciales. Este tipo de software normalmente es a la medida por escrito y no est disponible comercialmente. As las cosas, qu hacer cuando sus extremos se ejecutan menos seguro a software comercial satisfacer sus necesidades de negocio? Un paso que puede tomar es la de "endurecer" el software. El endurecimiento es el proceso de asegurar que todos los parches conocidos y correcciones de seguridad se han aplicado al software, as como ajuste de los valores recomendados para bloquear las vulnerabilidades conocidas. Para hacerlo con xito e, usted necesita una amplia documentacin del software interno, que a menudo no es proporcionada por los distribuidores.Secure software has two main areas of focus:
Security of operating systems Security of applications that run on top of the operating system

Examining Operating System Vulnerabilities Los criterios de valoracin diferentes que apoyamos en nuestras redes cada soporte algn tipo de punto final, si se trata de un sistema operativo de escritorio (OS) o sistema operativo de red (NOS). Estos sistemas operativos proporcionan un conjunto de servicios de seguridad bsica para todas las aplicaciones

Servicios de segurida d basica cdigo de confianza

Descripcion

Esta es la garanta de que el cdigo del sistema operativo no es comprometida. Esta garanta puede ser proporcionada a travs de un proceso de comprobacin de la integridad de todos los cdigo que se ejecuta con llave basado en HMAC Message Authentication Code (HMAC) o las firmas digitales. Un garanta adicional podra ser el requisito de integridad verificacin de software adicional en la instalacin. Firmas digitales Tambin puede usar aqu para proporcionar un nivel de seguridad de que el cdigo es autntico y sin concesiones

Servicios de seguridad basica Ruta de acceso de confianza Una ruta de confianza es una planta que ayuda a asegurar que un usuario est utilizando una verdadero sistema y no un caballo de Troya. Un ejemplo de ello es la Ctrl-Alt-Delete key sequence used to log into various Windows operating systems, such as Windows NT, Windows Server 2003, and Windows XP. Proporciona un grado de autenticacin de la identidad y ciertos privilegios sobre la base de la identidad Proporciona la separacion y el aislamiento de otros usuarios y sus datos Garantiza la confidencialidad y la integridad de los datos

Ejecucin de contexto privilegiado

Proceso de proteccion y aislamiento de la memoria Ntrol de acceso de recursos

Incluso con estos servicios bsicos de seguridad en su lugar, un atacante podra desencadenar un ataque. Si bien el cdigo de confianza o una ruta de confianza que no estn presentes o comprometido a ser, la sistema operativo y todas las aplicaciones fcilmente podran ser vctimas de cdigo hostil. Agregando a su desafo en la defensa de estos criterios de valoracin es el hecho de que un sistema operativo puede ser hizo ms vulnerable si hay una necesidad de proporcionar apoyo para los protocolos de legado. La estandarizacin de un sistema probado, operativos modernos pueden ayudar a disminuir la necesidad de tal legado de apoyo. Una de las ventajas que ofrecen los sistemas operativos modernos es que proporcionan cada proceso con una identidad y los privilegios. Durante la operacin del programa, el cambio de privilegios es posible, o esto puede ocurrir durante una sesin de inicio de sesin nico. El mundo UNIX tiene el suid (set-UID) instalaciones para ofrecer esta capacidad, mientras que los modernos sistemas operativos de Microsoft Windows tiene la utilidad runas. Ya sea que usted est trabajando con un sistema operativo UNIX o una de las versiones de Windows, varios tcnicas pueden ayudar a proteger los puntos finales comunes de vulnerabilidades del sistema operativo.

Tecnoica de proteccion Concepto de Least-privilege

descripcion El concepto de privilegio mnimo es bastante sencillo: un proceso Nunca se debe dar ms privilegios de lo necesario para llevar a cabo un puesto de trabajo. Por desgracia, este concepto es ms fcil de entender de lo que es seguir a veces, lo que lleva a muchas formas de vulnerabilidades.

Aislamient El aislamiento entre los procesos deben ser proporcionados por el o entre sistema operativo procesos sistema y puede ser fsica o virtual. Un ejemplo de esto el aislamiento es el uso de hardware para proporcionar una proteccin de memoria. Otro medio utilizado por algunos sistemas operativos de confianza es proporcionar "compartimentos lgica de ejecucin."

Referencia Se trata de un concepto de control de acceso que se refiere a un de monitos mecanismo o proceso que interviene en todos los accesos a los objetos. Un punto central para todas las las decisiones de poltica es proporcionada por el monitor de referencia, que normalmente implementa las funciones de auditora para llevar un registro de acceso como as. La mayora de los sistemas operativos proporcionan una forma de referencia monitor. Adems, las organizaciones que trabajan con Cisco Agente de Seguridad, que tambin funciona esencialmente como una referencia monitor Pequeas y Proporcionar pequeos trozos, verificable de cdigo es esencial para todos controlabl los funcionalidad de seguridad. Estas pueden entonces ser administrados y es, supervisado por un monitor de referencia. piezas de cdigo

El objetivo de la mayora de los atacantes es acceder a una aplicacin que se ejecuta en un host que procesos de datos sensibles. Al ganar acceso a una aplicacin que se ejecuta en un host, el atacante puede penetrar en los datos sensibles que quiere obtener. Si el alojamiento de aplicaciones los datos sensibles se est ejecutando de manera que un atacante tiene la opcin de comunicarse directamente con la aplicacin, debe asegurarse de que la solicitud est debidamente protegido contra esta amenaza potencial. Si el objetivo de un atacante es poner en peligro la confidencialidad de la los datos sensibles, los ataques se centrarn en lo que le permite obtener acceso de lectura o escritura a los datos a travs de la aplicacin. Otra forma de ataque, una denegacin de servicio (DoS) en un determinado aplicacin, puede tratar de presentar la solicitud y los datos disponibles para los usuarios legtimos. Un ejemplo de esto podra ser un ataque lanzado contra una base de datos que soporta una gran aplicacin de comercio electrnico.

Un mtodo comn utilizado en los ataques de esta naturaleza implica saturar el objetivo (la vctima) mquina con solicitudes de comunicacin externa. Ya que aumentan las peticiones de comunicacin, el sistema est abrumado y no puede responder al trfico legtimo, o sus respuestas son tan lento que se representa efectivamente disponible. Estos ataques de denegacin de servicio puede ser implementado por dos medios principales: Forzar el equipo de destino (s) para restablecer, o consumir sus recursos para que no se puede ya prestar el servicio objeto La obstruccin a los medios de comunicacin entre los usuarios previstos y la vctima mquina de modo que ya no pueden comunicarse

Los ataques pueden ocurrir en una variedad de maneras. Un atacante puede atacar una aplicacin directa por la explotacin de un flujo conocido o vulnerabilidad en la propia demanda. Tambin puede atacar a los aplicacin sin pasar por los controles de acceso y, al hacerlo, el aumento de leer o escribir el acceso a los datos sensibles. Como actividad comercial y aplicaciones personales se vuelven ms complejos, el probabilidad de fallas y vulnerabilidades ha crecido. Para muchas organizaciones, el costo y el tiempo involucrados para desarrollar aplicaciones personalizadas seguro que sea una opcin menos de lo factible. Otra forma de ataque a nivel de aplicacin es "la elevacin de privilegios." En este tipo de ataque, un atacante obtiene acceso a datos sensibles utilizando una serie de compromisos de otros componentes del sistema. Un atacante puede obtener acceso a un principio de base a nivel de usuario en el sistema donde los datos sensibles son almacenados. Despus de haber ganado este acceso bsico, el atacante podra explotar un fallo dado en cualquier aplicacin local, usando esto para lograr la administracin del sistema privilegios. Ahora, con privilegios administrativos, el atacante puede ser capaz de leer o escribir mayora de los objetos en el sistema, incluyendo los datos confidenciales en poder de la aplicacin de destino.

Amenazas de desbordamiento de buffer

Para comprender la amenaza que los desbordamientos de

bfer cuando se presente la defensa de los extremos, debe primero entender lo que un desbordamiento de bfer en realidad es y cmo las aplicaciones funcionan. Cuando un usuario o de otra fuente interacta con una aplicacin, tiene que verificar cuidadosamente todas las entradas, ya que la entrada puede contener datos de un formato incorrecto, secuencias de control, o simplemente demasiado datos para la aplicacin para trabajar. Cuando estas cosas ocurren, una condicin de desbordamiento de bfer pueden surgir. Los atacantes cuenta de esto y tratar de aprovechar esta vulnerabilidad. De hecho, desbordamientos de bfer son un tipo muy comn de explotacin utilizados por los atacantes

 Un atacante que desencadena un desbordamiento

de buffer en esencia trata de sobreescribir la memoria en una pila de aplicaciones mediante el suministro de demasiados datos en el bfer de entrada. Debido a esta formade ataque utiliza naturaleza de la aplicacin contra s misma, puede ser difcil de detener. Por supuesto, no es fcil de descubrir la forma de iniciar un flujo de tampn y lo utilizan para explotar un sistema. Sin embargo, tan pronto como el atacante descubre las vulnerabilidades que conducen a esta condicin, l o ella puedeenvase el cdigo de explotacin para su uso generalizado

Desbordamiento de bfer definidos

Con un desbordamiento de bfer, un programa escribe datos ms all del final de un bfer asignado en la memoria. A menudo, los desbordamientos de bfer se derivan de un error en la aplicacin o del uso inadecuado de lenguajes como C o C + + que no son la memoria de averas. Cuando estos se producen desbordamientos, vlido los datos pueden ser sobrescritos y, por lo que estas amenazas particularmente peligroso. Desbordamiento de bfer son uno de los riesgos de seguridad ms explotados equipo porque de la estructura de cmo las computadoras manejan datos. Programa de control de datos en general se encuentra en el la memoria junto a los bferes de datos zonas. Un atacante podra iniciar una condicin de desbordamiento de bfer para hacer que el equipo ejecutar cdigo arbitrario y potencialmente maliciosos que entonces se alimenta de nuevo a la programa como de datos. Un ataque muy similar es un desbordamiento de heap. Aplicaciones asignar dinmicamente una pila conocida como el montn. Esto se hace en tiempo de ejecucin, y por lo general contiene los datos del programa. Los atacantes pueden objetivo de esto tambin y lo explotan de una manera similar

La Anatoma de un desbordamiento de buffer

Debido a desbordamientos de bfer son uno de los

mtodos ms comunes de la subversin aplicacin en uso hoy en Internet, es importante que usted entienda estos ataques y cmo detenerlos. Echemos un vistazo a la anatoma de un ataque de desbordamiento de bfer en detalle. En la mayora de los ataques de desbordamiento de bfer, el atacante trata de subvertir una funcin de programa que lee de entrada y llama a un subprograma. Lo que hace esto posible es que el programa de explotacin de la funcin no realiza los controles de entrada y asigna una longitud fija cantidad de memoria para los datos

Cuando una aplicacin hace una llamada a subrutina, coloca todos los parmetros de entrada en la pila. Para volver de la subrutina, la direccin de retorno tambin se coloca en la pila por la funcin de llamada. Un parmetro suministrado por el atacante puede sobrescribir la direccin de retorno, por ser demasiado largo para caben en su lugar en la pila

Descripcin de tipos de desbordamiento de bufer

La mayora de los ataques de desbordamiento de bfer se

utilizan para la raz o un sistema o causar un ataque DoS. Nosotros Buscar en cada uno de estos tipos de ataques. La frase "enraizar un sistema" viene del mundo Unix. Esto significa que un sistema tiene sido hackeado por lo que el atacante tiene root, o superusuario, privilegios. Enraizamiento de un sistema ms fcil de realizar, ya sea con raz remota o local desbordamientos de bfer raz. De estos dos, desbordamientos de bfer remoto raz son los ms peligrosos. Esto se debe a que un atacante puede "poseer el sistema en cuestin de segundos si el sistema est sin proteccin y vulnerables. Si usted piensa en trminos de los gusanos, el ms peligroso de estos se han aprovechado de bfer raz remota desbordamientos

 Local desbordamientos de bfer raz trabajo un poco diferente.

Este tipo de ataque requiere, en general algn tipo de asistencia en la distribucin de la hazaa. Esto se hace normalmente a travs de un virus que se transportados por correo electrnico, o puede hacerse usando un caballo de Troya-ejecutables infectados. Independientemente del mecanismo, el objetivo del atacante es el mismo. La gran mayora de las vulnerabilidades del software que se han descubierto son bfer desbordamientos. Es por eso que esta es un rea importante para comprender y defenderse. En De hecho, algunas investigaciones sugieren que dos de cada tres vulnerabilidades de software que se encuentra por CERT son desbordamientos de bfer. Como se discuti en una seccin posterior, Cisco ofrece tecnologas que puede defenderse contra desbordamientos de bfer, como el Cisco Security Agent, que en realidad puede prevenir desbordamientos de bfer

 Otras formas de ataque

Desbordamiento de bfer no son la nica preocupacin. El problema mayor es que un desbordamiento de bfer puede ser caballos utilizados para iniciar el cdigo malicioso como virus, gusanos y troyanos de manera que puedan tener acceso a su sistema y comenzar a hacer su dao. Dos de los ms destructivos gusanos que se han desatado en Internet son de SQL Slammer y Code Red. La la destruccin de estos gusanos causado ha sido posible gracias a distancia desbordamientos de bfer raz. En A diferencia de los gusanos, los virus son ms propensos a tener ventaja de local desbordamientos de bfer raz dar rienda suelta a sus hazaas. caballos de Troya, la mayor amenaza tercero vamos a examinar en este seccin, en general, se asemejan a los virus en los que explotan locales desbordamientos de bfer raz. Vamos a examinar cada uno de ellos en ms detalle

worms
Los gusanos son una forma de cdigos maliciosos que pueden

replicarse a s mismos sin de acogida a travs de redes de forma independiente por la explotacin de vulnerabilidades. En otras palabras, pueden reproducir sin necesidad de infectar un archivo, como un virus podra. Por otra parte, porque viven en la memoria RAM (y por su capacidad para la rplica), se increblemente difcil de derrotar y muy destructiva. Aunque pueda parecer que lo mejor manera de derrotar a algo que vive en la memoria es simplemente reiniciar el sistema, efectiva de borrar la memoria RAM, esto no se ocupa de la vulnerabilidad subyacente que hizo que el sistema sea vulnerable a los ataques. En un caso como el presente, el sistema sera fcilmente infectarse despus del reinicio si no se toman medidas adicionales para hacer frente a la vulnerabilidad. Agregando a la cuestin es que los gusanos generalmente no requieren de usuario la participacin y se pueden propagar muy rpido.

troyanos

Un caballo de Troya es diferente de los virus y gusanos en la que aparece ser un programa normal y til, pero en realidad contiene cdigo oculto, malicioso. Cuando el programa se ejecuta, se aprovecha de los privilegios del usuario que lo ejecuta. Esto puede ser particularmente peligroso si un programa como ste es ejecutado por una persona con privilegios de administrador. A menudo, los juegos se utilizan para disfrazar el cdigo malicioso. Mientras que el usuario juega el juego, todo parece normal, pero detrs de las escenas, tiene el caballo de Troya ha instalado en el sistema de la vctima. Una vez instalado, el programa de caballo de Troya contina funcionando despus de que el juego ha sido cerrada, desatando cualquier forma de ataque el programador previsto Debido a que el propsito de un caballo de Troya es cargar un programa en el sistema del usuario sin su conocimiento, la naturaleza de los ataques que desencadena puede ser muy variada. Algunos caballos de Troya pueden causar dao inmediato, y otras podran ser diseados para proporcionar una el acceso remoto al sistema a travs de una "puerta trasera". O el caballo de Troya puede sentarse y esperar para realizar acciones con las instrucciones a distancia, tales como la recogida y el envo de pulsaciones de teclado capturado por un programa keylogger se ejecuta en segundo plano en la mquina. caballos de Troya pueden ser difciles de defender. troyanos personalizados-por escrito, como los que tienen un objetivo especfico, son extremadamente difciles de detectar de forma automtica. Adems de tomando las medidas adecuadas con respecto a la tecnologa, la educacin del usuario final es tambin muy importantes. Una herramienta como el Cisco virus, gusanos y caballos de TroyaSecurity Agent es muy eficaz para derrotar a

 En el entorno informtico actual, la proteccin del

Cisco Security Agent

punto final debe abarcar ms que simples sistemas de escritorio. El Cisco Security Agent proporciona software de punto final con todas las funciones proteccin con capacidades de proteccin contra amenazas para el servidor, escritorio y, a punto de servicio- (POS), sistemas de computacin. Esta solucin altamente escalable y puede soportar hasta 100.000 agentes de una sola consola de administracin. Figura 7-4 muestra la arquitectura de Cisco Agente de Seguridad, que puede crecer con las necesidades cambiantes de una organizacin.

Gestin central de agentes de seguridad cisco Uso del Centro de gestin de Cisco Security Agent, puede anfitriones de la red se dividen en grupos segn su funcin y la seguridad los requisitos. A continuacin, puede configurar las polticas de seguridad para los grupos. El Centro de gestin de Cisco Security Agent tambin permite el registro de violacines de seguridad y puede enviar alertas por correo electrnicoo buscapersonas Agentes de seguridad cisco El componente Agente de Seguridad de Cisco est instalado en el host sistema y un seguimiento continuo de la actividad del sistema local y anlisis que las operaciones del sistema. Cisco Security Agent toma accin proactiva para bloquear el intento de la actividad maliciosa y las encuestasel Centro de gestin de Cisco Security Agent en configurables intervalos de cambios de poltica.

Cisco Security Agent Interceptors

Para ayudarle a entender cmo Cisco Security Agent trabajo interceptores, primero tenemos

que explorar cmo las aplicaciones de los recursos del sistema de acceso. Cada vez que una aplicacin necesita acceder al sistema recursos, tiene que hacer una llamada de sistema operativo para el ncleo. Cuando esto ocurre, el Cisco Security Agent intercepta estas llamadas al sistema operativo y los compara con la cach polticas de seguridad

 si la solicitud de violar la poltica de seguridad, el

Cisco Security Agent bloquea la solicitud y tiene una de las siguientes acciones: Un mensaje de error correspondiente se pasa de nuevo a la aplicacin. Se genera una alerta y se enva al Centro de gestin de Cisco Security Agent. Para detectar actividad maliciosa, el Cisco Security Agent correlaciona el operativo en particular sistema de llamada con el resto de llamadas realizadas por esa aplicacin o proceso. Al correlacionar estos eventos, se puede ver las irregularidades que denotan actividad maliciosa. Este "basada en el comportamiento" forma de deteccin aumenta la flexibilidad y elimina la necesidad de contar con las firmas y actualizaciones de firmas

Sistemas de archivos interceptor

Responsable de interceptar todos los archivos

ni leer ni escribir peticiones y ya sea permitiendo o denegando ellos basados en la poltica de seguridad

Intereceptores de red
Responsable del control de controlador de red Especificacin de Interfaz (NDIS) los cambios y

para limpiar las conexiones de red a travs de la polticas de seguridad. Esto tambin limita cuntas conexiones de red son permitido dentro de un perodo especfico de tiempo para ayudar a prevenir ataques DoS. Central de su funcin es proporcionar caractersticas tales como el endurecimiento SYN proteccin contra las inundaciones y el escaneo de puertos de deteccin.

Configuracin de interceptor
Responsable de interceptacin de lectura /

escritura de las solicitudes en el Registro de Windows o los archivos rc en UNIX. La interceptacin se produce porque modificar la configuracin del sistema operativo puede tener graves consecuencias. Todos los de lectura / escritura solicitudes en el registro estn estrechamente control de la seguridad por parte del Agente de Seguridad de Cisco

Espacio de ejecucin
Es responsabilidad de este interceptor para tratar de mantener

la integridad del entorno de ejecucin dinmica de cada solicitud. Para ello, la deteccin y bloqueo de las solicitudes de escribir a la memoria que no pertenecen a la aplicacin solicitante. En trminos de aplicacin prctica, cuando esta forma de ataque, el servicio especficas, tales como SMTP, FTP o TFTP, los accidentes. Ms informacin importante, el cdigo del atacante depsito no es lanzado con xito. Esto tambin bloquea los intentos de una solicitud para inyectar cdigo (como un biblioteca compartida o biblioteca de vnculos dinmicos [DLL]) en otro. Tampn ataques de desbordamiento tambin se detectan, ayudando a mantener la integridad de los recursos dinmicos, como el sistema de archivos y la configuracin de servicios web. Esto tambin ayuda a preservar la integridad de alta recursos dinmicos, como la memoria y la red I / O

funcionalidad de agentes de seguridad cisco

firewall distribuido: A travs de la red de interceptores, el CSA realiza la funciones de un firewall de host. CADERAS: El interceptor de red y el interceptor de la ejecucin del espacio se combinan para proporcionar la capacidad de alerta de un HIPS con la aplicacin proactiva de una poltica de seguridad Aplicacin de recinto de seguridad: El sistema de archivos, la configuracin y ejecucin de los interceptores de espacio actuar conjuntamente para proporcionar un entorno limitado de aplicaciones. Aqu usted puede ejecutar programas sospechosos con menos de un acceso normal a los recursos del sistema por razones de seguridad. gusano de redes de prevencin: Gusano de proteccin es proporcionada por la red y interceptores de la ejecucin del espacio sin necesidad de actualizaciones. la integridad del archivo del monitor: El sistema de archivos y la configuracin de los interceptores de trabajo as como para actuar como un monitor de integridad de los archivos. El agente de seguridad de Cisco est diseado con una serie de polticas preconfiguradas que implementan todos estos niveles de proteccin sin necesidad de configuracin adicional. Con la seguridad de Cisco Agente, las organizaciones tienen la flexibilidad para crear o cambiar las polticas si quieren, a medida a sus necesidades concretas.

metodos de proteccin de las llaves de aplicacin

Usando controles de acceso a las aplicaciones para hacer valer los privilegios mnimos y el uso seguro prcticas de programacin son los pasos ms importantes que puede tomar hacia la aplicacin la seguridad. La creacin de las lenguas ms seguro, de alto nivel, junto con la creciente toma de conciencia de la necesidad de seguridad de las aplicaciones entre los desarrolladores, ha dado lugar a una mayor seguridad en muchos de los sistemas actuales. Sin embargo, la mayora fuera de la plataforma de software utilizados por los consumidores y empresas sigue siendo muy vulnerable a los ataques simples que puede derrotar a su seguridad. La criptografa es otra rea de proteccin de la aplicacin que, cuando se utiliza correctamente, puede la confidencialidad, integridad, y garantiza la autenticidad de los datos. Estos mtodos criptogrficos a menudo se utilizan para proteger los datos cuando ya no est bajo la control de la aplicacin. Por ejemplo, la criptografa puede ser usado para cifrar los datos en un disco duro para que pueda ser ledo slo por la aplicacin. Otra aplicacin comn de la criptografa es utilizarlo para cifrar todos los datos a medida que fluye por la red entre los cliente y el servidor. Esto puede proporcionar la confidencialidad en una red insegura, o cuando se comunican mediante una red privada virtual a travs de Internet

No confiar en los datos de fuentes externas. Este cdigo puede ser malicioso y el dao puede su aplicacin. Tambin es importante para realizar la validacin de entrega rgida para asegurarse de que toda la informacin introducida en que la aplicacin cumple con sus expectativas. Con formato incorrecto en la entrada de una fuente maliciosos podran daar su sistema o bloquear la aplicacin. Por desgracia, hay que asumir que algunos de los usuarios que trabajan con un determinado solicitud puede ser malicioso. Los usuarios pueden crecer descontentos y usar su acceso a su red de la empresa para llevar a cabo diversos actos maliciosos que utilizan sus propias aplicaciones y acceso a la red. Usted necesidad de defender en contra de esta, as como contra los usuarios que podran sin querer hacer dao. Pueden hacerlo mediante la introduccin de las amenazas en la red y aplicaciones ya sea por el mal uso o por falta de conocimiento frente a tales las cosas como archivos adjuntos infectados y los programas maliciosos se hacen pasar por benigna freeware

 GRACIAS