System Security Engineering Assistant

S2 Engineering Assistant (S2EA) es una herramienta de modelado que da soporte a ingenieros de sistemas para adoptar y desplegar mecanismos de seguridad dinámicamente en tiempo de diseño. S2EA sigue un paradigma basado en modelos UML y establece un entorno de modelado controlado y supervisado para ayudar a los ingenieros de sistemas a crear sus arquitecturas de sistemas y a integrar en ellas los mecanismos de seguridad adecuados. 

System Security Engineering Assistant

Al mismo tiempo, asegura la integridad del diseño mediante una colección rigurosa de reglas de validación y verificación. De este modo, S2EA permite que los usuarios tomen las decisiones de diseño más apropiadas para sus requisitos de seguridad.

S2Ea ha sido creado como un plugin para MagicDraw, extendiendo sus capacidades con las acciones y las propiedades necesarias para satisfacer nuestro Proceso de Ingeniería de Seguridad. Esta herramienta extiende el entorno con nuevas funcionalidades que permiten crear, modificar, importar y almacenar los artefactos S2EA, además de facilitar sus usos. La herramienta mantiene el enfoque de metamodelo de tres capas de nuestra metodología de seguridad.

Este proceso empieza en un nivel abstracto y mediante diversas transformaciones, el modelo se convierte en una arquitectura software más específica, cercana a los parámetros y especificaciones del desarrollador. Para lograr este objetivo, S2EA usa el conocimiento de seguridad acumulado y expresado por expertos de en el área para satisfacer los requisitos de seguridad.

S2EA proporciona diferentes funcionalidades para los diferentes perfiles de usuario involucrados en el Proceso de Ingeniería de Seguridad, adaptando el entorno de modelado a las responsabilidades de cada rol. Dependiendo del rol del usuario y de sus privilegios, S2EA permite acceder, producir o administrar los artefactos de seguridad requeridos en las etapas intermedias de la metodología de seguridad. Además, todos los artefactos involucrados han de ser obligatoriamente validados antes de su uso o almacenaje en los repositorios de conocimiento de S2Ea. Esto se logra gracias a un fuerte sistema de verificación y validación OCL automático durante todo el proceso de modelado.

Los diferentes artefactos de seguridad se corresponden con las tres capas de la arquitectura del Proceso de Ingeniería de Seguridad, y son los siguientes:

  • El Core Security Metamodel (CSM) que define el lenguaje usado en el entorno de modelado.
  • El Domain Security Metamodel (DSM) que representa el conocimiento de seguridad para un dominio específico, usando los CSM como base.
  • Los Security Patterns (SFPs) y los Security Building Blocks (SBBs), ambos usados para expresar el comportamiento funcional de las soluciones, para suministrar realizaciones, para expresar la interacción entre componentes y para desplegar las implementaciones de software. Están incluidos en el DSM como parte e los mecanismos para cumplir con los requisitos de seguridad.

Finalmente, S2EA permite a los ingenieros de sistemas importar los DSMs y utilizar el conocimiento de seguridad acumulado para mejorar sus modelos de sistemas, solucionando los riesgos descubiertos en el análisis de seguridad. Gracias al apoyo de S2EA, los usuarios podrán desplegar todos los mecanismos (para crear soluciones) incluidos en los artefactos anteriormente descritos, cumpliendo así con todos los requisitos de seguridad a la vez que se mejora el diseño del sistema.

El plugin S2Ea se encuentra actualmente en fase de perfeccionamiento, aunque ha surgido una nueva rama de desarrollo para integrar las funcionalidades de S2EA en el entorno de modelado de Eclipse, como plugin para Eclipse Papyrus. Continuaremos añadiendo nuevas funcionalidades, mejorar y eliminando posibles fallos en futuras versiones.

La herramienta se ofrece actualmente como un servicio, y por lo tanto operada por nuestro equipo de expertos. En estos momentos estamos preparando dos versiones orientadas al comercio de usuario basadas en MagicDraw™ y Eclipse, respectivamente.

La página de videos de SSPID contiene demos en video de la herramienta en distintos entornos.