SlideShare uma empresa Scribd logo

Comparação de soluções de segurança de aplicações web

Eduardo Lanna
Eduardo Lanna

Conheça as duas soluções da NStalker para avaliar a segurança de suas aplicações web, e veja qual delas melhor atenderá as necessidades de sua empresa.

Tecnologia
1 de 11
Baixar para ler offline
Slide Show nº 4 Comparando nossas soluções: - uso do Software N-Stalker WAS - uso do Sistema RedeSegura Autor: Eduardo Lanna rev. 05/jan/11
Desafios da GSI em Aplicações Web Certificação da Segurança no Ciclo de Vida da Aplicação Estágios do Software Development Life Cycle (SDLC) Introdução de critérios de Segurança no ciclo de Desenvolvimento Planejamento Definição de Codificação Integração & Instalação & “Design” do Projeto Requisitos (programação) Testes Aceitação Há recomendações de segurança em cada etapa do SDLC... Testes de avaliação de Vulnerabilidades Testes de vulnerabilidades devem ser realizados durante todo o ciclo de vida da aplicação web, desde o seu desenvolvimento. Slide 2/11
Metodologia de aplicação de Testes Quando e como testar vulnerabilidades QA de Segurança no Desenvolvimento Critérios de segurança foram incluídos no ciclo do desenvolvimento... Testar a cada intervenção sobre o código do aplicativo, logo após os testes funcionais, precedendo a aceitação final Certificação de Segurança da aplicação web na sua homologação Metodologia: Static Application Security Test (SAST) Monitoramento do Risco em Produção Segurança de “infra” não basta se as aplicações web apresentarem vulnerabilidades exploráveis... Testar periodicamente avalia a segurança da aplicação, mantendo baixo o nível de risco em produção (atualização periódica de ataques) Manutenção da Segurança na Gestão de Mudanças e de Incidentes Metodologia: Dynamic Application Security Test (DAST) Slide 3/11
Definindo a tecnologia para os testes Diferenciais Tecnológicos N-Stalker Framework exclusivo de “Web Application Security Scanner” orientado a componentes (patente requerida no BR e USA) 39.000 assinaturas de ataques HTTP: a maior base de ataques web Mecanismo de “macro” para de fluxo orientado de navegação e/ou autenticação de usuário: testes alcançam todas as URLs Regras automáticas para eliminação de Falsos Positivos Execução de Javascripts, e outras características exclusivas A tecnlogia N-Stalker é reconhecida como “top tool” de segurança por várias publicações internacionais especializadas O N-Stalker WAS é a plataforma (engine) de testes do redesegura Slide 4/11
Uso de um software de webscanning Tarefa: testes de avaliação de vulnerabilidades E quando o volume de aplicações cresce? Home Banking E se houver mais de um ambiente web? Home Broker Desenvolvedor e-Commerce Testes de avaliação de Vulnerabilidades Conteúdo Corporativo: Segurança de TI Web Server CRM, ERP, RH... Como garantir padrões e periodicidade? Apoio a Decisão Como documentar os indicadores? Como gerenciar um processo recorrente de testes de vulnerabilidades? (definir, medir, analisar resultados e orientar melhorias) Slide 5/11
Uso de um software de webscanning Tarefa: testes de avaliação de vulnerabilidades Num cenário mais complexo... os riscos são maiores! Home Banking Home Broker e-Commerce Testes de avaliação de Vulnerabilidades Conteúdo Corporativo: Segurança de TI Web Server CRM, ERP, RH... Como tratar o resultado dos testes? Apoio a Decisão A equipe é qualificada o suficiente? O sucesso da segurança fica dependente de competências individuais... Slide 6/11
Uso de Sistema de Gestão de Segurança Processo de Gerenciamento de Vulnerabilidades Recomendações de Segurança Vulnerabilty Database Home Banking Home Broker Desenvolvedores e-Commerce SSL Conteúdo V-Test Scan Engine Corporativo: Security Officer Web Server CRM, ERP, RH... “SSG” Metodologias: Apoio a Decisão SAST/DAST Processo de Gestão Suporte Téc. Especializado ao Desenvolvedor (CSSLP) Slide 7/11
Recomendando o Software N-Stalker WAS Tarefa de testes de avaliação de vulnerabilidades Melhor ferramenta de webscanning de vulnerabilidades: testes estáticos Uso para QA de Segurança no Desenvolvimento Avaliações em ambiente de produção: reativas ou ocasionais Requer Competência Profissional em Segurança de Software Em ambientes mais complexos e maior volume de testes fica difícil gerenciar o processo e resultados... Slide 8/11
Recomendando o Sistema redesegura Processo de Gerenciamento da Segurança de Aplicações Utiliza a tecnologia do N-Stalker WAS: Metodologia de testes estáticos (SAST) powered by e dinâmicos (DAST) Plan... Do ! Uso para QA do Desenvolvimento, e Monitoramento de Risco em Produção Ciclo PDCA Inclui Suporte Técnico Especializado Act ! em Segurança de Software (LUSaaS) Check... . Sistema de Gerenciamento centralizado: integra equipes multidisciplinares em um processo preventivo de melhoria contínua da Segurança das Aplicações web... Slide 9/11
O que definirá a sua escolha: A estratégia de seu projeto de segurança de software “A estratégia de Gestão da Segurança da Informação (GSI) deve abordar todos os elementos do processo” Quantidade de aplicações web, variedade, e risco. Planejar, dimensionar e integrar SSG: cada grupo de recursos! People Process O custo de um recurso pode ser Strategy afetado pelo dimensionamento dos demais... SAST/DAST N-Stalker Metodology Technology O custo total de propriedade (TCO) do projeto de segurança costuma ser menor com o uso do Sistema redesegura... Slide 10/11
Departamento Comercial Tel: +55 (11) 3044-1819 e-mail: contato@redesegura.com.br visite: www.redesegura.com.br Visite nosso site, e consulte-nos sobre qual a melhor solução para a segurança de suas aplicações web! Autor: Eduardo Lanna

Recomendados

(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
Dss 3
Dss 3Dss 3
Dss 3Jean Carlos da Silva
 

Recomendados

(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
Dss 3
Dss 3Dss 3
Dss 3Jean Carlos da Silva
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TIBe Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TISymantec Brasil
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-StalkerEduardo Lanna
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
Java security
Java securityJava security
Java securityarmeniocardoso
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Conviso Application Security
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swJunior Gomes
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações webSynergia - Engenharia de Software e Sistemas
 
Requisitos de Segurança
Requisitos de SegurançaRequisitos de Segurança
Requisitos de SegurançaOWASP Brasília
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de softwareJeronimo Zucco
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
 
CNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCarlos Eduardo Motta de Castro
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebKeySupport Consultoria e Informática Ltda
 
(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalkerKeySupport Consultoria e Informática Ltda
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app webKleitor Franklint Correa Araujo
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 

Mais conteúdo relacionado

Mais procurados

Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TIBe Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TISymantec Brasil
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-StalkerEduardo Lanna
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swJunior Gomes
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Requisitos de Segurança
Requisitos de SegurançaRequisitos de Segurança
Requisitos de SegurançaOWASP Brasília
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de softwareJeronimo Zucco
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
 

Mais procurados (17)

Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
 
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TIBe Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
 
Java security
Java securityJava security
Java security
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de sw
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Requisitos de Segurança
Requisitos de SegurançaRequisitos de Segurança
Requisitos de Segurança
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de software
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
 
CNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos Confiaveis
 

Semelhante a Comparação de soluções de segurança de aplicações web

Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomAndracom Solutions
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeVirtù Tecnológica
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Symantec Brasil
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...Conviso Application Security
 
E scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanE scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanAlexandre Almeida
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
Introdução ao ALM e a visão da Plataforma Microsoft para developers.
Introdução ao ALM e a visão da Plataforma Microsoft para developers.Introdução ao ALM e a visão da Plataforma Microsoft para developers.
Introdução ao ALM e a visão da Plataforma Microsoft para developers.Gustavo Malheiros
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoEndrigo Antonini
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 

Semelhante a Comparação de soluções de segurança de aplicações web (20)

(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | Andracom
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de Rede
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
 
E scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanE scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escan
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
 
Introdução ao ALM e a visão da Plataforma Microsoft para developers.
Introdução ao ALM e a visão da Plataforma Microsoft para developers.Introdução ao ALM e a visão da Plataforma Microsoft para developers.
Introdução ao ALM e a visão da Plataforma Microsoft para developers.
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuo
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
 
I-SCode
I-SCodeI-SCode
I-SCode
 

Comparação de soluções de segurança de aplicações web

  • 1. Slide Show nº 4 Comparando nossas soluções: - uso do Software N-Stalker WAS - uso do Sistema RedeSegura Autor: Eduardo Lanna rev. 05/jan/11
  • 2. Desafios da GSI em Aplicações Web Certificação da Segurança no Ciclo de Vida da Aplicação Estágios do Software Development Life Cycle (SDLC) Introdução de critérios de Segurança no ciclo de Desenvolvimento Planejamento Definição de Codificação Integração & Instalação & “Design” do Projeto Requisitos (programação) Testes Aceitação Há recomendações de segurança em cada etapa do SDLC... Testes de avaliação de Vulnerabilidades Testes de vulnerabilidades devem ser realizados durante todo o ciclo de vida da aplicação web, desde o seu desenvolvimento. Slide 2/11
  • 3. Metodologia de aplicação de Testes Quando e como testar vulnerabilidades QA de Segurança no Desenvolvimento Critérios de segurança foram incluídos no ciclo do desenvolvimento... Testar a cada intervenção sobre o código do aplicativo, logo após os testes funcionais, precedendo a aceitação final Certificação de Segurança da aplicação web na sua homologação Metodologia: Static Application Security Test (SAST) Monitoramento do Risco em Produção Segurança de “infra” não basta se as aplicações web apresentarem vulnerabilidades exploráveis... Testar periodicamente avalia a segurança da aplicação, mantendo baixo o nível de risco em produção (atualização periódica de ataques) Manutenção da Segurança na Gestão de Mudanças e de Incidentes Metodologia: Dynamic Application Security Test (DAST) Slide 3/11
  • 4. Definindo a tecnologia para os testes Diferenciais Tecnológicos N-Stalker Framework exclusivo de “Web Application Security Scanner” orientado a componentes (patente requerida no BR e USA) 39.000 assinaturas de ataques HTTP: a maior base de ataques web Mecanismo de “macro” para de fluxo orientado de navegação e/ou autenticação de usuário: testes alcançam todas as URLs Regras automáticas para eliminação de Falsos Positivos Execução de Javascripts, e outras características exclusivas A tecnlogia N-Stalker é reconhecida como “top tool” de segurança por várias publicações internacionais especializadas O N-Stalker WAS é a plataforma (engine) de testes do redesegura Slide 4/11
  • 5. Uso de um software de webscanning Tarefa: testes de avaliação de vulnerabilidades E quando o volume de aplicações cresce? Home Banking E se houver mais de um ambiente web? Home Broker Desenvolvedor e-Commerce Testes de avaliação de Vulnerabilidades Conteúdo Corporativo: Segurança de TI Web Server CRM, ERP, RH... Como garantir padrões e periodicidade? Apoio a Decisão Como documentar os indicadores? Como gerenciar um processo recorrente de testes de vulnerabilidades? (definir, medir, analisar resultados e orientar melhorias) Slide 5/11
  • 6. Uso de um software de webscanning Tarefa: testes de avaliação de vulnerabilidades Num cenário mais complexo... os riscos são maiores! Home Banking Home Broker e-Commerce Testes de avaliação de Vulnerabilidades Conteúdo Corporativo: Segurança de TI Web Server CRM, ERP, RH... Como tratar o resultado dos testes? Apoio a Decisão A equipe é qualificada o suficiente? O sucesso da segurança fica dependente de competências individuais... Slide 6/11
  • 7. Uso de Sistema de Gestão de Segurança Processo de Gerenciamento de Vulnerabilidades Recomendações de Segurança Vulnerabilty Database Home Banking Home Broker Desenvolvedores e-Commerce SSL Conteúdo V-Test Scan Engine Corporativo: Security Officer Web Server CRM, ERP, RH... “SSG” Metodologias: Apoio a Decisão SAST/DAST Processo de Gestão Suporte Téc. Especializado ao Desenvolvedor (CSSLP) Slide 7/11
  • 8. Recomendando o Software N-Stalker WAS Tarefa de testes de avaliação de vulnerabilidades Melhor ferramenta de webscanning de vulnerabilidades: testes estáticos Uso para QA de Segurança no Desenvolvimento Avaliações em ambiente de produção: reativas ou ocasionais Requer Competência Profissional em Segurança de Software Em ambientes mais complexos e maior volume de testes fica difícil gerenciar o processo e resultados... Slide 8/11
  • 9. Recomendando o Sistema redesegura Processo de Gerenciamento da Segurança de Aplicações Utiliza a tecnologia do N-Stalker WAS: Metodologia de testes estáticos (SAST) powered by e dinâmicos (DAST) Plan... Do ! Uso para QA do Desenvolvimento, e Monitoramento de Risco em Produção Ciclo PDCA Inclui Suporte Técnico Especializado Act ! em Segurança de Software (LUSaaS) Check... . Sistema de Gerenciamento centralizado: integra equipes multidisciplinares em um processo preventivo de melhoria contínua da Segurança das Aplicações web... Slide 9/11
  • 10. O que definirá a sua escolha: A estratégia de seu projeto de segurança de software “A estratégia de Gestão da Segurança da Informação (GSI) deve abordar todos os elementos do processo” Quantidade de aplicações web, variedade, e risco. Planejar, dimensionar e integrar SSG: cada grupo de recursos! People Process O custo de um recurso pode ser Strategy afetado pelo dimensionamento dos demais... SAST/DAST N-Stalker Metodology Technology O custo total de propriedade (TCO) do projeto de segurança costuma ser menor com o uso do Sistema redesegura... Slide 10/11
  • 11. Departamento Comercial Tel: +55 (11) 3044-1819 e-mail: contato@redesegura.com.br visite: www.redesegura.com.br Visite nosso site, e consulte-nos sobre qual a melhor solução para a segurança de suas aplicações web! Autor: Eduardo Lanna