SlideShare uma empresa Scribd logo

Gerenciamento de Vulnerabilidades em Aplicações Web

Eduardo Lanna
Eduardo Lanna

O documento discute a importância da gestão de vulnerabilidades em aplicações web e apresenta o sistema N-Stalker da empresa RedeSegura para testes automatizados de segurança. O sistema permite definir, executar e analisar testes de vulnerabilidade de forma padronizada e contínua para múltiplas aplicações.

Tecnologia
1 de 28
por: Eduardo Lanna +11 3044-1819 ou +11 8138-4400 eduardo.lanna@redesegura.com.br Parceria estratégica com a N-Stalker Gerenciamento de Vulnerabilidades nas Aplicações Web rev. 20/out/10
Quem são redesegura e N-Stalker ? Especialista em Segurança de Aplicações Web Empresa Brasileira fundada em 2000 Especializada em Segurança de Aplicações Web Desenvolvedora do sistema de “webscanning” N-Stalker Tecnologia própria com patente requerida no BR (INPI) e EUA (USPTO) Reconhecimento Técnico Mais de 12 publicações internacionais especializadasMais de 12 publicações internacionais especializadas Maior banco de assinaturas de ataques web do mercado (+39.000) Sistema “compliance” com Melhores Práticas Inspeciona e certifica a segurança segundo padrões internacionais PCI, OWASP, SANS/FBI, ISO-27002, ISO-15408, SOx, BACEN 3380 redesegura é um empreendimento inovador de serviços lançado pela N-Stalker após 10 anos de experiência em segurança web
Clientes da Tecnologia Utilizando N-Stalk e redesegura Bank Of America ● British Petroleum ● British Telecom ● Deloitte & Touche Ernest & Young ● George Washington University ● Hewlett Packard ● IBM ● KPMG ● Nasa Northrop Grumman ● PricewaterhouseCoopers ● Riverside Publishing ● Royal Air Force ● Siemens Sun Microsystems ● US Chemical Safety and Hazard Investigation Board US Department of Energy ● US General Services Administration ● US Navy ● Verizon Wireless UK Police Force The World Bank EUROPEAN CENTRAL BANK
Porque se preocupar? Aplicações Web estão mais humanizadas Normalização da tecnologia Padrões abertos, Web 2.0 Exposição de APIs Reutilização de componentes (SOAP)Reutilização de componentes (SOAP) “Remote Scripting” (AJAX) Desacoplamento/Apresentação Cenário de negócios na Web Mais aplicações e informações críticas estão na Web todo dia A velocidade de evolução de lançamentos de negócios na Web supera os esforços com a segurança.
Porque se preocupar ? Quando sistemas Web sustentam o seu negócio... A operação do negócio é dependente de sistemas web? Sistemas de negócio estão expostos externamente para parceiros e clientes via extranets ou serviços Internet... Falta a incorporação de requisitos de segurança nasFalta a incorporação de requisitos de segurança nas funcionalidades e no processo de desenvolvimento: Falta de cultura de Segurança da Informação no desenvolvedor. Capacidade técnica (skill) da equipe de desenvolvimento. Limitação de recursos leva a priorização dos requisitos funcionais. O dilema prazo X custo: “a irresistível vontade de sair fazendo...”
Porque se preocupar? Problemas de Segurança na Internet desde 2007 Mais da metade dos problemas está relacionada às Aplicações Web Das vulnerabilidades identificadas entre 2006 e 2008, entre 40% e 50% ainda não haviam sido resolvidas pelos fabricantes até 2009! (IBM) Item com Problemas Falhas típicas de Aplicações Web As aplicações web já representam 75% (Gartner 2009)
Porque se preocupar? A maior incidência de vulnerabilidades está aqui... Maiores ameaças Maiores iniciativas Ambiente da Aplicação Web: Mais de 20 categorias de vulnerabilidades
Porque se preocupar? Hackers atacam preferencialmente aplicações web porque é lá que as vulnerabilidades mais exploráveis estão presentes. Crimes pela web oferecem menor risco e maior lucratividade... Fazer negócio com segurança está tornando-se obrigatório Diferentes indústrias criam regulações como medida prevençãoDiferentes indústrias criam regulações como medida prevenção A maioria das regulações seguem melhores práticas “de fato”: PCI – Payment Card Industry Basel II (BACEN 3.380) Mercado de Capitais – (SOX, Bovespa Nível II – Selo PQO) Desde 2009, a manutenção de melhores práticas de segurança para Aplicações Web é mandatório para o padrão PCI.
Por que se preocupar? Os 12 Requerimentos do PCI em 6 categorias As 6 Categorias # Os 12 Requerimentos do PCI-DSS 1 Instalar e manter uma configuração de firewall para proteger os dados do portador de cartão. 2 Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança. 3 Proteger os dados armazenados do portador de cartão 4 Codificar a transmissão dos dados do portador de cartão em redes abertas e públicas O uso do Sistema redesegura atende aos requerimentos 6, 11 e 12 do PCI-DSS: Construir e Manter uma Rede Segura Proteger os Dados do Portador de Cartão 5 Usar e atualizar regularmente o software antivírus 6 Desenvolver e manter sistemas e aplicativos seguros 7 Restringir o acesso aos dados do portador de cartão de acordo com a necessidade de divulgação dos negócios 8 Atribuir um ID exclusivo para cada pessoa que tenha acesso a uma computador 9 Restringir o acesso físico aos dados do portador de cartão 10 Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do portador do CC 11 Testar regularmente os sistemas e processos de segurança da informação Manter uma Política de Segurança das Informações 12 Manter um política que aborde a segurança das informações Manter um Programa de Gerenciamento de Vulnerabilidades Implementar Medidas de Controle de Acesso Rigorosas Monitorar e Testar as Redes Regularmente
Por que se preocupar ? Mapeamento OWASP Top 10 (2010) Fonte: http://www.owasp.org A lista Top 10 é dinâmica: A6 e A8 são novas ameaças identificadas no período anterior de pesquisa da Open Web Application Security Project.
Gestão da Segurança da Informação - GSI Ações integradas para mitigar riscos fato 1: as pessoas não possuem hábitos seguros... fato 2: vulnerabilidades existem em todos os elementos de um sistema de negócios (pessoas, processos, e tecnologia) fato 3: aplicações web são vulneráveis por definição O Framework de Segurança requer ações integradas em: Pessoas e identidade: cultura orientada para a segurança, monitoramento e gerenciamento de identidade, etc. Rede e Infra-estrutura de TI: uso de IDS/DLP, Firewall, monitor em Banco de Dados, servidores, end-points, etc. Infra-estrutura física do ambiente de negócios Aplicações e Processos de Negócio Gerenciamento de Vulnerabilidades na Aplicação Web
Gestão da Segurança da Informação - GSI Vulnerabilidades existem em todos os sistemas Função do risco de ataque a um sistema: (Agente malicioso + vulnerabilidade + vetor de ataque) ? ? Identificar e Gerenciar Vulnerabilidades minimiza os riscos! Este é o objetivo da Gestão da Segurança da Informação Para mitigar riscos... esteja à frente das ameaças!!!
Desafios da GSI nas Aplicações Web Testar Vulnerabilidades no Ciclo de Vida da Aplicação QA de Segurança no Desenvolvimento (em homologação) As aplicações devem incluir critérios de segurança desde o desenvolvimento Testar a cada atualização, manutenção, ou criação sobre o aplicativo, logo depois dos testes funcionais Etapa adicional da fábrica de testes precedendo a aceitação final Certificação de Segurança da Aplicação Web na homologação Monitoramento do Risco em Produção Segurança de Rede não basta se as aplicações web tiverem vulnerabilidades exploráveis Monitoramento contínuo para avaliar a segurança da aplicação Nível do risco é mantido baixo (atualização periódica de ataques) Manutenção da Segurança na Gestão de Mudanças e de Incidentes
Uso do Sistema redesegura Processo tradicional de testes de vulnerabilidades Home Banking Home Broker e-Commerce Conteúdo Testes de Vulnerabilidades E quando o volume de aplicações cresce? E se houver mais de um ambiente de infra? Corporativo: CRM, ERP, RH... Conteúdo Apoio a Decisão Web ServerSegurança de TI Vulnerabilidades Como gerenciar um processo recorrente de testes de vulnerabilidades? (definir, medir, padronizar, analisar resultados e melhorias) Como garantir padrões e periodicidade? Como documentar os indicadores?
Uso do Sistema redesegura Processo tradicional de testes de vulnerabilidades Home Banking Home Broker e-Commerce Conteúdo Testes de Vulnerabilidades Num cenário mais complexo... os riscos são maiores! Corporativo: CRM, ERP, RH... Conteúdo Apoio a Decisão Web ServerSegurança de TI Vulnerabilidades A equipe é qualificada o suficiente? Como tratar o resultado dos testes? E ainda há o risco das “ilhas de conhecimento...”
Gestão da Segurança da Informação - GSI Definir, fazer, medir, e atuar na melhoria... “Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende, e não há sucesso no que não se gerencia”e não há sucesso no que não se gerencia” (William Edwards Deming) Vide: Planejamento Estratégico da Segurança da Informação (Infosec Council – 2010)
Uso do Sistema redesegura Gerenciamento de Vulnerabilidades em Aplicações Web Home Banking Home Broker e-Commerce Conteúdo Desenvolvedores Recomendações de Segurança SSL Vulnerabilty Database Corporativo: CRM, ERP, RH... Conteúdo Apoio a Decisão Web ServerSecurity Officer V-Test O Gerenciamento de Vulnerabilidades “As a Service” é um acelerador para alcançar resultados rápidos e consistentes Processo de Gestão Scan Engine Tecnologia N-Stalker
Uso do Sistema redesegura Grau de Maturidade em Gestão da Segurança de TI Sistema de Gerenciamento da Segurança • Processo continuado de avaliação; • Automação de tarefas e padronização de testes; • Indicadores de risco e análise de resultados históricos; • Independência de competências individuais; • Segurança em todo o Ciclo de Vida da Aplicação web; Gestão de Processo de Segurança GraudeMaturidadenaGestão daSegurançadaInformação + + Suporte Técnico Especializado • Equipe Certificada: CISSP, ISSAP, CSSLP, CISM, etc. • Análise dos resultadso dos testes de avaliação; • Consultas sobre recomendações de segurança; • Segurança em todo o Ciclo de Vida da Aplicação web; Serviços de Consultoria em Segurança Avaliação reativa ou incidental GraudeMaturidadenaGestão daSegurançadaInformação - Software N-Stalker Web Application Scanner • Ferramenta de testes de avaliação de segurança • Testes com 39.000 assinaturas de ataques web +
Uso do Sistema redesegura Gerenciamento de Vulnerabilidades na Aplicação Web Definição das URLs Parametrização da política de testes Acompanhamento da Execução Coleta e Análise de Relatórios Aplicações Web; e-commerce, Portais Web; Home Bank, Home Padrões de teste; OWASP Top 10 OWASP Top 3 SANS/FBI Relatórios Auditoria; Gerencial Técnico Geral Aplicação Gerenciamentode Vulnerabilidades Sinalização Eventos: Inicio Fim Vulnerabilidade Home Bank, Home Broker, etc; Navegação com usuário (Log ID); Macros orientam o navegador robotiz.; Em produção e em homologação; Limites da licença de uso como serviço. SANS/FBI PCI-DSS Customização; Definições de; Início Periodicidade Falsos positivos Aplicação Seqüência de teste Evidências; Refs tecnicas Recomendações Suporte Técnico ao desenvolvedor; Treinamento sobre vulnerabilidades. Gerenciamento Vulnerabilidades Vulnerabilidade grave Dashboard no Portal; Integração: SMS, e-mail Service Desk realizar as recomendações de segurança
Uso do Sistema redesegura Fatores críticos para o SUCESSO do processo de melhoria 1) Configuração adequada do sistema de testes de avaliação da segurança da aplicação web; 2) Capacidade do sistema de testes em identificar o máximo de vulnerabilidades exploráveis em cada avaliação; 3) Capacidade do Admin do processo em avaliar os resultados obtidos, e obter informações adicionais se necessário; 4) Capacidade da equipe de desenvolvimento em interpretar corretamente as recomendações de segurança; O redesegura suportará o processo do Cliente em todos estes 4 fatores críticos de sucesso, mas faltará ainda um fator...
Uso do Sistema redesegura Fatores críticos para o SUCESSO do processo de melhoria 5) Capacidade de reação do desenvolvedor ao executar as melhorias necessárias para mitigar o risco: No menor espaço de tempo possível; De maneira definitiva, sem introduzir novas falhas; Aprendendo a não reincidir nas falhas de segurança;Aprendendo a não reincidir nas falhas de segurança; A capacitação da equipe de desenvolvimento é o principal fator de sucesso para o ciclo de melhoria da segurança da aplicação web O redesegura cria e desenvolve estas competências ao transferir conhecimentos para a equipe, garantindo o sucesso do processo.
Uso do Sistema redesegura Gerenciamento de Vulnerabilidades na Aplicação Web Definição das URLs Parametrização da política de testes Acompanhamento da Execução Coleta e Análise de Relatórios Aplicações Web; e-commerce, Portais Web; Home Bank, Home Padrões de teste; OWASP Top 10 OWASP Top 3 SANS/FBI Relatórios Auditoria; Gerencial Técnico Geral Aplicação Sinalização Eventos: Inicio Fim Vulnerabilidade Do Plan Gerenciamentode Vulnerabilidades Home Bank, Home Broker, etc; Navegação com usuário (Log ID); Macros orientam o navegador robotiz.; Em produção e em homologação; Limites da licença de uso como serviço. SANS/FBI PCI-DSS Customização; Definições de; Início Periodicidade Falsos positivos Aplicação Seqüência de teste Evidências; Refs tecnicas Recomendações Suporte Técnico ao desenvolvedor; Treinamento sobre vulnerabilidades. Vulnerabilidade grave Dashboard no Portal; Integração: SMS, e-mail Service Desk realizar as recomendações de segurança Ciclo PDCA Act Check Gerenciamento Vulnerabilidades
Uso do Sistema redesegura Benefícios do Processo com uso do nosso Sistema O uso do redesegura introduz critérios de segurança no ciclo de vida das aplicações web desde o desenvolvimento; O monitoramento contínuo das ameaças via web permite antecipar-se ao risco de ataques que afetariam o negócio; Gerenciamento de Vulnerabilidades cria um avanço no grau de Gestão da Segurança de TI com os recursos existentes; Promove a transferência de conhecimento sobre segurança de aplicações web para a equipe de desenvolvedores; Elimina ilhas de conhecimento: o processo de segurança e de melhorias não depende de competências individuais.
Planejando a implantação do Processo Modelo de Referência – Monitoramento em Produção MSS MSS 80 100 120 Etapas do Projeto de Gerenciamento de Vulnerabilidades Appliance (H) Evolução natural do processoServidores redesegura V-Test V-Test V-Test Support Support Support MSS 0 20 40 60 Ativação Etapa 1 Etapa 2 ...Maturidade WebAppSetup AçõesCorretivas AçõesCorretivas melhorias
O Sistema redesegura Diferenciais de Serviços e da Equipe de Suporte O redesegura é “compliance” com recomendações de melhores práticas: ISO-15408, ISO-27001, ISO-27002, BACEN, SOx, e PCI-DSS. Suporte Técnico ao Desenvolvedor, e treinamento de usuários nas vulnerabilidades mais incidentes. Equipe Técnica qualificada e certificada em Segurança da Informação: ISC2 CISSP – Certified Information System Security Professional; ISC2 ISSAP – Information System Security Architect Professional; ISC2 CSSLP - Certified Secure Software Lifecycle Professional; CISM – Certified Information Security Manager; CompTIA Security+: Competency in system security, network infrastructure, access control and organizational security; GAWN SANS - GIAC Assessing Wireless Networks
Entregáveis redesegura Portal Web com Dashboard Acesso ao sistema de Métricas e Avaliação Dashboard com indicativos e métricas do processo de segurança Acompanhamento em tempo real do nível de maturidade Repositório de Relatórios e Centro de Suporte Técnico on-line
Entregáveis redesegura Customização e Integração com Sistemas de TI Possibilidades de Customização do Sistema: Formato de apresentação do Dashboard, e/ou de gráficos; Personalização de modelos de relatórios de testes; Criação de novas funcionalidades e/ou recursos de teste; Integração com outros Sistemas de Gestão de TI, como:Integração com outros Sistemas de Gestão de TI, como: Sistemas de gestão de incidentes, para abrir “tickets” dirigidos à equipe de desenvolvimento; Sistemas de gestão de SLA, para medir indicadores de desempenho acordados com a fábrica de software terceirizada; Sistemas de ALM (Application Life-cycle Management), para abertura de “tickets” para correção de vulnerabilidades e guarda de evidências
Consultoria em Segurança da Aplicação web Serviços Complementares redesegura Managed Security Services (MSS): Gestão e Operação de todo o processo com uso do Sistema redesegura; Teste de Vulnerabilidade e Análise “on demand” da Segurança em Aplicações Web (Web Security Check-up); Consultoria em Segurança da Arquitetura da Aplicação; Teste e Análise: Web Security Check-up + Consulting Report Avaliação do ambiente de infra-estrutura dos Servidores Web Recomendações de ação de melhoria e controles de conformidade “Pen Test” sobre ambiente da aplicação e/ou infra-estrutura Interno/Ext., geral ou orientado, engenharia social, war dialling, etc.

Recomendados

Aula 09 - Memórias do Computador
Aula 09 - Memórias do ComputadorAula 09 - Memórias do Computador
Aula 09 - Memórias do ComputadorSuzana Viana Mota
 
Apresentação Final de Banco de Dados
Apresentação Final de Banco de DadosApresentação Final de Banco de Dados
Apresentação Final de Banco de Dadossamlobo
 
História do windows
História do windowsHistória do windows
História do windowsAntonio Cabral
 
curso de computador bom e completo
curso de computador bom e completocurso de computador bom e completo
curso de computador bom e completomurilosoldier
 
Trabalho de sistema operativo servidor
Trabalho de sistema operativo servidorTrabalho de sistema operativo servidor
Trabalho de sistema operativo servidordtml2k
 
Aula 1
Aula 1Aula 1
Aula 1Jorge Ávila Miranda
 
Disco rígido
Disco rígidoDisco rígido
Disco rígidoChromus Master
 
Windows server
Windows serverWindows server
Windows serverEder E. Pereira
 

Recomendados

Aula 09 - Memórias do Computador
Aula 09 - Memórias do ComputadorAula 09 - Memórias do Computador
Aula 09 - Memórias do ComputadorSuzana Viana Mota
 
Apresentação Final de Banco de Dados
Apresentação Final de Banco de DadosApresentação Final de Banco de Dados
Apresentação Final de Banco de Dadossamlobo
 
História do windows
História do windowsHistória do windows
História do windowsAntonio Cabral
 
curso de computador bom e completo
curso de computador bom e completocurso de computador bom e completo
curso de computador bom e completomurilosoldier
 
Trabalho de sistema operativo servidor
Trabalho de sistema operativo servidorTrabalho de sistema operativo servidor
Trabalho de sistema operativo servidordtml2k
 
Aula 1
Aula 1Aula 1
Aula 1Jorge Ávila Miranda
 
Disco rígido
Disco rígidoDisco rígido
Disco rígidoChromus Master
 
Windows server
Windows serverWindows server
Windows serverEder E. Pereira
 
Aula 02 - Evolução dos computadores - Operador de Microcomputador - SENAI
Aula 02 - Evolução dos computadores - Operador de Microcomputador - SENAIAula 02 - Evolução dos computadores - Operador de Microcomputador - SENAI
Aula 02 - Evolução dos computadores - Operador de Microcomputador - SENAICEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
Introdução ao Linux
Introdução ao LinuxIntrodução ao Linux
Introdução ao Linuxguest82cc1d
 
Hardware
HardwareHardware
Hardwareleiladb
 
Aula 1: Virtualização
Aula 1: VirtualizaçãoAula 1: Virtualização
Aula 1: Virtualizaçãocamila_seixas
 
Tipos De Arquivos
Tipos De ArquivosTipos De Arquivos
Tipos De ArquivosSOL RIBEIRO
 
Conhecendo os componentes de hardware
Conhecendo os componentes de hardwareConhecendo os componentes de hardware
Conhecendo os componentes de hardwareClayton de Almeida Souza
 
1.Introdução Banco de Dados
1.Introdução Banco de Dados1.Introdução Banco de Dados
1.Introdução Banco de Dadosvini_campos
 
Aula 09 Processadores memórias e armazenamento Operador de microcomputador
Aula 09 Processadores memórias e armazenamento Operador de microcomputadorAula 09 Processadores memórias e armazenamento Operador de microcomputador
Aula 09 Processadores memórias e armazenamento Operador de microcomputadorCEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
ConstituiçãO Do Computador
ConstituiçãO Do ComputadorConstituiçãO Do Computador
ConstituiçãO Do Computadorjoaomanuelcariamonteiro
 
Evolução dos sistemas operativos
Evolução dos sistemas operativosEvolução dos sistemas operativos
Evolução dos sistemas operativosMarioalmeida_10
 
Placa-Mãe
Placa-Mãe Placa-Mãe
Placa-Mãe Evandro Júnior
 
Arquitetura de Computadores: Sistemas de numeração
Arquitetura de Computadores: Sistemas de numeraçãoArquitetura de Computadores: Sistemas de numeração
Arquitetura de Computadores: Sistemas de numeraçãoAlex Camargo
 
Introdução à Virtualização
Introdução à VirtualizaçãoIntrodução à Virtualização
Introdução à VirtualizaçãoLucas Miranda
 
Introdução à Informática
Introdução à InformáticaIntrodução à Informática
Introdução à InformáticaFabio Marques
 
Aula 2 - Introdução a Banco de Dados
Aula 2 - Introdução a Banco de DadosAula 2 - Introdução a Banco de Dados
Aula 2 - Introdução a Banco de DadosVitor Hugo Melo Araújo
 
Aula Inicial - Operador de Microcomputador - SENAI
Aula Inicial - Operador de Microcomputador - SENAIAula Inicial - Operador de Microcomputador - SENAI
Aula Inicial - Operador de Microcomputador - SENAICEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
Informática 1-conceitos e componentes
Informática 1-conceitos e componentesInformática 1-conceitos e componentes
Informática 1-conceitos e componentesMauro Pereira
 
03º aula placa mãe painel frontal
03º aula placa mãe painel frontal03º aula placa mãe painel frontal
03º aula placa mãe painel frontalRoney Sousa
 
A Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SOA Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SOSandu Postolachi
 
Introduo Informtica Mdulo 1 1193933851888380 4
Introduo Informtica Mdulo 1 1193933851888380 4Introduo Informtica Mdulo 1 1193933851888380 4
Introduo Informtica Mdulo 1 1193933851888380 4Jose Verissimo
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Symantec Brasil
 

Mais conteúdo relacionado

Mais procurados

Introdução ao Linux
Introdução ao LinuxIntrodução ao Linux
Introdução ao Linuxguest82cc1d
 
Hardware
HardwareHardware
Hardwareleiladb
 
Aula 1: Virtualização
Aula 1: VirtualizaçãoAula 1: Virtualização
Aula 1: Virtualizaçãocamila_seixas
 
Tipos De Arquivos
Tipos De ArquivosTipos De Arquivos
Tipos De ArquivosSOL RIBEIRO
 
1.Introdução Banco de Dados
1.Introdução Banco de Dados1.Introdução Banco de Dados
1.Introdução Banco de Dadosvini_campos
 
Evolução dos sistemas operativos
Evolução dos sistemas operativosEvolução dos sistemas operativos
Evolução dos sistemas operativosMarioalmeida_10
 
Arquitetura de Computadores: Sistemas de numeração
Arquitetura de Computadores: Sistemas de numeraçãoArquitetura de Computadores: Sistemas de numeração
Arquitetura de Computadores: Sistemas de numeraçãoAlex Camargo
 
Introdução à Virtualização
Introdução à VirtualizaçãoIntrodução à Virtualização
Introdução à VirtualizaçãoLucas Miranda
 
Introdução à Informática
Introdução à InformáticaIntrodução à Informática
Introdução à InformáticaFabio Marques
 
Informática 1-conceitos e componentes
Informática 1-conceitos e componentesInformática 1-conceitos e componentes
Informática 1-conceitos e componentesMauro Pereira
 
03º aula placa mãe painel frontal
03º aula placa mãe painel frontal03º aula placa mãe painel frontal
03º aula placa mãe painel frontalRoney Sousa
 
A Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SOA Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SOSandu Postolachi
 
Introduo Informtica Mdulo 1 1193933851888380 4
Introduo Informtica Mdulo 1 1193933851888380 4Introduo Informtica Mdulo 1 1193933851888380 4
Introduo Informtica Mdulo 1 1193933851888380 4Jose Verissimo
 

Mais procurados (20)

Aula 02 - Evolução dos computadores - Operador de Microcomputador - SENAI
Aula 02 - Evolução dos computadores - Operador de Microcomputador - SENAIAula 02 - Evolução dos computadores - Operador de Microcomputador - SENAI
Aula 02 - Evolução dos computadores - Operador de Microcomputador - SENAI
 
Introdução ao Linux
Introdução ao LinuxIntrodução ao Linux
Introdução ao Linux
 
Hardware
HardwareHardware
Hardware
 
Aula 1: Virtualização
Aula 1: VirtualizaçãoAula 1: Virtualização
Aula 1: Virtualização
 
Tipos De Arquivos
Tipos De ArquivosTipos De Arquivos
Tipos De Arquivos
 
Conhecendo os componentes de hardware
Conhecendo os componentes de hardwareConhecendo os componentes de hardware
Conhecendo os componentes de hardware
 
1.Introdução Banco de Dados
1.Introdução Banco de Dados1.Introdução Banco de Dados
1.Introdução Banco de Dados
 
Aula 09 Processadores memórias e armazenamento Operador de microcomputador
Aula 09 Processadores memórias e armazenamento Operador de microcomputadorAula 09 Processadores memórias e armazenamento Operador de microcomputador
Aula 09 Processadores memórias e armazenamento Operador de microcomputador
 
ConstituiçãO Do Computador
ConstituiçãO Do ComputadorConstituiçãO Do Computador
ConstituiçãO Do Computador
 
Evolução dos sistemas operativos
Evolução dos sistemas operativosEvolução dos sistemas operativos
Evolução dos sistemas operativos
 
Placa-Mãe
Placa-Mãe Placa-Mãe
Placa-Mãe
 
Arquitetura de Computadores: Sistemas de numeração
Arquitetura de Computadores: Sistemas de numeraçãoArquitetura de Computadores: Sistemas de numeração
Arquitetura de Computadores: Sistemas de numeração
 
Introdução à Virtualização
Introdução à VirtualizaçãoIntrodução à Virtualização
Introdução à Virtualização
 
Introdução à Informática
Introdução à InformáticaIntrodução à Informática
Introdução à Informática
 
Aula 2 - Introdução a Banco de Dados
Aula 2 - Introdução a Banco de DadosAula 2 - Introdução a Banco de Dados
Aula 2 - Introdução a Banco de Dados
 
Aula Inicial - Operador de Microcomputador - SENAI
Aula Inicial - Operador de Microcomputador - SENAIAula Inicial - Operador de Microcomputador - SENAI
Aula Inicial - Operador de Microcomputador - SENAI
 
Informática 1-conceitos e componentes
Informática 1-conceitos e componentesInformática 1-conceitos e componentes
Informática 1-conceitos e componentes
 
03º aula placa mãe painel frontal
03º aula placa mãe painel frontal03º aula placa mãe painel frontal
03º aula placa mãe painel frontal
 
A Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SOA Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SO
 
Introduo Informtica Mdulo 1 1193933851888380 4
Introduo Informtica Mdulo 1 1193933851888380 4Introduo Informtica Mdulo 1 1193933851888380 4
Introduo Informtica Mdulo 1 1193933851888380 4
 

Semelhante a Gerenciamento de Vulnerabilidades em Aplicações Web

Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Symantec Brasil
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Symantec Brasil
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueSymantec Brasil
 
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Symantec Brasil
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeSymantec Brasil
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec Brasil
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Strong Security Brasil
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosSymantec Brasil
 

Semelhante a Gerenciamento de Vulnerabilidades em Aplicações Web (20)

Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataque
 
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: Network
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
 
(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker
 

Gerenciamento de Vulnerabilidades em Aplicações Web

  • 1. por: Eduardo Lanna +11 3044-1819 ou +11 8138-4400 eduardo.lanna@redesegura.com.br Parceria estratégica com a N-Stalker Gerenciamento de Vulnerabilidades nas Aplicações Web rev. 20/out/10
  • 2. Quem são redesegura e N-Stalker ? Especialista em Segurança de Aplicações Web Empresa Brasileira fundada em 2000 Especializada em Segurança de Aplicações Web Desenvolvedora do sistema de “webscanning” N-Stalker Tecnologia própria com patente requerida no BR (INPI) e EUA (USPTO) Reconhecimento Técnico Mais de 12 publicações internacionais especializadasMais de 12 publicações internacionais especializadas Maior banco de assinaturas de ataques web do mercado (+39.000) Sistema “compliance” com Melhores Práticas Inspeciona e certifica a segurança segundo padrões internacionais PCI, OWASP, SANS/FBI, ISO-27002, ISO-15408, SOx, BACEN 3380 redesegura é um empreendimento inovador de serviços lançado pela N-Stalker após 10 anos de experiência em segurança web
  • 3. Clientes da Tecnologia Utilizando N-Stalk e redesegura Bank Of America ● British Petroleum ● British Telecom ● Deloitte & Touche Ernest & Young ● George Washington University ● Hewlett Packard ● IBM ● KPMG ● Nasa Northrop Grumman ● PricewaterhouseCoopers ● Riverside Publishing ● Royal Air Force ● Siemens Sun Microsystems ● US Chemical Safety and Hazard Investigation Board US Department of Energy ● US General Services Administration ● US Navy ● Verizon Wireless UK Police Force The World Bank EUROPEAN CENTRAL BANK
  • 4. Porque se preocupar? Aplicações Web estão mais humanizadas Normalização da tecnologia Padrões abertos, Web 2.0 Exposição de APIs Reutilização de componentes (SOAP)Reutilização de componentes (SOAP) “Remote Scripting” (AJAX) Desacoplamento/Apresentação Cenário de negócios na Web Mais aplicações e informações críticas estão na Web todo dia A velocidade de evolução de lançamentos de negócios na Web supera os esforços com a segurança.
  • 5. Porque se preocupar ? Quando sistemas Web sustentam o seu negócio... A operação do negócio é dependente de sistemas web? Sistemas de negócio estão expostos externamente para parceiros e clientes via extranets ou serviços Internet... Falta a incorporação de requisitos de segurança nasFalta a incorporação de requisitos de segurança nas funcionalidades e no processo de desenvolvimento: Falta de cultura de Segurança da Informação no desenvolvedor. Capacidade técnica (skill) da equipe de desenvolvimento. Limitação de recursos leva a priorização dos requisitos funcionais. O dilema prazo X custo: “a irresistível vontade de sair fazendo...”
  • 6. Porque se preocupar? Problemas de Segurança na Internet desde 2007 Mais da metade dos problemas está relacionada às Aplicações Web Das vulnerabilidades identificadas entre 2006 e 2008, entre 40% e 50% ainda não haviam sido resolvidas pelos fabricantes até 2009! (IBM) Item com Problemas Falhas típicas de Aplicações Web As aplicações web já representam 75% (Gartner 2009)
  • 7. Porque se preocupar? A maior incidência de vulnerabilidades está aqui... Maiores ameaças Maiores iniciativas Ambiente da Aplicação Web: Mais de 20 categorias de vulnerabilidades
  • 8. Porque se preocupar? Hackers atacam preferencialmente aplicações web porque é lá que as vulnerabilidades mais exploráveis estão presentes. Crimes pela web oferecem menor risco e maior lucratividade... Fazer negócio com segurança está tornando-se obrigatório Diferentes indústrias criam regulações como medida prevençãoDiferentes indústrias criam regulações como medida prevenção A maioria das regulações seguem melhores práticas “de fato”: PCI – Payment Card Industry Basel II (BACEN 3.380) Mercado de Capitais – (SOX, Bovespa Nível II – Selo PQO) Desde 2009, a manutenção de melhores práticas de segurança para Aplicações Web é mandatório para o padrão PCI.
  • 9. Por que se preocupar? Os 12 Requerimentos do PCI em 6 categorias As 6 Categorias # Os 12 Requerimentos do PCI-DSS 1 Instalar e manter uma configuração de firewall para proteger os dados do portador de cartão. 2 Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança. 3 Proteger os dados armazenados do portador de cartão 4 Codificar a transmissão dos dados do portador de cartão em redes abertas e públicas O uso do Sistema redesegura atende aos requerimentos 6, 11 e 12 do PCI-DSS: Construir e Manter uma Rede Segura Proteger os Dados do Portador de Cartão 5 Usar e atualizar regularmente o software antivírus 6 Desenvolver e manter sistemas e aplicativos seguros 7 Restringir o acesso aos dados do portador de cartão de acordo com a necessidade de divulgação dos negócios 8 Atribuir um ID exclusivo para cada pessoa que tenha acesso a uma computador 9 Restringir o acesso físico aos dados do portador de cartão 10 Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do portador do CC 11 Testar regularmente os sistemas e processos de segurança da informação Manter uma Política de Segurança das Informações 12 Manter um política que aborde a segurança das informações Manter um Programa de Gerenciamento de Vulnerabilidades Implementar Medidas de Controle de Acesso Rigorosas Monitorar e Testar as Redes Regularmente
  • 10. Por que se preocupar ? Mapeamento OWASP Top 10 (2010) Fonte: http://www.owasp.org A lista Top 10 é dinâmica: A6 e A8 são novas ameaças identificadas no período anterior de pesquisa da Open Web Application Security Project.
  • 11. Gestão da Segurança da Informação - GSI Ações integradas para mitigar riscos fato 1: as pessoas não possuem hábitos seguros... fato 2: vulnerabilidades existem em todos os elementos de um sistema de negócios (pessoas, processos, e tecnologia) fato 3: aplicações web são vulneráveis por definição O Framework de Segurança requer ações integradas em: Pessoas e identidade: cultura orientada para a segurança, monitoramento e gerenciamento de identidade, etc. Rede e Infra-estrutura de TI: uso de IDS/DLP, Firewall, monitor em Banco de Dados, servidores, end-points, etc. Infra-estrutura física do ambiente de negócios Aplicações e Processos de Negócio Gerenciamento de Vulnerabilidades na Aplicação Web
  • 12. Gestão da Segurança da Informação - GSI Vulnerabilidades existem em todos os sistemas Função do risco de ataque a um sistema: (Agente malicioso + vulnerabilidade + vetor de ataque) ? ? Identificar e Gerenciar Vulnerabilidades minimiza os riscos! Este é o objetivo da Gestão da Segurança da Informação Para mitigar riscos... esteja à frente das ameaças!!!
  • 13. Desafios da GSI nas Aplicações Web Testar Vulnerabilidades no Ciclo de Vida da Aplicação QA de Segurança no Desenvolvimento (em homologação) As aplicações devem incluir critérios de segurança desde o desenvolvimento Testar a cada atualização, manutenção, ou criação sobre o aplicativo, logo depois dos testes funcionais Etapa adicional da fábrica de testes precedendo a aceitação final Certificação de Segurança da Aplicação Web na homologação Monitoramento do Risco em Produção Segurança de Rede não basta se as aplicações web tiverem vulnerabilidades exploráveis Monitoramento contínuo para avaliar a segurança da aplicação Nível do risco é mantido baixo (atualização periódica de ataques) Manutenção da Segurança na Gestão de Mudanças e de Incidentes
  • 14. Uso do Sistema redesegura Processo tradicional de testes de vulnerabilidades Home Banking Home Broker e-Commerce Conteúdo Testes de Vulnerabilidades E quando o volume de aplicações cresce? E se houver mais de um ambiente de infra? Corporativo: CRM, ERP, RH... Conteúdo Apoio a Decisão Web ServerSegurança de TI Vulnerabilidades Como gerenciar um processo recorrente de testes de vulnerabilidades? (definir, medir, padronizar, analisar resultados e melhorias) Como garantir padrões e periodicidade? Como documentar os indicadores?
  • 15. Uso do Sistema redesegura Processo tradicional de testes de vulnerabilidades Home Banking Home Broker e-Commerce Conteúdo Testes de Vulnerabilidades Num cenário mais complexo... os riscos são maiores! Corporativo: CRM, ERP, RH... Conteúdo Apoio a Decisão Web ServerSegurança de TI Vulnerabilidades A equipe é qualificada o suficiente? Como tratar o resultado dos testes? E ainda há o risco das “ilhas de conhecimento...”
  • 16. Gestão da Segurança da Informação - GSI Definir, fazer, medir, e atuar na melhoria... “Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende, e não há sucesso no que não se gerencia”e não há sucesso no que não se gerencia” (William Edwards Deming) Vide: Planejamento Estratégico da Segurança da Informação (Infosec Council – 2010)
  • 17. Uso do Sistema redesegura Gerenciamento de Vulnerabilidades em Aplicações Web Home Banking Home Broker e-Commerce Conteúdo Desenvolvedores Recomendações de Segurança SSL Vulnerabilty Database Corporativo: CRM, ERP, RH... Conteúdo Apoio a Decisão Web ServerSecurity Officer V-Test O Gerenciamento de Vulnerabilidades “As a Service” é um acelerador para alcançar resultados rápidos e consistentes Processo de Gestão Scan Engine Tecnologia N-Stalker
  • 18. Uso do Sistema redesegura Grau de Maturidade em Gestão da Segurança de TI Sistema de Gerenciamento da Segurança • Processo continuado de avaliação; • Automação de tarefas e padronização de testes; • Indicadores de risco e análise de resultados históricos; • Independência de competências individuais; • Segurança em todo o Ciclo de Vida da Aplicação web; Gestão de Processo de Segurança GraudeMaturidadenaGestão daSegurançadaInformação + + Suporte Técnico Especializado • Equipe Certificada: CISSP, ISSAP, CSSLP, CISM, etc. • Análise dos resultadso dos testes de avaliação; • Consultas sobre recomendações de segurança; • Segurança em todo o Ciclo de Vida da Aplicação web; Serviços de Consultoria em Segurança Avaliação reativa ou incidental GraudeMaturidadenaGestão daSegurançadaInformação - Software N-Stalker Web Application Scanner • Ferramenta de testes de avaliação de segurança • Testes com 39.000 assinaturas de ataques web +
  • 19. Uso do Sistema redesegura Gerenciamento de Vulnerabilidades na Aplicação Web Definição das URLs Parametrização da política de testes Acompanhamento da Execução Coleta e Análise de Relatórios Aplicações Web; e-commerce, Portais Web; Home Bank, Home Padrões de teste; OWASP Top 10 OWASP Top 3 SANS/FBI Relatórios Auditoria; Gerencial Técnico Geral Aplicação Gerenciamentode Vulnerabilidades Sinalização Eventos: Inicio Fim Vulnerabilidade Home Bank, Home Broker, etc; Navegação com usuário (Log ID); Macros orientam o navegador robotiz.; Em produção e em homologação; Limites da licença de uso como serviço. SANS/FBI PCI-DSS Customização; Definições de; Início Periodicidade Falsos positivos Aplicação Seqüência de teste Evidências; Refs tecnicas Recomendações Suporte Técnico ao desenvolvedor; Treinamento sobre vulnerabilidades. Gerenciamento Vulnerabilidades Vulnerabilidade grave Dashboard no Portal; Integração: SMS, e-mail Service Desk realizar as recomendações de segurança
  • 20. Uso do Sistema redesegura Fatores críticos para o SUCESSO do processo de melhoria 1) Configuração adequada do sistema de testes de avaliação da segurança da aplicação web; 2) Capacidade do sistema de testes em identificar o máximo de vulnerabilidades exploráveis em cada avaliação; 3) Capacidade do Admin do processo em avaliar os resultados obtidos, e obter informações adicionais se necessário; 4) Capacidade da equipe de desenvolvimento em interpretar corretamente as recomendações de segurança; O redesegura suportará o processo do Cliente em todos estes 4 fatores críticos de sucesso, mas faltará ainda um fator...
  • 21. Uso do Sistema redesegura Fatores críticos para o SUCESSO do processo de melhoria 5) Capacidade de reação do desenvolvedor ao executar as melhorias necessárias para mitigar o risco: No menor espaço de tempo possível; De maneira definitiva, sem introduzir novas falhas; Aprendendo a não reincidir nas falhas de segurança;Aprendendo a não reincidir nas falhas de segurança; A capacitação da equipe de desenvolvimento é o principal fator de sucesso para o ciclo de melhoria da segurança da aplicação web O redesegura cria e desenvolve estas competências ao transferir conhecimentos para a equipe, garantindo o sucesso do processo.
  • 22. Uso do Sistema redesegura Gerenciamento de Vulnerabilidades na Aplicação Web Definição das URLs Parametrização da política de testes Acompanhamento da Execução Coleta e Análise de Relatórios Aplicações Web; e-commerce, Portais Web; Home Bank, Home Padrões de teste; OWASP Top 10 OWASP Top 3 SANS/FBI Relatórios Auditoria; Gerencial Técnico Geral Aplicação Sinalização Eventos: Inicio Fim Vulnerabilidade Do Plan Gerenciamentode Vulnerabilidades Home Bank, Home Broker, etc; Navegação com usuário (Log ID); Macros orientam o navegador robotiz.; Em produção e em homologação; Limites da licença de uso como serviço. SANS/FBI PCI-DSS Customização; Definições de; Início Periodicidade Falsos positivos Aplicação Seqüência de teste Evidências; Refs tecnicas Recomendações Suporte Técnico ao desenvolvedor; Treinamento sobre vulnerabilidades. Vulnerabilidade grave Dashboard no Portal; Integração: SMS, e-mail Service Desk realizar as recomendações de segurança Ciclo PDCA Act Check Gerenciamento Vulnerabilidades
  • 23. Uso do Sistema redesegura Benefícios do Processo com uso do nosso Sistema O uso do redesegura introduz critérios de segurança no ciclo de vida das aplicações web desde o desenvolvimento; O monitoramento contínuo das ameaças via web permite antecipar-se ao risco de ataques que afetariam o negócio; Gerenciamento de Vulnerabilidades cria um avanço no grau de Gestão da Segurança de TI com os recursos existentes; Promove a transferência de conhecimento sobre segurança de aplicações web para a equipe de desenvolvedores; Elimina ilhas de conhecimento: o processo de segurança e de melhorias não depende de competências individuais.
  • 24. Planejando a implantação do Processo Modelo de Referência – Monitoramento em Produção MSS MSS 80 100 120 Etapas do Projeto de Gerenciamento de Vulnerabilidades Appliance (H) Evolução natural do processoServidores redesegura V-Test V-Test V-Test Support Support Support MSS 0 20 40 60 Ativação Etapa 1 Etapa 2 ...Maturidade WebAppSetup AçõesCorretivas AçõesCorretivas melhorias
  • 25. O Sistema redesegura Diferenciais de Serviços e da Equipe de Suporte O redesegura é “compliance” com recomendações de melhores práticas: ISO-15408, ISO-27001, ISO-27002, BACEN, SOx, e PCI-DSS. Suporte Técnico ao Desenvolvedor, e treinamento de usuários nas vulnerabilidades mais incidentes. Equipe Técnica qualificada e certificada em Segurança da Informação: ISC2 CISSP – Certified Information System Security Professional; ISC2 ISSAP – Information System Security Architect Professional; ISC2 CSSLP - Certified Secure Software Lifecycle Professional; CISM – Certified Information Security Manager; CompTIA Security+: Competency in system security, network infrastructure, access control and organizational security; GAWN SANS - GIAC Assessing Wireless Networks
  • 26. Entregáveis redesegura Portal Web com Dashboard Acesso ao sistema de Métricas e Avaliação Dashboard com indicativos e métricas do processo de segurança Acompanhamento em tempo real do nível de maturidade Repositório de Relatórios e Centro de Suporte Técnico on-line
  • 27. Entregáveis redesegura Customização e Integração com Sistemas de TI Possibilidades de Customização do Sistema: Formato de apresentação do Dashboard, e/ou de gráficos; Personalização de modelos de relatórios de testes; Criação de novas funcionalidades e/ou recursos de teste; Integração com outros Sistemas de Gestão de TI, como:Integração com outros Sistemas de Gestão de TI, como: Sistemas de gestão de incidentes, para abrir “tickets” dirigidos à equipe de desenvolvimento; Sistemas de gestão de SLA, para medir indicadores de desempenho acordados com a fábrica de software terceirizada; Sistemas de ALM (Application Life-cycle Management), para abertura de “tickets” para correção de vulnerabilidades e guarda de evidências
  • 28. Consultoria em Segurança da Aplicação web Serviços Complementares redesegura Managed Security Services (MSS): Gestão e Operação de todo o processo com uso do Sistema redesegura; Teste de Vulnerabilidade e Análise “on demand” da Segurança em Aplicações Web (Web Security Check-up); Consultoria em Segurança da Arquitetura da Aplicação; Teste e Análise: Web Security Check-up + Consulting Report Avaliação do ambiente de infra-estrutura dos Servidores Web Recomendações de ação de melhoria e controles de conformidade “Pen Test” sobre ambiente da aplicação e/ou infra-estrutura Interno/Ext., geral ou orientado, engenharia social, war dialling, etc.