O documento apresenta o Managed Application Security Process (MASP) da Conviso, um processo gerenciado para garantir a segurança de aplicações web em todas as fases do ciclo de desenvolvimento, realizando planejamento, testes, implementação de controles e melhoria contínua do processo de desenvolvimento.
MASP: Um processo racional para garantir o nível de proteção das aplicações web em todas as fases do ciclo de desenvolvimento
1. MASP | Managed Application Security Process
Um processo racional para garantir o nível de proteção das aplicações
web em todas as fases do ciclo de desenvolvimento
Eduardo Neves | CEO Wagner Elias | CTO
eneves@conviso.com.br welias@conviso.com.br
1
2. Sobre a Conviso
Fundada em 2008 é uma empresa especializada em Application Security e
Network Security com operações no Brasil e Estados Unidos
Temos entre nossos clientes empresas de grande e médio porte em
diversos segmentos, incluindo os líderes em seus setores
Nossa equipe tem as principais certi cações do mercado, participa de
eventos internacionais e publica artigos sobre IT Security
Mantemos acordos de cooperação com a Check Point e Security Art para
análise de vulnerabilidades e desenvolvimento de soluções especí cas
Apoiamos e participamos do OWASP através de diversas iniciativas e
projetos
Conviso | Managed Application Security Process 2
3. Serviços e Produtos
Web Application Firewall Web Application Scanning
Database Security Vulnerability Management
File Security PCI Compliance
Security Planning Security Testing Security Deployment
• Security Development Lifecycle • Penetration Test • Web Application Firewall
• Application, Network and Architecture • Web Security Assessment • Database and File Security
• Integration on the Infrastructure • Security Code Review • Vulnerability Management
Conviso Labs
Pesquisa de Vulnerabilidades Ferramentas de Suporte Treinamentos Técnicos
Conviso | Managed Application Security Process 3
5. Racional
As empresas tem focado em aspectos de GRC como vantagem competitiva ou
necessidade de compliance porém os resultados da exploração de falhas
continuam a aparecer com frequência
Os aspectos técnicos são administrados como um mal necessário ou
requerimento complementar
Os negócios estão sendo posicionados na nuvem com uma abordagem
tradicional de segurança
A segurança das aplicações é fundamental para suportar de forma
adequada os negócios on-line, porém não pode ser tratada como uma
iniciativa isolada
Conviso | Managed Application Security Process 5
6. A Abordagem Tradicional
A execução de testes de segurança permite realizar ações corretivas pontuais,
mas não suporta nenhuma uma evolução no desenvolvimento de aplicações
seguras
As causas das falhas não são endereçadas de forma adequada
Aplicações Web com falhas são posicionadas em ambiente de produção
devido as pressões das áreas de negócios
Ferramentas de proteção exigem investimentos diretos e contratação de
equipe especializada para administração dos recursos
Conviso | Managed Application Security Process 6
7. Diferenciais do MASP
É um serviço de suporte para o processo de desenvolvimento seguro de
software indo desde a gestão de Build, Bug Tracking, Testes de Segurança,
Virtual Patching e implementação de um processo de segurança em
desenvolvimento
As causas das falhas são identi cadas e utilizadas para suportar ações
operacionais e estratégicas
Aplicações Web com falhas podem ser temporariamente posicionadas
de forma segura dentro deste ciclo de operação
O cliente é continuamente capacitado e o nível de maturidade do
processo é crescente
Pode ser estruturado para atender a padrões como o PCI DSS e o HIPAA
Conviso | Managed Application Security Process 7
8. Como o MASP funciona?
Conviso | Managed Application Security Process 8
9. Como o MASP funciona?
Planejamento
Conviso | Managed Application Security Process 8
10. Como o MASP funciona?
Testes
Planejamento
Conviso | Managed Application Security Process 8
11. Como o MASP funciona?
Testes
Aplicação
Planejamento
segura?
Conviso | Managed Application Security Process 8
12. Como o MASP funciona?
Testes
Aplicação sim
Planejamento Implementação
segura?
Conviso | Managed Application Security Process 8
13. Como o MASP funciona?
Testes
Aplicação sim
Planejamento Implementação
segura?
não
Novo
release?
Conviso | Managed Application Security Process 8
14. Como o MASP funciona?
Testes
Aplicação sim
Planejamento Implementação
segura?
não
Novo
release?
sim
Adequação
Conviso | Managed Application Security Process 8
15. Como o MASP funciona?
Testes
Aplicação sim
Planejamento Implementação
segura?
não
Novo
release?
sim
Adequação
Conviso | Managed Application Security Process 8
16. Como o MASP funciona?
Testes
Aplicação sim
Planejamento Implementação
segura?
não
Novo não
release?
sim
Adequação
Conviso | Managed Application Security Process 8
17. Como o MASP funciona?
Testes
Aplicação sim
Planejamento Implementação
segura?
não
Novo não
release?
sim
Adequação
Conviso | Managed Application Security Process 8
18. Como o MASP funciona?
Testes
Security
Assessment
Aplicação sim
Planejamento Implementação
segura?
não
WAF
Novo não
release?
sim
Adequação
Conviso | Managed Application Security Process 8
19. Como o MASP funciona?
Testes
Security
Assessment
Aplicação sim
Planejamento Implementação
segura?
não
WAF
Novo não
release?
sim
Adequação
Conviso | Managed Application Security Process 8
20. Como o MASP funciona?
Testes
Security
Assessment
Aplicação sim
Planejamento Implementação
segura?
não
WAF
Novo não
release?
sim
Adequação
Conviso | Managed Application Security Process 8
21. Como o MASP funciona?
Testes
Security
Assessment
Aplicação sim
Planejamento Implementação
segura?
não
WAF
Novo não
release?
sim
Adequação
Conviso | Managed Application Security Process 8
22. Como o MASP funciona?
Processo de Gestão de Vulnerabilidades
Testes
Security
Assessment
Aplicação sim
Planejamento Implementação
segura?
não
WAF
Novo não
release?
sim
Adequação
Conviso | Managed Application Security Process 8
23. Como o MASP funciona?
O MASP permite realizar ações corretivas para adequar a proteção dos
componentes e elevar imediatamente o nível de proteção do Ambiente
Informatizado
Os testes e avaliações resultam em sugestões de controles e
recomendações de melhoria para o processo de desenvolvimento
Falhas que não podem ser corrigidas são tratadas através de virtual
patching pelo WAF
A capacitação da equipe responsável, melhoria contínua do processo de
desenvolvimento e a oferta de bibliotecas com códigos seguros são
características presentes na solução
Conviso | Managed Application Security Process 9
24. Conclusão
Nossa equipe é formada por pro ssionais de IT Security com conhecimento de
mercado, experiência em gestão e vivência dentro de empresas
Sabemos utilizar essas competências a seu favor, avaliando suas necessidades
de forma pragmática e apresentando soluções que façam sentido, funcionem e
sejam claras para você e seus clientes
Nosso web site: http://conviso.com.br
Nosso canal no YouTube: http://www.youtube.com/ConvisoITSecurity
Presença no Twitter: http://twitter.com/conviso
Conviso | Managed Application Security Process 10
25. Curitiba | Miami | São Paulo
Rua Marechal Hermes 678 CJ 32
CEP 80530-230, Curitiba, PR
t. (41) 3095-3986
www.conviso.com.br
8671 NW 56th Street
Doral, FL 33166
t. (786) 382-0167
www.convisosec.com
Conviso IT Security | Apresentação Institucional 4Q 2010 11