SlideShare uma empresa Scribd logo

Gerenciamento de Vulnerabilidades em Aplicações Web

KeySupport Consultoria e Informática Ltda
KeySupport Consultoria e Informática Ltda

Este documento discute o processo de gerenciamento de vulnerabilidades em aplicações web, incluindo desafios, etapas e benefícios. Ele descreve como testar vulnerabilidades ao longo do ciclo de vida do desenvolvimento de software e como monitorar riscos em produção, e recomenda o uso do sistema RedeSegura para apoiar esse processo.

1 de 12
Baixar para ler offline
Slide Show nº 2 O Processo de Gerenciamento de Vulnerabilidades em Aplicações Web Autor: Eduardo Lanna rev. 05/jan/11
Segurança de Aplicações Web Função do risco de ataque a um Sistema e suas variáveis ? ? (agente malicioso + vulnerabilidade + padrão de ataque) Fonte: www.owasp.org Para mitigar riscos... esteja sempre à frente das ameaças!!!! (Gartner) Identificar as vulnerabilidades permite antecipa-se ao risco de ataques!!! Gerenciá-las cria um ciclo de monitoramento e de melhoria contínuos... Slide 2/12
Desafios da GSI nas Aplicações Web Certificar-se da Segurança no Ciclo de Vida da aplicação Estágios do Software Development Life Cycle (SDLC) Introdução de critérios de Segurança no ciclo de Desenvolvimento Planejamento Definição de Codificação Integração & Instalação & “Design” do Projeto Requisitos (programação) Testes Aceitação Há recomendações de segurança em cada etapa do SDLC... Testes de avaliação de Vulnerabilidades O processo de Gerenciamento de Vulnerabilidades certifica as ações de segurança adotadas no curso do SDLC Slide 3/12
Desafios da GSI nas Aplicações Web Testar Vulnerabilidades no Ciclo de Vida da Aplicação QA de Segurança no Desenvolvimento Critérios de segurança foram incluídos no ciclo do desenvolvimento... Testar a cada intervenção sobre o código do aplicativo, logo após os testes funcionais, precedendo a aceitação final Certificação de Segurança da aplicação web na sua homologação Metodologia de testes: Static Application Security Test (SAST) Monitoramento do Risco em Produção Segurança de “infra” não basta se as aplicações web apresentarem vulnerabilidades exploráveis... Testar periodicamente avalia a segurança da aplicação, mantendo baixo o nível de risco em produção (atualização periódica de ataques) Manutenção da Segurança na Gestão de Mudanças e de Incidentes Metodologia de testes: Dynamic Application Security Test (DAST) Slide 4/12
Desafios da GSI nas Aplicações Web Definir uma estratégia e planejar ações práticas... "Segurança não é um produto que se pode comprar de prateleira, mas que consiste de políticas, pessoas, processos e tecnologia” (Kevin Mitinik – IT Security Specialist) “Uma ferramenta por si só não pode resolver o que fundamentalmente é um problema de processo no desenvolvimento” (Neil MacDonald – Gartner Group) “Não se gerencia o que não se mede, ½ Gerenciamento de não se mede o que não se define, ½ Vulnerabilidades não se define o que não se entende, ½ e não há sucesso no que não se gerencia” ½ (William Edwards Deming) Slide 5/12
Desafios da GSI nas Aplicações Web A estratégia para o Gerenciamento de Vulnerabilidades “A estratégia de Gestão da Segurança da Informação (GSI) deve abordar todos os elementos de um processo” SSG: People Process Strategy SAST/DAST N-Stalker Metodology Technology Gerenciamento de Vulnerabilidades em Aplicações Web Slide 6/12
Uso do Sistema redesegura Gerenciamento de Vulnerabilidades em Aplicações Web Recomendações de Segurança Vulnerabilty Database Home Banking Home Broker Desenvolvedores e-Commerce SSL Conteúdo V-Test Scan Engine Corporativo: Security Officer Web Server CRM, ERP, RH... “SSG” Metodologias: Apoio a Decisão SAST/DAST Processo de Gestão Suporte Téc. Especializado ao Desenvolvedor (CSSLP) Slide 7/12
Uso do Sistema redesegura Fatores críticos de SUCESSO do processo de melhorias 1) O Software Security Group: papel dos Agentes do Processo; 2) Configuração adequada da ferramenta de testes de avaliação; 3) Capacidade da tecnologia ao identificar o máximo de reais vulnerabilidades exploráveis em cada teste (sem FP); 4) Capacidade do Admin do processo ao avaliar os resultados e obter informações adicionais se necessário; 5) Capacidade dos desenvolvedores ao interpretar corretamente as recomendações de segurança, e realizar as melhorias. O Sistema redesegura suporta os usuários no domínio destes fatores críticos de sucesso de seu processo... Slide 8/12
Uso do Sistema redesegura Metodologia recomendada na implantação do Processo Parametrização Definição das Acompanhamento Coleta e Análise da política de URLs da Execução de Relatórios testes Aplicações Web; Padrões de teste; Sinalização Eventos: Relatórios Auditoria; Plan... Gerenciamento de e-commerce, OWASP Top 10 Inicio Gerencial Vulnerabilidades Portais Web; OWASP Top 3 Técnico Geral Do ! Fim Home Bank, Home SANS/FBI Aplicação Broker, etc; Vulnerabilidades PCI-DSS +graves Seqüência de teste Navegação com usuário (Log ID); Customização; Ciclo Dashboard no Portal; Evidências; Macros orientam o PDCA Definições de; Integração: Refs. técnicas navegador autom.; Início SMS, e-mail Recomendações Em produção e em Act ! Periodicidade Service Desk Suporte Técnico ao homologação; desenvolvedor; Falsos positivosCheck... . Limites da licença de Base de Conhecimento uso como serviço. realizar as recomendações de segurança Slide 9/12
Uso do Sistema redesegura Benefícios do Processo com uso do nosso Sistema O uso do redesegura avalia critérios de segurança no ciclo de vida das aplicações web desde o desenvolvimento; O monitoramento contínuo de ameaças permite antecipação ao risco de ataques que afetariam o negócio; O sucesso do processo de avaliação e melhorias não depende de competências individuais; Integra equipes multidisciplinares em um ciclo de melhoria da segurança; Transfere conhecimento sobre segurança de software para a equipe de desenvolvedores; Promove um avanço no grau de Gestão da Segurança de TI, enquanto mantém os recursos existentes... Slide 10/12
Uso do Sistema redesegura Grau de Maturidade em Gestão da Segurança de TI + + OTIMIZADO Sistema de Gerenciamento de Vulnerabilidades Gestão de Grau de Maturidade na Gestão da Segurança da Informação • Processo centralizado e continuado de avaliação; • Automação de tarefas e padronização de testes; Processo • Indicadores de risco e análise de resultados históricos; de Segurança PROATIVO • Independência de competências individuais; • Segurança em todo o Ciclo de Vida da Aplicação web; Suporte Técnico Especializado + Serviços de Consultoria • Profissionais Certificados: CISSP, ISSAP, CSSLP, CISM... COMPLIANCE • Análise do resultado dos testes de avaliação; em • Consultas sobre as recomendações de segurança; Segurança Software N-Stalker Web App Scanner Avaliação REATIVO • Ferramenta de testes de avaliação de segurança reativa ou • Testes com 39.000 assinaturas de ataques web incidental - Slide 11/12
Departamento Comercial Tel: +55 (11) 3044-1819 e-mail: contato@redesegura.com.br visite: www.redesegura.com.br Veja também nossa apresentação sobre a auditoria do Selo “Website Protegido”... Autor: Eduardo Lanna

Recomendados

(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 

Recomendados

(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
Dss 3
Dss 3Dss 3
Dss 3Jean Carlos da Silva
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-StalkerEduardo Lanna
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swJunior Gomes
 
Java security
Java securityJava security
Java securityarmeniocardoso
 
Requisitos de Segurança
Requisitos de SegurançaRequisitos de Segurança
Requisitos de SegurançaOWASP Brasília
 
CNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCarlos Eduardo Motta de Castro
 
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TIBe Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TISymantec Brasil
 
WebGoat Project - Apresentação
WebGoat Project - ApresentaçãoWebGoat Project - Apresentação
WebGoat Project - ApresentaçãoCleyton Kano
 
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaSymantec Brasil
 
Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?Rafael Burity
 
CNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento SeguroCNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento SeguroCarlos Eduardo Motta de Castro
 
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Bruno Caseiro
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Palestra Gerenciamento de Projetos com Scrum e MPS.Br
Palestra Gerenciamento de Projetos com Scrum e MPS.BrPalestra Gerenciamento de Projetos com Scrum e MPS.Br
Palestra Gerenciamento de Projetos com Scrum e MPS.BrPowerlogic Consultoria e Sistemas
 
CME Group: Social media and the Global Financial Leadership Conference, prese...
CME Group: Social media and the Global Financial Leadership Conference, prese...CME Group: Social media and the Global Financial Leadership Conference, prese...
CME Group: Social media and the Global Financial Leadership Conference, prese...SocialMedia.org
 
Cfma education across cultures
Cfma education across culturesCfma education across cultures
Cfma education across culturesPatriciaKWIW
 
Wp snapper review
Wp snapper reviewWp snapper review
Wp snapper reviewDilip Kumar
 
Présentation de Sage Business mobile : les nouveautés 2013
Présentation de Sage Business mobile : les nouveautés 2013Présentation de Sage Business mobile : les nouveautés 2013
Présentation de Sage Business mobile : les nouveautés 2013Sage france
 

Mais conteúdo relacionado

Mais procurados

O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-StalkerEduardo Lanna
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swJunior Gomes
 
Requisitos de Segurança
Requisitos de SegurançaRequisitos de Segurança
Requisitos de SegurançaOWASP Brasília
 
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TIBe Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TISymantec Brasil
 
WebGoat Project - Apresentação
WebGoat Project - ApresentaçãoWebGoat Project - Apresentação
WebGoat Project - ApresentaçãoCleyton Kano
 
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaSymantec Brasil
 
Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?Rafael Burity
 
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Bruno Caseiro
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 

Mais procurados (18)

O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
Dss 3
Dss 3Dss 3
Dss 3
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
 
Aula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de swAula 03 qs - confiabilidade de sw
Aula 03 qs - confiabilidade de sw
 
Java security
Java securityJava security
Java security
 
Requisitos de Segurança
Requisitos de SegurançaRequisitos de Segurança
Requisitos de Segurança
 
CNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos Confiaveis
 
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TIBe Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
 
WebGoat Project - Apresentação
WebGoat Project - ApresentaçãoWebGoat Project - Apresentação
WebGoat Project - Apresentação
 
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
 
Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?Segurança vs UX: Qual relação do usuário com a segurança do sistema?
Segurança vs UX: Qual relação do usuário com a segurança do sistema?
 
CNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento SeguroCNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento Seguro
 
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
Palestra Gerenciamento de Projetos com Scrum e MPS.Br
Palestra Gerenciamento de Projetos com Scrum e MPS.BrPalestra Gerenciamento de Projetos com Scrum e MPS.Br
Palestra Gerenciamento de Projetos com Scrum e MPS.Br
 

Destaque

CME Group: Social media and the Global Financial Leadership Conference, prese...
CME Group: Social media and the Global Financial Leadership Conference, prese...CME Group: Social media and the Global Financial Leadership Conference, prese...
CME Group: Social media and the Global Financial Leadership Conference, prese...SocialMedia.org
 
Cfma education across cultures
Cfma education across culturesCfma education across cultures
Cfma education across culturesPatriciaKWIW
 
Wp snapper review
Wp snapper reviewWp snapper review
Wp snapper reviewDilip Kumar
 
Présentation de Sage Business mobile : les nouveautés 2013
Présentation de Sage Business mobile : les nouveautés 2013Présentation de Sage Business mobile : les nouveautés 2013
Présentation de Sage Business mobile : les nouveautés 2013Sage france
 
BlogWell New York Social Media Ethics Briefing, presented by Andy Sernovitz
BlogWell New York Social Media Ethics Briefing, presented by Andy SernovitzBlogWell New York Social Media Ethics Briefing, presented by Andy Sernovitz
BlogWell New York Social Media Ethics Briefing, presented by Andy SernovitzSocialMedia.org
 
United Airlines: Unlocking social media sales socially, presented by Allison ...
United Airlines: Unlocking social media sales socially, presented by Allison ...United Airlines: Unlocking social media sales socially, presented by Allison ...
United Airlines: Unlocking social media sales socially, presented by Allison ...SocialMedia.org
 

Destaque (6)

CME Group: Social media and the Global Financial Leadership Conference, prese...
CME Group: Social media and the Global Financial Leadership Conference, prese...CME Group: Social media and the Global Financial Leadership Conference, prese...
CME Group: Social media and the Global Financial Leadership Conference, prese...
 
Cfma education across cultures
Cfma education across culturesCfma education across cultures
Cfma education across cultures
 
Wp snapper review
Wp snapper reviewWp snapper review
Wp snapper review
 
Présentation de Sage Business mobile : les nouveautés 2013
Présentation de Sage Business mobile : les nouveautés 2013Présentation de Sage Business mobile : les nouveautés 2013
Présentation de Sage Business mobile : les nouveautés 2013
 
BlogWell New York Social Media Ethics Briefing, presented by Andy Sernovitz
BlogWell New York Social Media Ethics Briefing, presented by Andy SernovitzBlogWell New York Social Media Ethics Briefing, presented by Andy Sernovitz
BlogWell New York Social Media Ethics Briefing, presented by Andy Sernovitz
 
United Airlines: Unlocking social media sales socially, presented by Allison ...
United Airlines: Unlocking social media sales socially, presented by Allison ...United Airlines: Unlocking social media sales socially, presented by Allison ...
United Airlines: Unlocking social media sales socially, presented by Allison ...
 

Semelhante a Gerenciamento de Vulnerabilidades em Aplicações Web

Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeVirtù Tecnológica
 
Introdução ao ALM e a visão da Plataforma Microsoft para developers.
Introdução ao ALM e a visão da Plataforma Microsoft para developers.Introdução ao ALM e a visão da Plataforma Microsoft para developers.
Introdução ao ALM e a visão da Plataforma Microsoft para developers.Gustavo Malheiros
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Symantec Brasil
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 

Semelhante a Gerenciamento de Vulnerabilidades em Aplicações Web (20)

(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
 
(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016
 
I-SCode
I-SCodeI-SCode
I-SCode
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de Rede
 
Introdução ao ALM e a visão da Plataforma Microsoft para developers.
Introdução ao ALM e a visão da Plataforma Microsoft para developers.Introdução ao ALM e a visão da Plataforma Microsoft para developers.
Introdução ao ALM e a visão da Plataforma Microsoft para developers.
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
 
01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaats
 
MTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento SeguroMTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento Seguro
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertação
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
 

Mais de KeySupport Consultoria e Informática Ltda

Mais de KeySupport Consultoria e Informática Ltda (6)

Padronização de cadastros e abreviações em campos de dados
Padronização de cadastros e abreviações em campos de dadosPadronização de cadastros e abreviações em campos de dados
Padronização de cadastros e abreviações em campos de dados
 
Webservice de Consultas integrado ao ERP (SAP)
Webservice de Consultas integrado ao ERP (SAP)Webservice de Consultas integrado ao ERP (SAP)
Webservice de Consultas integrado ao ERP (SAP)
 
Alternativas de Governanca de processos do Cadastro
Alternativas de Governanca de processos do CadastroAlternativas de Governanca de processos do Cadastro
Alternativas de Governanca de processos do Cadastro
 
O Risco Fiscal do cadastro com arquivos do SPED NFe
O Risco Fiscal do cadastro com arquivos do SPED NFeO Risco Fiscal do cadastro com arquivos do SPED NFe
O Risco Fiscal do cadastro com arquivos do SPED NFe
 
Saneamento de Cadastro de Clientes e Fornecedores (KeyConsultas-web)
Saneamento de Cadastro de Clientes e Fornecedores (KeyConsultas-web)Saneamento de Cadastro de Clientes e Fornecedores (KeyConsultas-web)
Saneamento de Cadastro de Clientes e Fornecedores (KeyConsultas-web)
 
Curso para Planejamento do Projeto NFe Pelo Contribuinte (KeySupport)
Curso para Planejamento do Projeto NFe Pelo Contribuinte (KeySupport)Curso para Planejamento do Projeto NFe Pelo Contribuinte (KeySupport)
Curso para Planejamento do Projeto NFe Pelo Contribuinte (KeySupport)
 

Gerenciamento de Vulnerabilidades em Aplicações Web

  • 1. Slide Show nº 2 O Processo de Gerenciamento de Vulnerabilidades em Aplicações Web Autor: Eduardo Lanna rev. 05/jan/11
  • 2. Segurança de Aplicações Web Função do risco de ataque a um Sistema e suas variáveis ? ? (agente malicioso + vulnerabilidade + padrão de ataque) Fonte: www.owasp.org Para mitigar riscos... esteja sempre à frente das ameaças!!!! (Gartner) Identificar as vulnerabilidades permite antecipa-se ao risco de ataques!!! Gerenciá-las cria um ciclo de monitoramento e de melhoria contínuos... Slide 2/12
  • 3. Desafios da GSI nas Aplicações Web Certificar-se da Segurança no Ciclo de Vida da aplicação Estágios do Software Development Life Cycle (SDLC) Introdução de critérios de Segurança no ciclo de Desenvolvimento Planejamento Definição de Codificação Integração & Instalação & “Design” do Projeto Requisitos (programação) Testes Aceitação Há recomendações de segurança em cada etapa do SDLC... Testes de avaliação de Vulnerabilidades O processo de Gerenciamento de Vulnerabilidades certifica as ações de segurança adotadas no curso do SDLC Slide 3/12
  • 4. Desafios da GSI nas Aplicações Web Testar Vulnerabilidades no Ciclo de Vida da Aplicação QA de Segurança no Desenvolvimento Critérios de segurança foram incluídos no ciclo do desenvolvimento... Testar a cada intervenção sobre o código do aplicativo, logo após os testes funcionais, precedendo a aceitação final Certificação de Segurança da aplicação web na sua homologação Metodologia de testes: Static Application Security Test (SAST) Monitoramento do Risco em Produção Segurança de “infra” não basta se as aplicações web apresentarem vulnerabilidades exploráveis... Testar periodicamente avalia a segurança da aplicação, mantendo baixo o nível de risco em produção (atualização periódica de ataques) Manutenção da Segurança na Gestão de Mudanças e de Incidentes Metodologia de testes: Dynamic Application Security Test (DAST) Slide 4/12
  • 5. Desafios da GSI nas Aplicações Web Definir uma estratégia e planejar ações práticas... "Segurança não é um produto que se pode comprar de prateleira, mas que consiste de políticas, pessoas, processos e tecnologia” (Kevin Mitinik – IT Security Specialist) “Uma ferramenta por si só não pode resolver o que fundamentalmente é um problema de processo no desenvolvimento” (Neil MacDonald – Gartner Group) “Não se gerencia o que não se mede, ½ Gerenciamento de não se mede o que não se define, ½ Vulnerabilidades não se define o que não se entende, ½ e não há sucesso no que não se gerencia” ½ (William Edwards Deming) Slide 5/12
  • 6. Desafios da GSI nas Aplicações Web A estratégia para o Gerenciamento de Vulnerabilidades “A estratégia de Gestão da Segurança da Informação (GSI) deve abordar todos os elementos de um processo” SSG: People Process Strategy SAST/DAST N-Stalker Metodology Technology Gerenciamento de Vulnerabilidades em Aplicações Web Slide 6/12
  • 7. Uso do Sistema redesegura Gerenciamento de Vulnerabilidades em Aplicações Web Recomendações de Segurança Vulnerabilty Database Home Banking Home Broker Desenvolvedores e-Commerce SSL Conteúdo V-Test Scan Engine Corporativo: Security Officer Web Server CRM, ERP, RH... “SSG” Metodologias: Apoio a Decisão SAST/DAST Processo de Gestão Suporte Téc. Especializado ao Desenvolvedor (CSSLP) Slide 7/12
  • 8. Uso do Sistema redesegura Fatores críticos de SUCESSO do processo de melhorias 1) O Software Security Group: papel dos Agentes do Processo; 2) Configuração adequada da ferramenta de testes de avaliação; 3) Capacidade da tecnologia ao identificar o máximo de reais vulnerabilidades exploráveis em cada teste (sem FP); 4) Capacidade do Admin do processo ao avaliar os resultados e obter informações adicionais se necessário; 5) Capacidade dos desenvolvedores ao interpretar corretamente as recomendações de segurança, e realizar as melhorias. O Sistema redesegura suporta os usuários no domínio destes fatores críticos de sucesso de seu processo... Slide 8/12
  • 9. Uso do Sistema redesegura Metodologia recomendada na implantação do Processo Parametrização Definição das Acompanhamento Coleta e Análise da política de URLs da Execução de Relatórios testes Aplicações Web; Padrões de teste; Sinalização Eventos: Relatórios Auditoria; Plan... Gerenciamento de e-commerce, OWASP Top 10 Inicio Gerencial Vulnerabilidades Portais Web; OWASP Top 3 Técnico Geral Do ! Fim Home Bank, Home SANS/FBI Aplicação Broker, etc; Vulnerabilidades PCI-DSS +graves Seqüência de teste Navegação com usuário (Log ID); Customização; Ciclo Dashboard no Portal; Evidências; Macros orientam o PDCA Definições de; Integração: Refs. técnicas navegador autom.; Início SMS, e-mail Recomendações Em produção e em Act ! Periodicidade Service Desk Suporte Técnico ao homologação; desenvolvedor; Falsos positivosCheck... . Limites da licença de Base de Conhecimento uso como serviço. realizar as recomendações de segurança Slide 9/12
  • 10. Uso do Sistema redesegura Benefícios do Processo com uso do nosso Sistema O uso do redesegura avalia critérios de segurança no ciclo de vida das aplicações web desde o desenvolvimento; O monitoramento contínuo de ameaças permite antecipação ao risco de ataques que afetariam o negócio; O sucesso do processo de avaliação e melhorias não depende de competências individuais; Integra equipes multidisciplinares em um ciclo de melhoria da segurança; Transfere conhecimento sobre segurança de software para a equipe de desenvolvedores; Promove um avanço no grau de Gestão da Segurança de TI, enquanto mantém os recursos existentes... Slide 10/12
  • 11. Uso do Sistema redesegura Grau de Maturidade em Gestão da Segurança de TI + + OTIMIZADO Sistema de Gerenciamento de Vulnerabilidades Gestão de Grau de Maturidade na Gestão da Segurança da Informação • Processo centralizado e continuado de avaliação; • Automação de tarefas e padronização de testes; Processo • Indicadores de risco e análise de resultados históricos; de Segurança PROATIVO • Independência de competências individuais; • Segurança em todo o Ciclo de Vida da Aplicação web; Suporte Técnico Especializado + Serviços de Consultoria • Profissionais Certificados: CISSP, ISSAP, CSSLP, CISM... COMPLIANCE • Análise do resultado dos testes de avaliação; em • Consultas sobre as recomendações de segurança; Segurança Software N-Stalker Web App Scanner Avaliação REATIVO • Ferramenta de testes de avaliação de segurança reativa ou • Testes com 39.000 assinaturas de ataques web incidental - Slide 11/12
  • 12. Departamento Comercial Tel: +55 (11) 3044-1819 e-mail: contato@redesegura.com.br visite: www.redesegura.com.br Veja também nossa apresentação sobre a auditoria do Selo “Website Protegido”... Autor: Eduardo Lanna