Este documento descreve o I-SCode, uma solução de nuvem para automatizar a detecção e prevenção de vulnerabilidades em código-fonte de várias linguagens. O I-SCode analisa o código-fonte rapidamente, detecta vulnerabilidades de forma antecipada e lança alertas e processos automatizados de auditoria. A solução é adaptável, integra-se com sistemas de segurança existentes e reduz custos em comparação com auditorias manuais.
Detecção automática de vulnerabilidades em código fonte
1. SEGURANÇA E DEFESA
I-SCode
Solução adaptável e integrável para a automatização dos
processos de análise de vulnerabilidades em código fonte de
várias linguagens, baseada em cloud computing.
Introdução Characteristics
Sistema automático, adaptável e • Menor rácio de falsos positivos do • Integração nos sistemas de informação
integral, para a detecção e prevenção mercado. de geração de alertas e quadro de
antecipada de vulnerabilidades em • Maior velocidade de processamento comandos de segurança.
código fonte (host e distribuídos), de (até 300.000 linhas de código/minuto). • Automatização dos processos de
forma a que no caso de que se produza • Capacidade para analisar várias segurança, que se realizam de forma
um alerta, sejam lançados processos linguagens, com uma única licença: PHP, manual ou semiautomática.
automáticos que cataloguem, auditem Java, .NET, HTML, XML, JSP, ASP, ASPX, • Sistema de alerta ao instante e
e criem toda a informação necessária, V.Basic, C#. Em breve, COBOL, SAP, ABAP antecipado, tanto em ambientes prévios
notificando a pessoa (ou sistema), sobre e aplicações para dispositivos móveis como produtivos.
a vulnerabilidade e que disponha assim como iPhone, iPad, Android, WMobile. • Geração de eventos de aviso ao usuário
de toda a informação necessária para • Plataforma multitarefa e multiusuário como e-mail, SMS, eventos por consola,
a resolução (ou mitigação) da mesma. E com granularidade de autorizações. etc., sem necessidade de o usuário estar
tudo isso sem a intervenção humana, de As interfaces de usuário são perto do monitor de alertas.
forma totalmente automática. completamente personalizáveis para se • Em minutos e em paralelo com o alerta,
poderem adaptar a qualquer matriz de disparam-se processos automáticos
acesso definida. onde se obtém um relatório completo do
• Permite a classificação de projectos alerta e a sua análise.
para um melhor seguimento a qualquer • Controlo de vulnerabilidades
nível do nível de segurança dos antecipado e em tempo real (no post
aplicativos auditados. Incorpora um mortem).
gestor documental e facilita em grande • Própria consola de monitorização
medida a gestão de vulnerabilidades, dos eventos, alertas, configuração e
incorporando para isso diferentes estatísticas.
quadros de comando adaptáveis. • Cumprimento PCI.
• Integração nas fontes de informação • Baixo impacto nos sistemas-processos
de recolha de dados de segurança do cliente.
cliente. • Particularização das regras do cliente.
I-SCode
2. Sistema da solução
Consola
web
Fuentes de
Fontes de Fornecedores Fornecedores Gestores de
alimentación
informação de eventos CORE de alertas alerta
Serviço de
auditoria
SCM BBDD
Aplicações Beneficios
• PMEs e grandes corporações que • Evita o erro humano nas auditorias • Solução fácil e intuitiva: Não são
tenham A.M. (Application Management), manuais. necessários conhecimentos profundos
e portais web estratégicos para o • O que não é vulnerável hoje, pode sê-lo para usar a solução.
seu negócio e que queiram prevenir amanhã (actualização automática) • Simplificação das tarefas de segurança
vulnerabilidades no seu código fonte, de • A equipa não tem motivo para estar da prevenção de vulnerabilidades, ao gerir
forma automática, ao mesmo tempo que constantemente actualizada sobre as a grande quantidade de eventos de forma
a equipa de desenvolvimento aprende a últimas vulnerabilidades. automática.
resolvê-las e a preveni-las. • Detectam-se possíveis vulnerabilidades • Redução de custos e pessoal
• Empresas que queiram reduzir a em etapas prévias, e desta forma • Sistema totalmente automático e
complexidade e os custos de segurança economiza-se tempo e custos. “robotizado”.
em prevenção de ameaças, sem diminuir • A equipa de desenvolvimento não só • Avisos de alertas mediante SMS, e-mail,
os seus níveis de exigência. aprende a resolver vulnerabilidades em ferramentas SIEM.
• Empresas que tenham departamento de etapas prévias, mas também a preveni-las • Escalável e extensível, fácil manutenção.
segurança da informação, que disponham • Assessoramos o cliente sobre a Funciona de maneira descentralizada
de sistemas de monitorização de modalidade de licença que mais se ajusta na nuvem, permitindo ajustar os níveis
segurança dos aplicativos e ferramentas ao seu negócio (pagamento por utilização, de escalabilidade às necessidades dos
de correlação ou quadro de comandos de appliance, etc.). Não tem que comprar uma clientes.
alertas, que precisem de automatizar os solução completa para a análise do seu • Detecção de novas vulnerabilidades.
seus processos de forma ágil e prática. código fonte.
• Empresas do sector financeiro pela • Detectam-se vulnerabilidades, que em
necessidade crescente de cumprimento de auditorias manuais são muito complexas
PCI DSS.. (e caras) de detectar pela dependência
entre as linhas de código e a dimensão e
complexidade que são as aplicações.
• I-SCode integra-se no ciclo de vida do
desenvolvimento do cliente.
Componentes Serviço
• Módulo de gestão de sucessos/ • Cloud Computing
eventos • InHouse-Appliance
• Módulo de gestão de alertas
• Módulo de configuração e Outros
administração do sistema
• Módulo de estatísticas • Conectores para Arcsight, SVN
• Módulo de formação de relatórios • Integração com ciclo de vida do
• Módulo de auditoria de código desenvolvimento
• Módulo de gestão de versões
• Módulo de gestão de usuários do
sistema
Anabel Segura, 7 A Indra reserva-se o
28108 Alcobendas, direito de modificar estas
Madrid (España) especificações sem
T +34 91 594 87 00 notificação prévia.
F +34 91 445 13 19
Ciberseguridad@indra.es
www.indracompany.com