Este documento discute estratégias para testes de segurança em aplicações web durante todo o ciclo de desenvolvimento. Ele compara o uso de um software de escaneamento de vulnerabilidades versus um sistema de gerenciamento de segurança que integra testes estáticos e dinâmicos, suporte técnico especializado e um processo centralizado de melhoria contínua. O documento recomenda o sistema RedeSegura por sua abordagem holística à segurança do software.
Curso para Planejamento do Projeto NFe Pelo Contribuinte (KeySupport)
(4) Comparando o NStalker WAS com o RedeSegura
1. Slide Show nº 4
Comparando nossas soluções:
- uso do Software N-Stalker WAS
- uso do Sistema RedeSegura
Autor: Eduardo Lanna rev. 05/jan/11
2. Desafios da GSI em Aplicações Web
Certificação da Segurança no Ciclo de Vida da Aplicação
Estágios do Software Development Life Cycle (SDLC)
Introdução de critérios de Segurança no ciclo de Desenvolvimento
Planejamento Definição de Codificação Integração & Instalação &
“Design”
do Projeto Requisitos (programação) Testes Aceitação
Há recomendações de segurança em cada etapa do SDLC...
Testes de avaliação
de Vulnerabilidades
Testes de vulnerabilidades devem ser realizados durante todo o
ciclo de vida da aplicação web, desde o seu desenvolvimento.
Slide 2/11
3. Metodologia de aplicação de Testes
Quando e como testar vulnerabilidades
QA de Segurança no Desenvolvimento
Critérios de segurança foram incluídos no ciclo do desenvolvimento...
Testar a cada intervenção sobre o código do aplicativo, logo após os
testes funcionais, precedendo a aceitação final
Certificação de Segurança da aplicação web na sua homologação
Metodologia: Static Application Security Test (SAST)
Monitoramento do Risco em Produção
Segurança de “infra” não basta se as aplicações web apresentarem
vulnerabilidades exploráveis...
Testar periodicamente avalia a segurança da aplicação, mantendo baixo
o nível de risco em produção (atualização periódica de ataques)
Manutenção da Segurança na Gestão de Mudanças e de Incidentes
Metodologia: Dynamic Application Security Test (DAST)
Slide 3/11
4. Definindo a tecnologia para os testes
Diferenciais Tecnológicos N-Stalker
Framework exclusivo de “Web Application Security Scanner”
orientado a componentes (patente requerida no BR e USA)
39.000 assinaturas de ataques HTTP: a maior base de ataques web
Mecanismo de “macro” para de fluxo orientado de navegação e/ou
autenticação de usuário: testes alcançam todas as URLs
Regras automáticas para eliminação de Falsos Positivos
Execução de Javascripts, e outras características exclusivas
A tecnlogia N-Stalker é reconhecida como “top tool” de segurança por
várias publicações internacionais especializadas
O N-Stalker WAS é a plataforma (engine) de testes do redesegura
Slide 4/11
5. Uso de um software de webscanning
Tarefa: testes de avaliação de vulnerabilidades
E quando o volume de aplicações cresce?
Home Banking
E se houver mais de um ambiente web?
Home Broker
Desenvolvedor e-Commerce
Testes de avaliação
de Vulnerabilidades Conteúdo
Corporativo:
Segurança de TI Web Server CRM, ERP, RH...
Como garantir padrões e periodicidade? Apoio a Decisão
Como documentar os indicadores?
Como gerenciar um processo recorrente de testes de vulnerabilidades?
(definir, medir, analisar resultados e orientar melhorias)
Slide 5/11
6. Uso de um software de webscanning
Tarefa: testes de avaliação de vulnerabilidades
Num cenário mais complexo...
os riscos são maiores! Home Banking
Home Broker
e-Commerce
Testes de avaliação
de Vulnerabilidades Conteúdo
Corporativo:
Segurança de TI Web Server CRM, ERP, RH...
Como tratar o resultado dos testes? Apoio a Decisão
A equipe é qualificada o suficiente?
O sucesso da segurança fica dependente de competências individuais...
Slide 6/11
7. Uso de Sistema de Gestão de Segurança
Processo de Gerenciamento de Vulnerabilidades
Recomendações de Segurança
Vulnerabilty
Database
Home Banking
Home Broker
Desenvolvedores
e-Commerce
SSL
Conteúdo
V-Test
Scan Engine Corporativo:
Security Officer Web Server CRM, ERP, RH...
“SSG”
Metodologias: Apoio a Decisão
SAST/DAST
Processo de Gestão
Suporte Téc. Especializado
ao Desenvolvedor (CSSLP)
Slide 7/11
8. Recomendando o Software N-Stalker WAS
Tarefa de testes de avaliação de vulnerabilidades
Melhor ferramenta de webscanning
de vulnerabilidades: testes estáticos
Uso para QA de Segurança no
Desenvolvimento
Avaliações em ambiente de
produção: reativas ou ocasionais
Requer Competência Profissional
em Segurança de Software
Em ambientes mais complexos e
maior volume de testes fica difícil
gerenciar o processo e resultados...
Slide 8/11
9. Recomendando o Sistema redesegura
Processo de Gerenciamento da Segurança de Aplicações
Utiliza a tecnologia do N-Stalker WAS:
Metodologia de testes estáticos (SAST) powered by
e dinâmicos (DAST)
Plan...
Do !
Uso para QA do Desenvolvimento, e
Monitoramento de Risco em Produção Ciclo
PDCA
Inclui Suporte Técnico Especializado Act !
em Segurança de Software (LUSaaS) Check... .
Sistema de Gerenciamento centralizado:
integra equipes multidisciplinares em um
processo preventivo de melhoria contínua
da Segurança das Aplicações web...
Slide 9/11
10. O que definirá a sua escolha:
A estratégia de seu projeto de segurança de software
“A estratégia de Gestão da Segurança da Informação (GSI)
deve abordar todos os elementos do processo”
Quantidade de
aplicações web,
variedade, e risco. Planejar, dimensionar e integrar
SSG:
cada grupo de recursos!
People
Process O custo de um recurso pode ser
Strategy afetado pelo dimensionamento
dos demais...
SAST/DAST N-Stalker
Metodology Technology
O custo total de propriedade (TCO) do projeto de segurança
costuma ser menor com o uso do Sistema redesegura...
Slide 10/11
11. Departamento Comercial
Tel: +55 (11) 3044-1819
e-mail: contato@redesegura.com.br
visite: www.redesegura.com.br
Visite nosso site, e consulte-nos
sobre qual a melhor solução para a
segurança de suas aplicações web!
Autor: Eduardo Lanna