SlideShare uma empresa Scribd logo
por: Eduardo Lanna
+11 3044-1819 ou +11 8138-4400
eduardo.lanna@redesegura.com.br
Parceria estratégica com a N-Stalker
Gerenciamento de Vulnerabilidades
nas Aplicações Web
rev. 20/out/10
Quem são redesegura e N-Stalker ?
Especialista em Segurança de Aplicações Web
Empresa Brasileira fundada em 2000
Especializada em Segurança de Aplicações Web
Desenvolvedora do sistema de “webscanning” N-Stalker
Tecnologia própria com patente requerida no BR (INPI) e EUA (USPTO)
Reconhecimento Técnico
Mais de 12 publicações internacionais especializadasMais de 12 publicações internacionais especializadas
Maior banco de assinaturas de ataques web do mercado (+39.000)
Sistema “compliance” com Melhores Práticas
Inspeciona e certifica a segurança segundo padrões internacionais
PCI, OWASP, SANS/FBI, ISO-27002, ISO-15408, SOx, BACEN 3380
redesegura é um empreendimento inovador de serviços lançado
pela N-Stalker após 10 anos de experiência em segurança web
Clientes da Tecnologia
Utilizando N-Stalk e redesegura
Bank Of America ● British Petroleum ● British Telecom ● Deloitte & Touche
Ernest & Young ● George Washington University ● Hewlett Packard ● IBM ● KPMG ● Nasa
Northrop Grumman ● PricewaterhouseCoopers ● Riverside Publishing ● Royal Air Force ● Siemens
Sun Microsystems ● US Chemical Safety and Hazard Investigation Board
US Department of Energy ● US General Services Administration ● US Navy ● Verizon Wireless
UK Police Force
The World Bank
EUROPEAN CENTRAL BANK
Porque se preocupar?
Aplicações Web estão mais humanizadas
Normalização da tecnologia
Padrões abertos, Web 2.0
Exposição de APIs
Reutilização de componentes (SOAP)Reutilização de componentes (SOAP)
“Remote Scripting” (AJAX)
Desacoplamento/Apresentação
Cenário de negócios na Web
Mais aplicações e informações críticas estão na Web todo dia
A velocidade de evolução de lançamentos de negócios na Web
supera os esforços com a segurança.
Porque se preocupar ?
Quando sistemas Web sustentam o seu negócio...
A operação do negócio é dependente de sistemas web?
Sistemas de negócio estão expostos externamente para
parceiros e clientes via extranets ou serviços Internet...
Falta a incorporação de requisitos de segurança nasFalta a incorporação de requisitos de segurança nas
funcionalidades e no processo de desenvolvimento:
Falta de cultura de Segurança da Informação no desenvolvedor.
Capacidade técnica (skill) da equipe de desenvolvimento.
Limitação de recursos leva a priorização dos requisitos funcionais.
O dilema prazo X custo: “a irresistível vontade de sair fazendo...”
Porque se preocupar?
Problemas de Segurança na Internet desde 2007
Mais da metade dos problemas está relacionada às Aplicações Web
Das vulnerabilidades identificadas entre 2006 e 2008, entre 40% e 50%
ainda não haviam sido resolvidas pelos fabricantes até 2009! (IBM)
Item com Problemas Falhas típicas de Aplicações Web
As aplicações web já
representam 75%
(Gartner 2009)
Porque se preocupar?
A maior incidência de vulnerabilidades está aqui...
Maiores
ameaças
Maiores
iniciativas
Ambiente da Aplicação Web:
Mais de 20 categorias de vulnerabilidades
Porque se preocupar?
Hackers atacam preferencialmente aplicações web porque é lá
que as vulnerabilidades mais exploráveis estão presentes.
Crimes pela web oferecem menor risco e maior lucratividade...
Fazer negócio com segurança está tornando-se obrigatório
Diferentes indústrias criam regulações como medida prevençãoDiferentes indústrias criam regulações como medida prevenção
A maioria das regulações seguem melhores práticas “de fato”:
PCI – Payment Card Industry
Basel II (BACEN 3.380)
Mercado de Capitais – (SOX, Bovespa Nível II – Selo PQO)
Desde 2009, a manutenção de melhores práticas de segurança
para Aplicações Web é mandatório para o padrão PCI.
Por que se preocupar?
Os 12 Requerimentos do PCI em 6 categorias
As 6 Categorias # Os 12 Requerimentos do PCI-DSS
1 Instalar e manter uma configuração de firewall para proteger os dados do portador de cartão.
2
Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros
de segurança.
3 Proteger os dados armazenados do portador de cartão
4 Codificar a transmissão dos dados do portador de cartão em redes abertas e públicas
O uso do Sistema redesegura atende aos requerimentos 6, 11 e 12 do PCI-DSS:
Construir e Manter uma
Rede Segura
Proteger os Dados do
Portador de Cartão
5 Usar e atualizar regularmente o software antivírus
6 Desenvolver e manter sistemas e aplicativos seguros
7
Restringir o acesso aos dados do portador de cartão de acordo com a necessidade de
divulgação dos negócios
8 Atribuir um ID exclusivo para cada pessoa que tenha acesso a uma computador
9 Restringir o acesso físico aos dados do portador de cartão
10
Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do
portador do CC
11 Testar regularmente os sistemas e processos de segurança da informação
Manter uma Política de
Segurança das Informações
12 Manter um política que aborde a segurança das informações
Manter um Programa de
Gerenciamento de
Vulnerabilidades
Implementar Medidas de
Controle de Acesso
Rigorosas
Monitorar e Testar as Redes
Regularmente
Por que se preocupar ?
Mapeamento OWASP Top 10 (2010)
Fonte: http://www.owasp.org
A lista Top 10 é dinâmica: A6 e A8 são novas ameaças identificadas no
período anterior de pesquisa da Open Web Application Security Project.
Gestão da Segurança da Informação - GSI
Ações integradas para mitigar riscos
fato 1: as pessoas não possuem hábitos seguros...
fato 2: vulnerabilidades existem em todos os elementos de
um sistema de negócios (pessoas, processos, e tecnologia)
fato 3: aplicações web são vulneráveis por definição
O Framework de Segurança requer ações integradas em:
Pessoas e identidade: cultura orientada para a segurança,
monitoramento e gerenciamento de identidade, etc.
Rede e Infra-estrutura de TI: uso de IDS/DLP, Firewall, monitor em
Banco de Dados, servidores, end-points, etc.
Infra-estrutura física do ambiente de negócios
Aplicações e Processos de Negócio
Gerenciamento de
Vulnerabilidades
na Aplicação Web
Gestão da Segurança da Informação - GSI
Vulnerabilidades existem em todos os sistemas
Função do risco de ataque a um sistema:
(Agente malicioso + vulnerabilidade + vetor de ataque)
? ?
Identificar e Gerenciar Vulnerabilidades minimiza os riscos!
Este é o objetivo da Gestão da Segurança da Informação
Para mitigar riscos... esteja à frente das ameaças!!!
Desafios da GSI nas Aplicações Web
Testar Vulnerabilidades no Ciclo de Vida da Aplicação
QA de Segurança no Desenvolvimento (em homologação)
As aplicações devem incluir critérios de segurança desde o
desenvolvimento
Testar a cada atualização, manutenção, ou criação sobre o aplicativo,
logo depois dos testes funcionais
Etapa adicional da fábrica de testes precedendo a aceitação final
Certificação de Segurança da Aplicação Web na homologação
Monitoramento do Risco em Produção
Segurança de Rede não basta se as aplicações web tiverem
vulnerabilidades exploráveis
Monitoramento contínuo para avaliar a segurança da aplicação
Nível do risco é mantido baixo (atualização periódica de ataques)
Manutenção da Segurança na Gestão de Mudanças e de Incidentes
Uso do Sistema redesegura
Processo tradicional de testes de vulnerabilidades
Home Banking
Home Broker
e-Commerce
Conteúdo
Testes de
Vulnerabilidades
E quando o volume de aplicações cresce?
E se houver mais de um ambiente de infra?
Corporativo:
CRM, ERP, RH...
Conteúdo
Apoio a Decisão
Web ServerSegurança de TI
Vulnerabilidades
Como gerenciar um processo recorrente de testes de vulnerabilidades?
(definir, medir, padronizar, analisar resultados e melhorias)
Como garantir padrões e periodicidade?
Como documentar os indicadores?
Uso do Sistema redesegura
Processo tradicional de testes de vulnerabilidades
Home Banking
Home Broker
e-Commerce
Conteúdo
Testes de
Vulnerabilidades
Num cenário mais complexo...
os riscos são maiores!
Corporativo:
CRM, ERP, RH...
Conteúdo
Apoio a Decisão
Web ServerSegurança de TI
Vulnerabilidades
A equipe é qualificada o suficiente?
Como tratar o resultado dos testes?
E ainda há o risco das “ilhas de conhecimento...”
Gestão da Segurança da Informação - GSI
Definir, fazer, medir, e atuar na melhoria...
“Não se gerencia o que não se mede,
não se mede o que não se define,
não se define o que não se entende,
e não há sucesso no que não se gerencia”e não há sucesso no que não se gerencia”
(William Edwards Deming)
Vide: Planejamento Estratégico da Segurança da Informação
(Infosec Council – 2010)
Uso do Sistema redesegura
Gerenciamento de Vulnerabilidades em Aplicações Web
Home Banking
Home Broker
e-Commerce
Conteúdo
Desenvolvedores
Recomendações de Segurança
SSL
Vulnerabilty
Database
Corporativo:
CRM, ERP, RH...
Conteúdo
Apoio a Decisão
Web ServerSecurity Officer
V-Test
O Gerenciamento de Vulnerabilidades “As a Service” é um
acelerador para alcançar resultados rápidos e consistentes
Processo de Gestão
Scan Engine
Tecnologia
N-Stalker
Uso do Sistema redesegura
Grau de Maturidade em Gestão da Segurança de TI
Sistema de Gerenciamento da Segurança
• Processo continuado de avaliação;
• Automação de tarefas e padronização de testes;
• Indicadores de risco e análise de resultados históricos;
• Independência de competências individuais;
• Segurança em todo o Ciclo de Vida da Aplicação web;
Gestão de
Processo
de
Segurança
GraudeMaturidadenaGestão
daSegurançadaInformação
+
+
Suporte Técnico Especializado
• Equipe Certificada: CISSP, ISSAP, CSSLP, CISM, etc.
• Análise dos resultadso dos testes de avaliação;
• Consultas sobre recomendações de segurança;
• Segurança em todo o Ciclo de Vida da Aplicação web;
Serviços de
Consultoria
em
Segurança
Avaliação
reativa ou
incidental
GraudeMaturidadenaGestão
daSegurançadaInformação
-
Software N-Stalker Web Application Scanner
• Ferramenta de testes de avaliação de segurança
• Testes com 39.000 assinaturas de ataques web
+
Uso do Sistema redesegura
Gerenciamento de Vulnerabilidades na Aplicação Web
Definição das
URLs
Parametrização
da política de
testes
Acompanhamento
da Execução
Coleta e Análise
de Relatórios
Aplicações Web;
e-commerce,
Portais Web;
Home Bank, Home
Padrões de teste;
OWASP Top 10
OWASP Top 3
SANS/FBI
Relatórios Auditoria;
Gerencial
Técnico Geral
Aplicação
Gerenciamentode
Vulnerabilidades
Sinalização Eventos:
Inicio
Fim
Vulnerabilidade
Home Bank, Home
Broker, etc;
Navegação com
usuário (Log ID);
Macros orientam o
navegador robotiz.;
Em produção e em
homologação;
Limites da licença de
uso como serviço.
SANS/FBI
PCI-DSS
Customização;
Definições de;
Início
Periodicidade
Falsos positivos
Aplicação
Seqüência de teste
Evidências;
Refs tecnicas
Recomendações
Suporte Técnico ao
desenvolvedor;
Treinamento sobre
vulnerabilidades.
Gerenciamento
Vulnerabilidades
Vulnerabilidade
grave
Dashboard no Portal;
Integração:
SMS, e-mail
Service Desk
realizar as recomendações de segurança
Uso do Sistema redesegura
Fatores críticos para o SUCESSO do processo de melhoria
1) Configuração adequada do sistema de testes de avaliação
da segurança da aplicação web;
2) Capacidade do sistema de testes em identificar o máximo de
vulnerabilidades exploráveis em cada avaliação;
3) Capacidade do Admin do processo em avaliar os resultados
obtidos, e obter informações adicionais se necessário;
4) Capacidade da equipe de desenvolvimento em interpretar
corretamente as recomendações de segurança;
O redesegura suportará o processo do Cliente em todos estes
4 fatores críticos de sucesso, mas faltará ainda um fator...
Uso do Sistema redesegura
Fatores críticos para o SUCESSO do processo de melhoria
5) Capacidade de reação do desenvolvedor ao executar as
melhorias necessárias para mitigar o risco:
No menor espaço de tempo possível;
De maneira definitiva, sem introduzir novas falhas;
Aprendendo a não reincidir nas falhas de segurança;Aprendendo a não reincidir nas falhas de segurança;
A capacitação da equipe de desenvolvimento é o principal fator de
sucesso para o ciclo de melhoria da segurança da aplicação web
O redesegura cria e desenvolve estas competências ao transferir
conhecimentos para a equipe, garantindo o sucesso do processo.
Uso do Sistema redesegura
Gerenciamento de Vulnerabilidades na Aplicação Web
Definição das
URLs
Parametrização
da política de
testes
Acompanhamento
da Execução
Coleta e Análise
de Relatórios
Aplicações Web;
e-commerce,
Portais Web;
Home Bank, Home
Padrões de teste;
OWASP Top 10
OWASP Top 3
SANS/FBI
Relatórios Auditoria;
Gerencial
Técnico Geral
Aplicação
Sinalização Eventos:
Inicio
Fim
Vulnerabilidade
Do
Plan
Gerenciamentode
Vulnerabilidades
Home Bank, Home
Broker, etc;
Navegação com
usuário (Log ID);
Macros orientam o
navegador robotiz.;
Em produção e em
homologação;
Limites da licença de
uso como serviço.
SANS/FBI
PCI-DSS
Customização;
Definições de;
Início
Periodicidade
Falsos positivos
Aplicação
Seqüência de teste
Evidências;
Refs tecnicas
Recomendações
Suporte Técnico ao
desenvolvedor;
Treinamento sobre
vulnerabilidades.
Vulnerabilidade
grave
Dashboard no Portal;
Integração:
SMS, e-mail
Service Desk
realizar as recomendações de segurança
Ciclo
PDCA
Act
Check
Gerenciamento
Vulnerabilidades
Uso do Sistema redesegura
Benefícios do Processo com uso do nosso Sistema
O uso do redesegura introduz critérios de segurança no
ciclo de vida das aplicações web desde o desenvolvimento;
O monitoramento contínuo das ameaças via web permite
antecipar-se ao risco de ataques que afetariam o negócio;
Gerenciamento de Vulnerabilidades cria um avanço no grau
de Gestão da Segurança de TI com os recursos existentes;
Promove a transferência de conhecimento sobre segurança
de aplicações web para a equipe de desenvolvedores;
Elimina ilhas de conhecimento: o processo de segurança e
de melhorias não depende de competências individuais.
Planejando a implantação do Processo
Modelo de Referência – Monitoramento em Produção
MSS
MSS
80
100
120
Etapas do Projeto de Gerenciamento de Vulnerabilidades
Appliance (H)
Evolução natural do processoServidores
redesegura
V-Test V-Test V-Test
Support
Support Support
MSS
0
20
40
60
Ativação Etapa 1 Etapa 2 ...Maturidade
WebAppSetup
AçõesCorretivas
AçõesCorretivas
melhorias
O Sistema redesegura
Diferenciais de Serviços e da Equipe de Suporte
O redesegura é “compliance” com recomendações de melhores
práticas: ISO-15408, ISO-27001, ISO-27002, BACEN, SOx, e PCI-DSS.
Suporte Técnico ao Desenvolvedor, e treinamento de usuários nas
vulnerabilidades mais incidentes.
Equipe Técnica qualificada e certificada em Segurança da Informação:
ISC2 CISSP – Certified Information System Security Professional;
ISC2 ISSAP – Information System Security Architect Professional;
ISC2 CSSLP - Certified Secure Software Lifecycle Professional;
CISM – Certified Information Security Manager;
CompTIA Security+: Competency in system security, network infrastructure,
access control and organizational security;
GAWN SANS - GIAC Assessing Wireless Networks
Entregáveis redesegura
Portal Web com Dashboard
Acesso ao sistema de Métricas e Avaliação
Dashboard com indicativos e métricas do processo de segurança
Acompanhamento em tempo real do nível de maturidade
Repositório de Relatórios e Centro de Suporte Técnico on-line
Entregáveis redesegura
Customização e Integração com Sistemas de TI
Possibilidades de Customização do Sistema:
Formato de apresentação do Dashboard, e/ou de gráficos;
Personalização de modelos de relatórios de testes;
Criação de novas funcionalidades e/ou recursos de teste;
Integração com outros Sistemas de Gestão de TI, como:Integração com outros Sistemas de Gestão de TI, como:
Sistemas de gestão de incidentes, para abrir “tickets” dirigidos à
equipe de desenvolvimento;
Sistemas de gestão de SLA, para medir indicadores de desempenho
acordados com a fábrica de software terceirizada;
Sistemas de ALM (Application Life-cycle Management), para abertura
de “tickets” para correção de vulnerabilidades e guarda de evidências
Consultoria em Segurança da Aplicação web
Serviços Complementares redesegura
Managed Security Services (MSS): Gestão e Operação de
todo o processo com uso do Sistema redesegura;
Teste de Vulnerabilidade e Análise “on demand” da
Segurança em Aplicações Web (Web Security Check-up);
Consultoria em Segurança da Arquitetura da Aplicação;
Teste e Análise: Web Security Check-up + Consulting Report
Avaliação do ambiente de infra-estrutura dos Servidores Web
Recomendações de ação de melhoria e controles de conformidade
“Pen Test” sobre ambiente da aplicação e/ou infra-estrutura
Interno/Ext., geral ou orientado, engenharia social, war dialling, etc.

Mais conteúdo relacionado

Mais procurados

SEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdf
SEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdfSEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdf
SEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdf
annykaroline2Ainform
 
Cibersegurança ou uma questão de sobrevivência?
Cibersegurança  ou uma questão de sobrevivência?Cibersegurança  ou uma questão de sobrevivência?
Cibersegurança ou uma questão de sobrevivência?
Filipe T. Moreira
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Emerson Rocha
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
Mariana Gonçalves Spanghero
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
Rodrigo Bueno Santa Maria, BS, MBA
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
Felipe Morais
 
Gerência de redes e computadores
Gerência de redes e computadoresGerência de redes e computadores
Gerência de redes e computadores
Eduardo Junior
 
Segurança Cibernética
Segurança CibernéticaSegurança Cibernética
Segurança Cibernética
Bruno Miranda
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
Luiz Arthur
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Fábio Ferreira
 
Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de Negócios
GLM Consultoria
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Marco Mendes
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
Bruno Felipe
 
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Gustavo Zimmermann
 
Aula 7 - Planilhas
Aula 7 - PlanilhasAula 7 - Planilhas
Aula 7 - Planilhas
LucasMansueto
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informação
Cleber Fonseca
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
Fernando Palma
 

Mais procurados (20)

SEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdf
SEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdfSEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdf
SEGURANÇA CIBERNÉTICA X CIBERSEGURANÇA.pdf
 
Cibersegurança ou uma questão de sobrevivência?
Cibersegurança  ou uma questão de sobrevivência?Cibersegurança  ou uma questão de sobrevivência?
Cibersegurança ou uma questão de sobrevivência?
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
Gerência de redes e computadores
Gerência de redes e computadoresGerência de redes e computadores
Gerência de redes e computadores
 
Segurança Cibernética
Segurança CibernéticaSegurança Cibernética
Segurança Cibernética
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de Negócios
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
Banco de Dados II: Aspectos de Segurança em Banco de Dados (aula 13)
 
Aula 7 - Planilhas
Aula 7 - PlanilhasAula 7 - Planilhas
Aula 7 - Planilhas
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informação
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 

Semelhante a Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web

Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
Leandro Bennaton
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!
Symantec Brasil
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
Marcio Cunha
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Leandro Bennaton
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
KeySupport Consultoria e Informática Ltda
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
Eduardo Lanna
 
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Symantec Brasil
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar  - Wednesday, September 16, 2015Be Aware Symantec Webinar  - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Symantec Brasil
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataque
Symantec Brasil
 
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Symantec Brasil
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
Eduardo Lanna
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
KeySupport Consultoria e Informática Ltda
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Symantec Brasil
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
Magno Logan
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
Symantec Brasil
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: Network
Symantec Brasil
 
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança CibernéticaAspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
caugustovitor1
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Symantec Brasil
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil -  Abr-2014Apresentação Strong Security Brasil -  Abr-2014
Apresentação Strong Security Brasil - Abr-2014
Strong Security Brasil
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
Symantec Brasil
 

Semelhante a Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web (20)

Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar  - Wednesday, September 16, 2015Be Aware Symantec Webinar  - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataque
 
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: Network
 
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança CibernéticaAspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil -  Abr-2014Apresentação Strong Security Brasil -  Abr-2014
Apresentação Strong Security Brasil - Abr-2014
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
 

Último

Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
joaovmp3
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
Faga1939
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
Momento da Informática
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
WELITONNOGUEIRA3
 
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdfDESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
Momento da Informática
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
Momento da Informática
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
Danilo Pinotti
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX   .2.pptxHistória da Rádio- 1936-1970 século XIX   .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
TomasSousa7
 

Último (8)

Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
 
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdfDESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX   .2.pptxHistória da Rádio- 1936-1970 século XIX   .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
 

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web

  • 1. por: Eduardo Lanna +11 3044-1819 ou +11 8138-4400 eduardo.lanna@redesegura.com.br Parceria estratégica com a N-Stalker Gerenciamento de Vulnerabilidades nas Aplicações Web rev. 20/out/10
  • 2. Quem são redesegura e N-Stalker ? Especialista em Segurança de Aplicações Web Empresa Brasileira fundada em 2000 Especializada em Segurança de Aplicações Web Desenvolvedora do sistema de “webscanning” N-Stalker Tecnologia própria com patente requerida no BR (INPI) e EUA (USPTO) Reconhecimento Técnico Mais de 12 publicações internacionais especializadasMais de 12 publicações internacionais especializadas Maior banco de assinaturas de ataques web do mercado (+39.000) Sistema “compliance” com Melhores Práticas Inspeciona e certifica a segurança segundo padrões internacionais PCI, OWASP, SANS/FBI, ISO-27002, ISO-15408, SOx, BACEN 3380 redesegura é um empreendimento inovador de serviços lançado pela N-Stalker após 10 anos de experiência em segurança web
  • 3. Clientes da Tecnologia Utilizando N-Stalk e redesegura Bank Of America ● British Petroleum ● British Telecom ● Deloitte & Touche Ernest & Young ● George Washington University ● Hewlett Packard ● IBM ● KPMG ● Nasa Northrop Grumman ● PricewaterhouseCoopers ● Riverside Publishing ● Royal Air Force ● Siemens Sun Microsystems ● US Chemical Safety and Hazard Investigation Board US Department of Energy ● US General Services Administration ● US Navy ● Verizon Wireless UK Police Force The World Bank EUROPEAN CENTRAL BANK
  • 4. Porque se preocupar? Aplicações Web estão mais humanizadas Normalização da tecnologia Padrões abertos, Web 2.0 Exposição de APIs Reutilização de componentes (SOAP)Reutilização de componentes (SOAP) “Remote Scripting” (AJAX) Desacoplamento/Apresentação Cenário de negócios na Web Mais aplicações e informações críticas estão na Web todo dia A velocidade de evolução de lançamentos de negócios na Web supera os esforços com a segurança.
  • 5. Porque se preocupar ? Quando sistemas Web sustentam o seu negócio... A operação do negócio é dependente de sistemas web? Sistemas de negócio estão expostos externamente para parceiros e clientes via extranets ou serviços Internet... Falta a incorporação de requisitos de segurança nasFalta a incorporação de requisitos de segurança nas funcionalidades e no processo de desenvolvimento: Falta de cultura de Segurança da Informação no desenvolvedor. Capacidade técnica (skill) da equipe de desenvolvimento. Limitação de recursos leva a priorização dos requisitos funcionais. O dilema prazo X custo: “a irresistível vontade de sair fazendo...”
  • 6. Porque se preocupar? Problemas de Segurança na Internet desde 2007 Mais da metade dos problemas está relacionada às Aplicações Web Das vulnerabilidades identificadas entre 2006 e 2008, entre 40% e 50% ainda não haviam sido resolvidas pelos fabricantes até 2009! (IBM) Item com Problemas Falhas típicas de Aplicações Web As aplicações web já representam 75% (Gartner 2009)
  • 7. Porque se preocupar? A maior incidência de vulnerabilidades está aqui... Maiores ameaças Maiores iniciativas Ambiente da Aplicação Web: Mais de 20 categorias de vulnerabilidades
  • 8. Porque se preocupar? Hackers atacam preferencialmente aplicações web porque é lá que as vulnerabilidades mais exploráveis estão presentes. Crimes pela web oferecem menor risco e maior lucratividade... Fazer negócio com segurança está tornando-se obrigatório Diferentes indústrias criam regulações como medida prevençãoDiferentes indústrias criam regulações como medida prevenção A maioria das regulações seguem melhores práticas “de fato”: PCI – Payment Card Industry Basel II (BACEN 3.380) Mercado de Capitais – (SOX, Bovespa Nível II – Selo PQO) Desde 2009, a manutenção de melhores práticas de segurança para Aplicações Web é mandatório para o padrão PCI.
  • 9. Por que se preocupar? Os 12 Requerimentos do PCI em 6 categorias As 6 Categorias # Os 12 Requerimentos do PCI-DSS 1 Instalar e manter uma configuração de firewall para proteger os dados do portador de cartão. 2 Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança. 3 Proteger os dados armazenados do portador de cartão 4 Codificar a transmissão dos dados do portador de cartão em redes abertas e públicas O uso do Sistema redesegura atende aos requerimentos 6, 11 e 12 do PCI-DSS: Construir e Manter uma Rede Segura Proteger os Dados do Portador de Cartão 5 Usar e atualizar regularmente o software antivírus 6 Desenvolver e manter sistemas e aplicativos seguros 7 Restringir o acesso aos dados do portador de cartão de acordo com a necessidade de divulgação dos negócios 8 Atribuir um ID exclusivo para cada pessoa que tenha acesso a uma computador 9 Restringir o acesso físico aos dados do portador de cartão 10 Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do portador do CC 11 Testar regularmente os sistemas e processos de segurança da informação Manter uma Política de Segurança das Informações 12 Manter um política que aborde a segurança das informações Manter um Programa de Gerenciamento de Vulnerabilidades Implementar Medidas de Controle de Acesso Rigorosas Monitorar e Testar as Redes Regularmente
  • 10. Por que se preocupar ? Mapeamento OWASP Top 10 (2010) Fonte: http://www.owasp.org A lista Top 10 é dinâmica: A6 e A8 são novas ameaças identificadas no período anterior de pesquisa da Open Web Application Security Project.
  • 11. Gestão da Segurança da Informação - GSI Ações integradas para mitigar riscos fato 1: as pessoas não possuem hábitos seguros... fato 2: vulnerabilidades existem em todos os elementos de um sistema de negócios (pessoas, processos, e tecnologia) fato 3: aplicações web são vulneráveis por definição O Framework de Segurança requer ações integradas em: Pessoas e identidade: cultura orientada para a segurança, monitoramento e gerenciamento de identidade, etc. Rede e Infra-estrutura de TI: uso de IDS/DLP, Firewall, monitor em Banco de Dados, servidores, end-points, etc. Infra-estrutura física do ambiente de negócios Aplicações e Processos de Negócio Gerenciamento de Vulnerabilidades na Aplicação Web
  • 12. Gestão da Segurança da Informação - GSI Vulnerabilidades existem em todos os sistemas Função do risco de ataque a um sistema: (Agente malicioso + vulnerabilidade + vetor de ataque) ? ? Identificar e Gerenciar Vulnerabilidades minimiza os riscos! Este é o objetivo da Gestão da Segurança da Informação Para mitigar riscos... esteja à frente das ameaças!!!
  • 13. Desafios da GSI nas Aplicações Web Testar Vulnerabilidades no Ciclo de Vida da Aplicação QA de Segurança no Desenvolvimento (em homologação) As aplicações devem incluir critérios de segurança desde o desenvolvimento Testar a cada atualização, manutenção, ou criação sobre o aplicativo, logo depois dos testes funcionais Etapa adicional da fábrica de testes precedendo a aceitação final Certificação de Segurança da Aplicação Web na homologação Monitoramento do Risco em Produção Segurança de Rede não basta se as aplicações web tiverem vulnerabilidades exploráveis Monitoramento contínuo para avaliar a segurança da aplicação Nível do risco é mantido baixo (atualização periódica de ataques) Manutenção da Segurança na Gestão de Mudanças e de Incidentes
  • 14. Uso do Sistema redesegura Processo tradicional de testes de vulnerabilidades Home Banking Home Broker e-Commerce Conteúdo Testes de Vulnerabilidades E quando o volume de aplicações cresce? E se houver mais de um ambiente de infra? Corporativo: CRM, ERP, RH... Conteúdo Apoio a Decisão Web ServerSegurança de TI Vulnerabilidades Como gerenciar um processo recorrente de testes de vulnerabilidades? (definir, medir, padronizar, analisar resultados e melhorias) Como garantir padrões e periodicidade? Como documentar os indicadores?
  • 15. Uso do Sistema redesegura Processo tradicional de testes de vulnerabilidades Home Banking Home Broker e-Commerce Conteúdo Testes de Vulnerabilidades Num cenário mais complexo... os riscos são maiores! Corporativo: CRM, ERP, RH... Conteúdo Apoio a Decisão Web ServerSegurança de TI Vulnerabilidades A equipe é qualificada o suficiente? Como tratar o resultado dos testes? E ainda há o risco das “ilhas de conhecimento...”
  • 16. Gestão da Segurança da Informação - GSI Definir, fazer, medir, e atuar na melhoria... “Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende, e não há sucesso no que não se gerencia”e não há sucesso no que não se gerencia” (William Edwards Deming) Vide: Planejamento Estratégico da Segurança da Informação (Infosec Council – 2010)
  • 17. Uso do Sistema redesegura Gerenciamento de Vulnerabilidades em Aplicações Web Home Banking Home Broker e-Commerce Conteúdo Desenvolvedores Recomendações de Segurança SSL Vulnerabilty Database Corporativo: CRM, ERP, RH... Conteúdo Apoio a Decisão Web ServerSecurity Officer V-Test O Gerenciamento de Vulnerabilidades “As a Service” é um acelerador para alcançar resultados rápidos e consistentes Processo de Gestão Scan Engine Tecnologia N-Stalker
  • 18. Uso do Sistema redesegura Grau de Maturidade em Gestão da Segurança de TI Sistema de Gerenciamento da Segurança • Processo continuado de avaliação; • Automação de tarefas e padronização de testes; • Indicadores de risco e análise de resultados históricos; • Independência de competências individuais; • Segurança em todo o Ciclo de Vida da Aplicação web; Gestão de Processo de Segurança GraudeMaturidadenaGestão daSegurançadaInformação + + Suporte Técnico Especializado • Equipe Certificada: CISSP, ISSAP, CSSLP, CISM, etc. • Análise dos resultadso dos testes de avaliação; • Consultas sobre recomendações de segurança; • Segurança em todo o Ciclo de Vida da Aplicação web; Serviços de Consultoria em Segurança Avaliação reativa ou incidental GraudeMaturidadenaGestão daSegurançadaInformação - Software N-Stalker Web Application Scanner • Ferramenta de testes de avaliação de segurança • Testes com 39.000 assinaturas de ataques web +
  • 19. Uso do Sistema redesegura Gerenciamento de Vulnerabilidades na Aplicação Web Definição das URLs Parametrização da política de testes Acompanhamento da Execução Coleta e Análise de Relatórios Aplicações Web; e-commerce, Portais Web; Home Bank, Home Padrões de teste; OWASP Top 10 OWASP Top 3 SANS/FBI Relatórios Auditoria; Gerencial Técnico Geral Aplicação Gerenciamentode Vulnerabilidades Sinalização Eventos: Inicio Fim Vulnerabilidade Home Bank, Home Broker, etc; Navegação com usuário (Log ID); Macros orientam o navegador robotiz.; Em produção e em homologação; Limites da licença de uso como serviço. SANS/FBI PCI-DSS Customização; Definições de; Início Periodicidade Falsos positivos Aplicação Seqüência de teste Evidências; Refs tecnicas Recomendações Suporte Técnico ao desenvolvedor; Treinamento sobre vulnerabilidades. Gerenciamento Vulnerabilidades Vulnerabilidade grave Dashboard no Portal; Integração: SMS, e-mail Service Desk realizar as recomendações de segurança
  • 20. Uso do Sistema redesegura Fatores críticos para o SUCESSO do processo de melhoria 1) Configuração adequada do sistema de testes de avaliação da segurança da aplicação web; 2) Capacidade do sistema de testes em identificar o máximo de vulnerabilidades exploráveis em cada avaliação; 3) Capacidade do Admin do processo em avaliar os resultados obtidos, e obter informações adicionais se necessário; 4) Capacidade da equipe de desenvolvimento em interpretar corretamente as recomendações de segurança; O redesegura suportará o processo do Cliente em todos estes 4 fatores críticos de sucesso, mas faltará ainda um fator...
  • 21. Uso do Sistema redesegura Fatores críticos para o SUCESSO do processo de melhoria 5) Capacidade de reação do desenvolvedor ao executar as melhorias necessárias para mitigar o risco: No menor espaço de tempo possível; De maneira definitiva, sem introduzir novas falhas; Aprendendo a não reincidir nas falhas de segurança;Aprendendo a não reincidir nas falhas de segurança; A capacitação da equipe de desenvolvimento é o principal fator de sucesso para o ciclo de melhoria da segurança da aplicação web O redesegura cria e desenvolve estas competências ao transferir conhecimentos para a equipe, garantindo o sucesso do processo.
  • 22. Uso do Sistema redesegura Gerenciamento de Vulnerabilidades na Aplicação Web Definição das URLs Parametrização da política de testes Acompanhamento da Execução Coleta e Análise de Relatórios Aplicações Web; e-commerce, Portais Web; Home Bank, Home Padrões de teste; OWASP Top 10 OWASP Top 3 SANS/FBI Relatórios Auditoria; Gerencial Técnico Geral Aplicação Sinalização Eventos: Inicio Fim Vulnerabilidade Do Plan Gerenciamentode Vulnerabilidades Home Bank, Home Broker, etc; Navegação com usuário (Log ID); Macros orientam o navegador robotiz.; Em produção e em homologação; Limites da licença de uso como serviço. SANS/FBI PCI-DSS Customização; Definições de; Início Periodicidade Falsos positivos Aplicação Seqüência de teste Evidências; Refs tecnicas Recomendações Suporte Técnico ao desenvolvedor; Treinamento sobre vulnerabilidades. Vulnerabilidade grave Dashboard no Portal; Integração: SMS, e-mail Service Desk realizar as recomendações de segurança Ciclo PDCA Act Check Gerenciamento Vulnerabilidades
  • 23. Uso do Sistema redesegura Benefícios do Processo com uso do nosso Sistema O uso do redesegura introduz critérios de segurança no ciclo de vida das aplicações web desde o desenvolvimento; O monitoramento contínuo das ameaças via web permite antecipar-se ao risco de ataques que afetariam o negócio; Gerenciamento de Vulnerabilidades cria um avanço no grau de Gestão da Segurança de TI com os recursos existentes; Promove a transferência de conhecimento sobre segurança de aplicações web para a equipe de desenvolvedores; Elimina ilhas de conhecimento: o processo de segurança e de melhorias não depende de competências individuais.
  • 24. Planejando a implantação do Processo Modelo de Referência – Monitoramento em Produção MSS MSS 80 100 120 Etapas do Projeto de Gerenciamento de Vulnerabilidades Appliance (H) Evolução natural do processoServidores redesegura V-Test V-Test V-Test Support Support Support MSS 0 20 40 60 Ativação Etapa 1 Etapa 2 ...Maturidade WebAppSetup AçõesCorretivas AçõesCorretivas melhorias
  • 25. O Sistema redesegura Diferenciais de Serviços e da Equipe de Suporte O redesegura é “compliance” com recomendações de melhores práticas: ISO-15408, ISO-27001, ISO-27002, BACEN, SOx, e PCI-DSS. Suporte Técnico ao Desenvolvedor, e treinamento de usuários nas vulnerabilidades mais incidentes. Equipe Técnica qualificada e certificada em Segurança da Informação: ISC2 CISSP – Certified Information System Security Professional; ISC2 ISSAP – Information System Security Architect Professional; ISC2 CSSLP - Certified Secure Software Lifecycle Professional; CISM – Certified Information Security Manager; CompTIA Security+: Competency in system security, network infrastructure, access control and organizational security; GAWN SANS - GIAC Assessing Wireless Networks
  • 26. Entregáveis redesegura Portal Web com Dashboard Acesso ao sistema de Métricas e Avaliação Dashboard com indicativos e métricas do processo de segurança Acompanhamento em tempo real do nível de maturidade Repositório de Relatórios e Centro de Suporte Técnico on-line
  • 27. Entregáveis redesegura Customização e Integração com Sistemas de TI Possibilidades de Customização do Sistema: Formato de apresentação do Dashboard, e/ou de gráficos; Personalização de modelos de relatórios de testes; Criação de novas funcionalidades e/ou recursos de teste; Integração com outros Sistemas de Gestão de TI, como:Integração com outros Sistemas de Gestão de TI, como: Sistemas de gestão de incidentes, para abrir “tickets” dirigidos à equipe de desenvolvimento; Sistemas de gestão de SLA, para medir indicadores de desempenho acordados com a fábrica de software terceirizada; Sistemas de ALM (Application Life-cycle Management), para abertura de “tickets” para correção de vulnerabilidades e guarda de evidências
  • 28. Consultoria em Segurança da Aplicação web Serviços Complementares redesegura Managed Security Services (MSS): Gestão e Operação de todo o processo com uso do Sistema redesegura; Teste de Vulnerabilidade e Análise “on demand” da Segurança em Aplicações Web (Web Security Check-up); Consultoria em Segurança da Arquitetura da Aplicação; Teste e Análise: Web Security Check-up + Consulting Report Avaliação do ambiente de infra-estrutura dos Servidores Web Recomendações de ação de melhoria e controles de conformidade “Pen Test” sobre ambiente da aplicação e/ou infra-estrutura Interno/Ext., geral ou orientado, engenharia social, war dialling, etc.