O documento discute a importância da gestão de vulnerabilidades em aplicações web e apresenta o sistema N-Stalker da empresa RedeSegura para testes automatizados de segurança. O sistema permite definir, executar e analisar testes de vulnerabilidade de forma padronizada e contínua para múltiplas aplicações.
Gerenciamento de Vulnerabilidades em Aplicações Web
1. por: Eduardo Lanna
+11 3044-1819 ou +11 8138-4400
eduardo.lanna@redesegura.com.br
Parceria estratégica com a N-Stalker
Gerenciamento de Vulnerabilidades
nas Aplicações Web
rev. 20/out/10
2. Quem são redesegura e N-Stalker ?
Especialista em Segurança de Aplicações Web
Empresa Brasileira fundada em 2000
Especializada em Segurança de Aplicações Web
Desenvolvedora do sistema de “webscanning” N-Stalker
Tecnologia própria com patente requerida no BR (INPI) e EUA (USPTO)
Reconhecimento Técnico
Mais de 12 publicações internacionais especializadasMais de 12 publicações internacionais especializadas
Maior banco de assinaturas de ataques web do mercado (+39.000)
Sistema “compliance” com Melhores Práticas
Inspeciona e certifica a segurança segundo padrões internacionais
PCI, OWASP, SANS/FBI, ISO-27002, ISO-15408, SOx, BACEN 3380
redesegura é um empreendimento inovador de serviços lançado
pela N-Stalker após 10 anos de experiência em segurança web
3. Clientes da Tecnologia
Utilizando N-Stalk e redesegura
Bank Of America ● British Petroleum ● British Telecom ● Deloitte & Touche
Ernest & Young ● George Washington University ● Hewlett Packard ● IBM ● KPMG ● Nasa
Northrop Grumman ● PricewaterhouseCoopers ● Riverside Publishing ● Royal Air Force ● Siemens
Sun Microsystems ● US Chemical Safety and Hazard Investigation Board
US Department of Energy ● US General Services Administration ● US Navy ● Verizon Wireless
UK Police Force
The World Bank
EUROPEAN CENTRAL BANK
4. Porque se preocupar?
Aplicações Web estão mais humanizadas
Normalização da tecnologia
Padrões abertos, Web 2.0
Exposição de APIs
Reutilização de componentes (SOAP)Reutilização de componentes (SOAP)
“Remote Scripting” (AJAX)
Desacoplamento/Apresentação
Cenário de negócios na Web
Mais aplicações e informações críticas estão na Web todo dia
A velocidade de evolução de lançamentos de negócios na Web
supera os esforços com a segurança.
5. Porque se preocupar ?
Quando sistemas Web sustentam o seu negócio...
A operação do negócio é dependente de sistemas web?
Sistemas de negócio estão expostos externamente para
parceiros e clientes via extranets ou serviços Internet...
Falta a incorporação de requisitos de segurança nasFalta a incorporação de requisitos de segurança nas
funcionalidades e no processo de desenvolvimento:
Falta de cultura de Segurança da Informação no desenvolvedor.
Capacidade técnica (skill) da equipe de desenvolvimento.
Limitação de recursos leva a priorização dos requisitos funcionais.
O dilema prazo X custo: “a irresistível vontade de sair fazendo...”
6. Porque se preocupar?
Problemas de Segurança na Internet desde 2007
Mais da metade dos problemas está relacionada às Aplicações Web
Das vulnerabilidades identificadas entre 2006 e 2008, entre 40% e 50%
ainda não haviam sido resolvidas pelos fabricantes até 2009! (IBM)
Item com Problemas Falhas típicas de Aplicações Web
As aplicações web já
representam 75%
(Gartner 2009)
7. Porque se preocupar?
A maior incidência de vulnerabilidades está aqui...
Maiores
ameaças
Maiores
iniciativas
Ambiente da Aplicação Web:
Mais de 20 categorias de vulnerabilidades
8. Porque se preocupar?
Hackers atacam preferencialmente aplicações web porque é lá
que as vulnerabilidades mais exploráveis estão presentes.
Crimes pela web oferecem menor risco e maior lucratividade...
Fazer negócio com segurança está tornando-se obrigatório
Diferentes indústrias criam regulações como medida prevençãoDiferentes indústrias criam regulações como medida prevenção
A maioria das regulações seguem melhores práticas “de fato”:
PCI – Payment Card Industry
Basel II (BACEN 3.380)
Mercado de Capitais – (SOX, Bovespa Nível II – Selo PQO)
Desde 2009, a manutenção de melhores práticas de segurança
para Aplicações Web é mandatório para o padrão PCI.
9. Por que se preocupar?
Os 12 Requerimentos do PCI em 6 categorias
As 6 Categorias # Os 12 Requerimentos do PCI-DSS
1 Instalar e manter uma configuração de firewall para proteger os dados do portador de cartão.
2
Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros
de segurança.
3 Proteger os dados armazenados do portador de cartão
4 Codificar a transmissão dos dados do portador de cartão em redes abertas e públicas
O uso do Sistema redesegura atende aos requerimentos 6, 11 e 12 do PCI-DSS:
Construir e Manter uma
Rede Segura
Proteger os Dados do
Portador de Cartão
5 Usar e atualizar regularmente o software antivírus
6 Desenvolver e manter sistemas e aplicativos seguros
7
Restringir o acesso aos dados do portador de cartão de acordo com a necessidade de
divulgação dos negócios
8 Atribuir um ID exclusivo para cada pessoa que tenha acesso a uma computador
9 Restringir o acesso físico aos dados do portador de cartão
10
Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do
portador do CC
11 Testar regularmente os sistemas e processos de segurança da informação
Manter uma Política de
Segurança das Informações
12 Manter um política que aborde a segurança das informações
Manter um Programa de
Gerenciamento de
Vulnerabilidades
Implementar Medidas de
Controle de Acesso
Rigorosas
Monitorar e Testar as Redes
Regularmente
10. Por que se preocupar ?
Mapeamento OWASP Top 10 (2010)
Fonte: http://www.owasp.org
A lista Top 10 é dinâmica: A6 e A8 são novas ameaças identificadas no
período anterior de pesquisa da Open Web Application Security Project.
11. Gestão da Segurança da Informação - GSI
Ações integradas para mitigar riscos
fato 1: as pessoas não possuem hábitos seguros...
fato 2: vulnerabilidades existem em todos os elementos de
um sistema de negócios (pessoas, processos, e tecnologia)
fato 3: aplicações web são vulneráveis por definição
O Framework de Segurança requer ações integradas em:
Pessoas e identidade: cultura orientada para a segurança,
monitoramento e gerenciamento de identidade, etc.
Rede e Infra-estrutura de TI: uso de IDS/DLP, Firewall, monitor em
Banco de Dados, servidores, end-points, etc.
Infra-estrutura física do ambiente de negócios
Aplicações e Processos de Negócio
Gerenciamento de
Vulnerabilidades
na Aplicação Web
12. Gestão da Segurança da Informação - GSI
Vulnerabilidades existem em todos os sistemas
Função do risco de ataque a um sistema:
(Agente malicioso + vulnerabilidade + vetor de ataque)
? ?
Identificar e Gerenciar Vulnerabilidades minimiza os riscos!
Este é o objetivo da Gestão da Segurança da Informação
Para mitigar riscos... esteja à frente das ameaças!!!
13. Desafios da GSI nas Aplicações Web
Testar Vulnerabilidades no Ciclo de Vida da Aplicação
QA de Segurança no Desenvolvimento (em homologação)
As aplicações devem incluir critérios de segurança desde o
desenvolvimento
Testar a cada atualização, manutenção, ou criação sobre o aplicativo,
logo depois dos testes funcionais
Etapa adicional da fábrica de testes precedendo a aceitação final
Certificação de Segurança da Aplicação Web na homologação
Monitoramento do Risco em Produção
Segurança de Rede não basta se as aplicações web tiverem
vulnerabilidades exploráveis
Monitoramento contínuo para avaliar a segurança da aplicação
Nível do risco é mantido baixo (atualização periódica de ataques)
Manutenção da Segurança na Gestão de Mudanças e de Incidentes
14. Uso do Sistema redesegura
Processo tradicional de testes de vulnerabilidades
Home Banking
Home Broker
e-Commerce
Conteúdo
Testes de
Vulnerabilidades
E quando o volume de aplicações cresce?
E se houver mais de um ambiente de infra?
Corporativo:
CRM, ERP, RH...
Conteúdo
Apoio a Decisão
Web ServerSegurança de TI
Vulnerabilidades
Como gerenciar um processo recorrente de testes de vulnerabilidades?
(definir, medir, padronizar, analisar resultados e melhorias)
Como garantir padrões e periodicidade?
Como documentar os indicadores?
15. Uso do Sistema redesegura
Processo tradicional de testes de vulnerabilidades
Home Banking
Home Broker
e-Commerce
Conteúdo
Testes de
Vulnerabilidades
Num cenário mais complexo...
os riscos são maiores!
Corporativo:
CRM, ERP, RH...
Conteúdo
Apoio a Decisão
Web ServerSegurança de TI
Vulnerabilidades
A equipe é qualificada o suficiente?
Como tratar o resultado dos testes?
E ainda há o risco das “ilhas de conhecimento...”
16. Gestão da Segurança da Informação - GSI
Definir, fazer, medir, e atuar na melhoria...
“Não se gerencia o que não se mede,
não se mede o que não se define,
não se define o que não se entende,
e não há sucesso no que não se gerencia”e não há sucesso no que não se gerencia”
(William Edwards Deming)
Vide: Planejamento Estratégico da Segurança da Informação
(Infosec Council – 2010)
17. Uso do Sistema redesegura
Gerenciamento de Vulnerabilidades em Aplicações Web
Home Banking
Home Broker
e-Commerce
Conteúdo
Desenvolvedores
Recomendações de Segurança
SSL
Vulnerabilty
Database
Corporativo:
CRM, ERP, RH...
Conteúdo
Apoio a Decisão
Web ServerSecurity Officer
V-Test
O Gerenciamento de Vulnerabilidades “As a Service” é um
acelerador para alcançar resultados rápidos e consistentes
Processo de Gestão
Scan Engine
Tecnologia
N-Stalker
18. Uso do Sistema redesegura
Grau de Maturidade em Gestão da Segurança de TI
Sistema de Gerenciamento da Segurança
• Processo continuado de avaliação;
• Automação de tarefas e padronização de testes;
• Indicadores de risco e análise de resultados históricos;
• Independência de competências individuais;
• Segurança em todo o Ciclo de Vida da Aplicação web;
Gestão de
Processo
de
Segurança
GraudeMaturidadenaGestão
daSegurançadaInformação
+
+
Suporte Técnico Especializado
• Equipe Certificada: CISSP, ISSAP, CSSLP, CISM, etc.
• Análise dos resultadso dos testes de avaliação;
• Consultas sobre recomendações de segurança;
• Segurança em todo o Ciclo de Vida da Aplicação web;
Serviços de
Consultoria
em
Segurança
Avaliação
reativa ou
incidental
GraudeMaturidadenaGestão
daSegurançadaInformação
-
Software N-Stalker Web Application Scanner
• Ferramenta de testes de avaliação de segurança
• Testes com 39.000 assinaturas de ataques web
+
19. Uso do Sistema redesegura
Gerenciamento de Vulnerabilidades na Aplicação Web
Definição das
URLs
Parametrização
da política de
testes
Acompanhamento
da Execução
Coleta e Análise
de Relatórios
Aplicações Web;
e-commerce,
Portais Web;
Home Bank, Home
Padrões de teste;
OWASP Top 10
OWASP Top 3
SANS/FBI
Relatórios Auditoria;
Gerencial
Técnico Geral
Aplicação
Gerenciamentode
Vulnerabilidades
Sinalização Eventos:
Inicio
Fim
Vulnerabilidade
Home Bank, Home
Broker, etc;
Navegação com
usuário (Log ID);
Macros orientam o
navegador robotiz.;
Em produção e em
homologação;
Limites da licença de
uso como serviço.
SANS/FBI
PCI-DSS
Customização;
Definições de;
Início
Periodicidade
Falsos positivos
Aplicação
Seqüência de teste
Evidências;
Refs tecnicas
Recomendações
Suporte Técnico ao
desenvolvedor;
Treinamento sobre
vulnerabilidades.
Gerenciamento
Vulnerabilidades
Vulnerabilidade
grave
Dashboard no Portal;
Integração:
SMS, e-mail
Service Desk
realizar as recomendações de segurança
20. Uso do Sistema redesegura
Fatores críticos para o SUCESSO do processo de melhoria
1) Configuração adequada do sistema de testes de avaliação
da segurança da aplicação web;
2) Capacidade do sistema de testes em identificar o máximo de
vulnerabilidades exploráveis em cada avaliação;
3) Capacidade do Admin do processo em avaliar os resultados
obtidos, e obter informações adicionais se necessário;
4) Capacidade da equipe de desenvolvimento em interpretar
corretamente as recomendações de segurança;
O redesegura suportará o processo do Cliente em todos estes
4 fatores críticos de sucesso, mas faltará ainda um fator...
21. Uso do Sistema redesegura
Fatores críticos para o SUCESSO do processo de melhoria
5) Capacidade de reação do desenvolvedor ao executar as
melhorias necessárias para mitigar o risco:
No menor espaço de tempo possível;
De maneira definitiva, sem introduzir novas falhas;
Aprendendo a não reincidir nas falhas de segurança;Aprendendo a não reincidir nas falhas de segurança;
A capacitação da equipe de desenvolvimento é o principal fator de
sucesso para o ciclo de melhoria da segurança da aplicação web
O redesegura cria e desenvolve estas competências ao transferir
conhecimentos para a equipe, garantindo o sucesso do processo.
22. Uso do Sistema redesegura
Gerenciamento de Vulnerabilidades na Aplicação Web
Definição das
URLs
Parametrização
da política de
testes
Acompanhamento
da Execução
Coleta e Análise
de Relatórios
Aplicações Web;
e-commerce,
Portais Web;
Home Bank, Home
Padrões de teste;
OWASP Top 10
OWASP Top 3
SANS/FBI
Relatórios Auditoria;
Gerencial
Técnico Geral
Aplicação
Sinalização Eventos:
Inicio
Fim
Vulnerabilidade
Do
Plan
Gerenciamentode
Vulnerabilidades
Home Bank, Home
Broker, etc;
Navegação com
usuário (Log ID);
Macros orientam o
navegador robotiz.;
Em produção e em
homologação;
Limites da licença de
uso como serviço.
SANS/FBI
PCI-DSS
Customização;
Definições de;
Início
Periodicidade
Falsos positivos
Aplicação
Seqüência de teste
Evidências;
Refs tecnicas
Recomendações
Suporte Técnico ao
desenvolvedor;
Treinamento sobre
vulnerabilidades.
Vulnerabilidade
grave
Dashboard no Portal;
Integração:
SMS, e-mail
Service Desk
realizar as recomendações de segurança
Ciclo
PDCA
Act
Check
Gerenciamento
Vulnerabilidades
23. Uso do Sistema redesegura
Benefícios do Processo com uso do nosso Sistema
O uso do redesegura introduz critérios de segurança no
ciclo de vida das aplicações web desde o desenvolvimento;
O monitoramento contínuo das ameaças via web permite
antecipar-se ao risco de ataques que afetariam o negócio;
Gerenciamento de Vulnerabilidades cria um avanço no grau
de Gestão da Segurança de TI com os recursos existentes;
Promove a transferência de conhecimento sobre segurança
de aplicações web para a equipe de desenvolvedores;
Elimina ilhas de conhecimento: o processo de segurança e
de melhorias não depende de competências individuais.
24. Planejando a implantação do Processo
Modelo de Referência – Monitoramento em Produção
MSS
MSS
80
100
120
Etapas do Projeto de Gerenciamento de Vulnerabilidades
Appliance (H)
Evolução natural do processoServidores
redesegura
V-Test V-Test V-Test
Support
Support Support
MSS
0
20
40
60
Ativação Etapa 1 Etapa 2 ...Maturidade
WebAppSetup
AçõesCorretivas
AçõesCorretivas
melhorias
25. O Sistema redesegura
Diferenciais de Serviços e da Equipe de Suporte
O redesegura é “compliance” com recomendações de melhores
práticas: ISO-15408, ISO-27001, ISO-27002, BACEN, SOx, e PCI-DSS.
Suporte Técnico ao Desenvolvedor, e treinamento de usuários nas
vulnerabilidades mais incidentes.
Equipe Técnica qualificada e certificada em Segurança da Informação:
ISC2 CISSP – Certified Information System Security Professional;
ISC2 ISSAP – Information System Security Architect Professional;
ISC2 CSSLP - Certified Secure Software Lifecycle Professional;
CISM – Certified Information Security Manager;
CompTIA Security+: Competency in system security, network infrastructure,
access control and organizational security;
GAWN SANS - GIAC Assessing Wireless Networks
26. Entregáveis redesegura
Portal Web com Dashboard
Acesso ao sistema de Métricas e Avaliação
Dashboard com indicativos e métricas do processo de segurança
Acompanhamento em tempo real do nível de maturidade
Repositório de Relatórios e Centro de Suporte Técnico on-line
27. Entregáveis redesegura
Customização e Integração com Sistemas de TI
Possibilidades de Customização do Sistema:
Formato de apresentação do Dashboard, e/ou de gráficos;
Personalização de modelos de relatórios de testes;
Criação de novas funcionalidades e/ou recursos de teste;
Integração com outros Sistemas de Gestão de TI, como:Integração com outros Sistemas de Gestão de TI, como:
Sistemas de gestão de incidentes, para abrir “tickets” dirigidos à
equipe de desenvolvimento;
Sistemas de gestão de SLA, para medir indicadores de desempenho
acordados com a fábrica de software terceirizada;
Sistemas de ALM (Application Life-cycle Management), para abertura
de “tickets” para correção de vulnerabilidades e guarda de evidências
28. Consultoria em Segurança da Aplicação web
Serviços Complementares redesegura
Managed Security Services (MSS): Gestão e Operação de
todo o processo com uso do Sistema redesegura;
Teste de Vulnerabilidade e Análise “on demand” da
Segurança em Aplicações Web (Web Security Check-up);
Consultoria em Segurança da Arquitetura da Aplicação;
Teste e Análise: Web Security Check-up + Consulting Report
Avaliação do ambiente de infra-estrutura dos Servidores Web
Recomendações de ação de melhoria e controles de conformidade
“Pen Test” sobre ambiente da aplicação e/ou infra-estrutura
Interno/Ext., geral ou orientado, engenharia social, war dialling, etc.