SlideShare uma empresa Scribd logo
MASP | Managed Application Security Process
Um processo racional para garantir o nível de proteção das aplicações
web em todas as fases do ciclo de desenvolvimento



Eduardo Neves | CEO          Wagner Elias | CTO
eneves@conviso.com.br        welias@conviso.com.br



                                                                        1
Sobre a Conviso
       Fundada em 2008 é uma empresa especializada em Application Security e
       Network Security com operações no Brasil e Estados Unidos

               Temos entre nossos clientes empresas de grande e médio porte em
               diversos segmentos, incluindo os líderes em seus setores

               Nossa equipe tem as principais certi cações do mercado, participa de
               eventos internacionais e publica artigos sobre IT Security

               Mantemos acordos de cooperação com a Check Point e Security Art para
               análise de vulnerabilidades e desenvolvimento de soluções especí cas

               Apoiamos e participamos do OWASP através de diversas iniciativas e
               projetos



Conviso | Managed Application Security Process                                        2
Serviços e Produtos

                                                  Web Application Firewall                                                Web Application Scanning
                                                  Database Security                                                       Vulnerability Management
                                                  File Security                                                           PCI Compliance




                           Security Planning                                    Security Testing                          Security Deployment


      •   Security Development Lifecycle                   •   Penetration Test                        •   Web Application Firewall
      •   Application, Network and Architecture            •   Web Security Assessment                 •   Database and File Security
      •   Integration on the Infrastructure                •   Security Code Review                    •   Vulnerability Management




                                                                          Conviso Labs
                             Pesquisa de Vulnerabilidades            Ferramentas de Suporte        Treinamentos Técnicos




Conviso | Managed Application Security Process                                                                                                       3
Managed Application Security Process
Conviso | Managed Application Security Process         4
Racional
       As empresas tem focado em aspectos de GRC como vantagem competitiva ou
       necessidade de compliance porém os resultados da exploração de falhas
       continuam a aparecer com frequência

               Os aspectos técnicos são administrados como um mal necessário ou
               requerimento complementar

               Os negócios estão sendo posicionados na nuvem com uma abordagem
               tradicional de segurança

               A segurança das aplicações é fundamental para suportar de forma
               adequada os negócios on-line, porém não pode ser tratada como uma
               iniciativa isolada




Conviso | Managed Application Security Process                                     5
A Abordagem Tradicional
       A execução de testes de segurança permite realizar ações corretivas pontuais,
       mas não suporta nenhuma uma evolução no desenvolvimento de aplicações
       seguras

               As causas das falhas não são endereçadas de forma adequada

               Aplicações Web com falhas são posicionadas em ambiente de produção
               devido as pressões das áreas de negócios

               Ferramentas de proteção exigem investimentos diretos e contratação de
               equipe especializada para administração dos recursos




Conviso | Managed Application Security Process                                         6
Diferenciais do MASP
       É um serviço de suporte para o processo de desenvolvimento seguro de
       software indo desde a gestão de Build, Bug Tracking, Testes de Segurança,
       Virtual Patching e implementação de um processo de segurança em
       desenvolvimento

               As causas das falhas são identi cadas e utilizadas para suportar ações
               operacionais e estratégicas

               Aplicações Web com falhas podem ser temporariamente posicionadas
               de forma segura dentro deste ciclo de operação

               O cliente é continuamente capacitado e o nível de maturidade do
               processo é crescente

               Pode ser estruturado para atender a padrões como o PCI DSS e o HIPAA


Conviso | Managed Application Security Process                                          7
Como o MASP funciona?




Conviso | Managed Application Security Process   8
Como o MASP funciona?



       Planejamento




Conviso | Managed Application Security Process   8
Como o MASP funciona?

                                                 Testes




       Planejamento




Conviso | Managed Application Security Process            8
Como o MASP funciona?

                                                  Testes




                                                 Aplicação
       Planejamento
                                                  segura?




Conviso | Managed Application Security Process               8
Como o MASP funciona?

                                                  Testes




                                                 Aplicação   sim
       Planejamento                                                Implementação
                                                  segura?




Conviso | Managed Application Security Process                                     8
Como o MASP funciona?

                                                  Testes




                                                 Aplicação   sim
       Planejamento                                                Implementação
                                                  segura?

                                                       não


                                                   Novo
                                                 release?




Conviso | Managed Application Security Process                                     8
Como o MASP funciona?

                                                   Testes




                                                 Aplicação    sim
       Planejamento                                                 Implementação
                                                  segura?

                                                        não


                                                    Novo
                                                  release?

                                                        sim

                                                 Adequação



Conviso | Managed Application Security Process                                      8
Como o MASP funciona?

                                                   Testes




                                                 Aplicação    sim
       Planejamento                                                 Implementação
                                                  segura?

                                                        não


                                                    Novo
                                                  release?

                                                        sim

                                                 Adequação



Conviso | Managed Application Security Process                                      8
Como o MASP funciona?

                                                   Testes




                                                 Aplicação    sim
       Planejamento                                                 Implementação
                                                  segura?

                                                        não


                                                    Novo      não
                                                  release?

                                                        sim

                                                 Adequação



Conviso | Managed Application Security Process                                      8
Como o MASP funciona?

                                                   Testes




                                                 Aplicação    sim
       Planejamento                                                 Implementação
                                                  segura?

                                                        não


                                                    Novo      não
                                                  release?

                                                        sim

                                                 Adequação



Conviso | Managed Application Security Process                                      8
Como o MASP funciona?

                                                   Testes
                                                                      Security
                                                                     Assessment


                                                 Aplicação    sim
       Planejamento                                                 Implementação
                                                  segura?

                                                        não
                                                                        WAF

                                                    Novo      não
                                                  release?

                                                        sim

                                                 Adequação



Conviso | Managed Application Security Process                                      8
Como o MASP funciona?

                                                   Testes
                                                                      Security
                                                                     Assessment


                                                 Aplicação    sim
       Planejamento                                                 Implementação
                                                  segura?

                                                        não
                                                                        WAF

                                                    Novo      não
                                                  release?

                                                        sim

                                                 Adequação



Conviso | Managed Application Security Process                                      8
Como o MASP funciona?

                                                   Testes
                                                                      Security
                                                                     Assessment


                                                 Aplicação    sim
       Planejamento                                                 Implementação
                                                  segura?

                                                        não
                                                                        WAF

                                                    Novo      não
                                                  release?

                                                        sim

                                                 Adequação



Conviso | Managed Application Security Process                                      8
Como o MASP funciona?

                                                   Testes
                                                                      Security
                                                                     Assessment


                                                 Aplicação    sim
       Planejamento                                                 Implementação
                                                  segura?

                                                        não
                                                                        WAF

                                                    Novo      não
                                                  release?

                                                        sim

                                                 Adequação



Conviso | Managed Application Security Process                                      8
Como o MASP funciona?
                                                                    Processo de Gestão de Vulnerabilidades


                                                   Testes
                                                                                      Security
                                                                                     Assessment


                                                 Aplicação    sim
       Planejamento                                                                 Implementação
                                                  segura?

                                                        não
                                                                                         WAF

                                                    Novo      não
                                                  release?

                                                        sim

                                                 Adequação



Conviso | Managed Application Security Process                                                               8
Como o MASP funciona?
       O MASP permite realizar ações corretivas para adequar a proteção dos
       componentes e elevar imediatamente o nível de proteção do Ambiente
       Informatizado

               Os testes e avaliações resultam em sugestões de controles e
               recomendações de melhoria para o processo de desenvolvimento

               Falhas que não podem ser corrigidas são tratadas através de virtual
               patching pelo WAF

               A capacitação da equipe responsável, melhoria contínua do processo de
               desenvolvimento e a oferta de bibliotecas com códigos seguros são
               características presentes na solução




Conviso | Managed Application Security Process                                         9
Conclusão
       Nossa equipe é formada por pro ssionais de IT Security com conhecimento de
       mercado, experiência em gestão e vivência dentro de empresas

       Sabemos utilizar essas competências a seu favor, avaliando suas necessidades
       de forma pragmática e apresentando soluções que façam sentido, funcionem e
       sejam claras para você e seus clientes

               Nosso web site: http://conviso.com.br

               Nosso canal no YouTube: http://www.youtube.com/ConvisoITSecurity

               Presença no Twitter: http://twitter.com/conviso




Conviso | Managed Application Security Process                                        10
Curitiba | Miami | São Paulo

                                                           Rua Marechal Hermes 678 CJ 32
                                                           CEP 80530-230, Curitiba, PR
                                                           t. (41) 3095-3986
                                                           www.conviso.com.br

                                                           8671 NW 56th Street
                                                           Doral, FL 33166
                                                           t. (786) 382-0167
                                                           www.convisosec.com




Conviso IT Security | Apresentação Institucional 4Q 2010                                   11

Mais conteúdo relacionado

Mais procurados

Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Cisco do Brasil
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
Eduardo Lanna
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Bruno Motta Rego
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios  - OverviewCurso Plano de Continuidade dos Negócios  - Overview
Curso Plano de Continuidade dos Negócios - Overview
Data Security
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
TI Safe
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Symantec Brasil
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
Kleitor Franklint Correa Araujo
 
11SMTF050922T03
11SMTF050922T0311SMTF050922T03
11SMTF050922T03
Christian Becker
 
Aula 03 qs - confiabilidade de sw
Aula 03   qs - confiabilidade de swAula 03   qs - confiabilidade de sw
Aula 03 qs - confiabilidade de sw
Junior Gomes
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
Data Security
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
luisjosemachadosousa
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - Overview
Data Security
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
Conviso Application Security
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertação
Miky Mikusher Raymond
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira
TI Safe
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
Carlos Henrique Martins da Silva
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Robson Peixoto
 
Dss 3
Dss 3Dss 3

Mais procurados (19)

Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios  - OverviewCurso Plano de Continuidade dos Negócios  - Overview
Curso Plano de Continuidade dos Negócios - Overview
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
 
11SMTF050922T03
11SMTF050922T0311SMTF050922T03
11SMTF050922T03
 
Aula 03 qs - confiabilidade de sw
Aula 03   qs - confiabilidade de swAula 03   qs - confiabilidade de sw
Aula 03 qs - confiabilidade de sw
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - Overview
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertação
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
 
Dss 3
Dss 3Dss 3
Dss 3
 

Semelhante a MASP: Um processo racional para garantir o nível de proteção das aplicações web em todas as fases do ciclo de desenvolvimento

(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
KeySupport Consultoria e Informática Ltda
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
KeySupport Consultoria e Informática Ltda
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
Leandro Bennaton
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web
72security
 
Gestão de Patches e Vulnerabilidades
Gestão de Patches e VulnerabilidadesGestão de Patches e Vulnerabilidades
Gestão de Patches e Vulnerabilidades
Marcelo Martins
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
Magno Logan
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Leandro Bennaton
 
Gestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomGestão da Governança de TI | Andracom
Gestão da Governança de TI | Andracom
Andracom Solutions
 
Processo de Implantação de ERP
Processo de Implantação de ERPProcesso de Implantação de ERP
Processo de Implantação de ERP
Luiz Araujo
 
Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2
Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2
Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2
Rafael Lima
 
Agile Scaling Model - TDC 2012 - São Paulo SP
Agile Scaling Model - TDC 2012 - São Paulo SPAgile Scaling Model - TDC 2012 - São Paulo SP
Agile Scaling Model - TDC 2012 - São Paulo SP
Neubio Ferreira
 
I-SCode
I-SCodeI-SCode
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
Fabiano Souza
 
pensando em qualidade de software
pensando em qualidade de softwarepensando em qualidade de software
pensando em qualidade de software
marthahuback
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker
Eduardo Lanna
 
(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker
KeySupport Consultoria e Informática Ltda
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
Alvaro Gulliver
 
Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Implementação de sgsi [impressão]
Implementação de sgsi [impressão]
Shield Consulting
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de Software
Marcelo Fleury
 
Aula 02
Aula 02Aula 02

Semelhante a MASP: Um processo racional para garantir o nível de proteção das aplicações web em todas as fases do ciclo de desenvolvimento (20)

(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web
 
Gestão de Patches e Vulnerabilidades
Gestão de Patches e VulnerabilidadesGestão de Patches e Vulnerabilidades
Gestão de Patches e Vulnerabilidades
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
 
Gestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomGestão da Governança de TI | Andracom
Gestão da Governança de TI | Andracom
 
Processo de Implantação de ERP
Processo de Implantação de ERPProcesso de Implantação de ERP
Processo de Implantação de ERP
 
Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2
Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2
Dsn05 s1 valcimarcosta_rafaellima_orleanribeiro_tpo2
 
Agile Scaling Model - TDC 2012 - São Paulo SP
Agile Scaling Model - TDC 2012 - São Paulo SPAgile Scaling Model - TDC 2012 - São Paulo SP
Agile Scaling Model - TDC 2012 - São Paulo SP
 
I-SCode
I-SCodeI-SCode
I-SCode
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
 
pensando em qualidade de software
pensando em qualidade de softwarepensando em qualidade de software
pensando em qualidade de software
 
(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker(3) Selo WebSite Protegido by N-Stalker
(3) Selo WebSite Protegido by N-Stalker
 
(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker(3) Selo Website Protegido by NStalker
(3) Selo Website Protegido by NStalker
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Implementação de sgsi [impressão]
Implementação de sgsi [impressão]
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de Software
 
Aula 02
Aula 02Aula 02
Aula 02
 

Mais de Conviso Application Security

Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
Conviso Application Security
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de software
Conviso Application Security
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Conviso Application Security
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking
Conviso Application Security
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 Features
Conviso Application Security
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
Conviso Application Security
 
Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!
Conviso Application Security
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
Conviso Application Security
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?
Conviso Application Security
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
Conviso Application Security
 
HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?
Conviso Application Security
 
Threats from economical improvement rss 2010
Threats from economical improvement rss 2010Threats from economical improvement rss 2010
Threats from economical improvement rss 2010
Conviso Application Security
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flash
Conviso Application Security
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Conviso Application Security
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009
Conviso Application Security
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
Conviso Application Security
 
Abotoaduras & Bonés
Abotoaduras & BonésAbotoaduras & Bonés
Abotoaduras & Bonés
Conviso Application Security
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
Conviso Application Security
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
Conviso Application Security
 

Mais de Conviso Application Security (20)

Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de software
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 Features
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
 
HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?
 
Threats from economical improvement rss 2010
Threats from economical improvement rss 2010Threats from economical improvement rss 2010
Threats from economical improvement rss 2010
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flash
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
Abotoaduras & Bonés
Abotoaduras & BonésAbotoaduras & Bonés
Abotoaduras & Bonés
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 
Extreme Web Hacking - h2hc 2008
Extreme Web Hacking - h2hc 2008Extreme Web Hacking - h2hc 2008
Extreme Web Hacking - h2hc 2008
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 

MASP: Um processo racional para garantir o nível de proteção das aplicações web em todas as fases do ciclo de desenvolvimento

  • 1. MASP | Managed Application Security Process Um processo racional para garantir o nível de proteção das aplicações web em todas as fases do ciclo de desenvolvimento Eduardo Neves | CEO Wagner Elias | CTO eneves@conviso.com.br welias@conviso.com.br 1
  • 2. Sobre a Conviso Fundada em 2008 é uma empresa especializada em Application Security e Network Security com operações no Brasil e Estados Unidos Temos entre nossos clientes empresas de grande e médio porte em diversos segmentos, incluindo os líderes em seus setores Nossa equipe tem as principais certi cações do mercado, participa de eventos internacionais e publica artigos sobre IT Security Mantemos acordos de cooperação com a Check Point e Security Art para análise de vulnerabilidades e desenvolvimento de soluções especí cas Apoiamos e participamos do OWASP através de diversas iniciativas e projetos Conviso | Managed Application Security Process 2
  • 3. Serviços e Produtos Web Application Firewall Web Application Scanning Database Security Vulnerability Management File Security PCI Compliance Security Planning Security Testing Security Deployment • Security Development Lifecycle • Penetration Test • Web Application Firewall • Application, Network and Architecture • Web Security Assessment • Database and File Security • Integration on the Infrastructure • Security Code Review • Vulnerability Management Conviso Labs Pesquisa de Vulnerabilidades Ferramentas de Suporte Treinamentos Técnicos Conviso | Managed Application Security Process 3
  • 4. Managed Application Security Process Conviso | Managed Application Security Process 4
  • 5. Racional As empresas tem focado em aspectos de GRC como vantagem competitiva ou necessidade de compliance porém os resultados da exploração de falhas continuam a aparecer com frequência Os aspectos técnicos são administrados como um mal necessário ou requerimento complementar Os negócios estão sendo posicionados na nuvem com uma abordagem tradicional de segurança A segurança das aplicações é fundamental para suportar de forma adequada os negócios on-line, porém não pode ser tratada como uma iniciativa isolada Conviso | Managed Application Security Process 5
  • 6. A Abordagem Tradicional A execução de testes de segurança permite realizar ações corretivas pontuais, mas não suporta nenhuma uma evolução no desenvolvimento de aplicações seguras As causas das falhas não são endereçadas de forma adequada Aplicações Web com falhas são posicionadas em ambiente de produção devido as pressões das áreas de negócios Ferramentas de proteção exigem investimentos diretos e contratação de equipe especializada para administração dos recursos Conviso | Managed Application Security Process 6
  • 7. Diferenciais do MASP É um serviço de suporte para o processo de desenvolvimento seguro de software indo desde a gestão de Build, Bug Tracking, Testes de Segurança, Virtual Patching e implementação de um processo de segurança em desenvolvimento As causas das falhas são identi cadas e utilizadas para suportar ações operacionais e estratégicas Aplicações Web com falhas podem ser temporariamente posicionadas de forma segura dentro deste ciclo de operação O cliente é continuamente capacitado e o nível de maturidade do processo é crescente Pode ser estruturado para atender a padrões como o PCI DSS e o HIPAA Conviso | Managed Application Security Process 7
  • 8. Como o MASP funciona? Conviso | Managed Application Security Process 8
  • 9. Como o MASP funciona? Planejamento Conviso | Managed Application Security Process 8
  • 10. Como o MASP funciona? Testes Planejamento Conviso | Managed Application Security Process 8
  • 11. Como o MASP funciona? Testes Aplicação Planejamento segura? Conviso | Managed Application Security Process 8
  • 12. Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? Conviso | Managed Application Security Process 8
  • 13. Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo release? Conviso | Managed Application Security Process 8
  • 14. Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo release? sim Adequação Conviso | Managed Application Security Process 8
  • 15. Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo release? sim Adequação Conviso | Managed Application Security Process 8
  • 16. Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo não release? sim Adequação Conviso | Managed Application Security Process 8
  • 17. Como o MASP funciona? Testes Aplicação sim Planejamento Implementação segura? não Novo não release? sim Adequação Conviso | Managed Application Security Process 8
  • 18. Como o MASP funciona? Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
  • 19. Como o MASP funciona? Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
  • 20. Como o MASP funciona? Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
  • 21. Como o MASP funciona? Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
  • 22. Como o MASP funciona? Processo de Gestão de Vulnerabilidades Testes Security Assessment Aplicação sim Planejamento Implementação segura? não WAF Novo não release? sim Adequação Conviso | Managed Application Security Process 8
  • 23. Como o MASP funciona? O MASP permite realizar ações corretivas para adequar a proteção dos componentes e elevar imediatamente o nível de proteção do Ambiente Informatizado Os testes e avaliações resultam em sugestões de controles e recomendações de melhoria para o processo de desenvolvimento Falhas que não podem ser corrigidas são tratadas através de virtual patching pelo WAF A capacitação da equipe responsável, melhoria contínua do processo de desenvolvimento e a oferta de bibliotecas com códigos seguros são características presentes na solução Conviso | Managed Application Security Process 9
  • 24. Conclusão Nossa equipe é formada por pro ssionais de IT Security com conhecimento de mercado, experiência em gestão e vivência dentro de empresas Sabemos utilizar essas competências a seu favor, avaliando suas necessidades de forma pragmática e apresentando soluções que façam sentido, funcionem e sejam claras para você e seus clientes Nosso web site: http://conviso.com.br Nosso canal no YouTube: http://www.youtube.com/ConvisoITSecurity Presença no Twitter: http://twitter.com/conviso Conviso | Managed Application Security Process 10
  • 25. Curitiba | Miami | São Paulo Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR t. (41) 3095-3986 www.conviso.com.br 8671 NW 56th Street Doral, FL 33166 t. (786) 382-0167 www.convisosec.com Conviso IT Security | Apresentação Institucional 4Q 2010 11

Notas do Editor

  1. \n
  2. \n
  3. \n
  4. \n
  5. \n
  6. \n
  7. \n
  8. \n
  9. \n
  10. \n
  11. \n
  12. \n
  13. \n
  14. \n
  15. \n
  16. \n
  17. \n
  18. \n
  19. \n
  20. \n
  21. \n
  22. \n
  23. \n
  24. \n
  25. \n
  26. \n
  27. \n
  28. \n
  29. \n
  30. \n
  31. \n
  32. \n
  33. \n