Conheça os software de Segurança da Informação e Infra que ofertamos ao mercado. Destaques para :Acunetix (scan vuln apl web), SenhaSegura (Cofre Eletronico de Senhas), ControlUP (gerenciamento de ambientes VDI) - além de serviços de consultoria (pentest, scan aplicações web, auditoria de TI, etc).
Veja por que sua empresa deve se preocupar com a segurança de suas aplicações web, e saiba como proteger-se com um processo de Gerenciamento de Vulnerabilidades.
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
Este slideshow dá uma idéia clara do que é o Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web, e da oferta de uso do Sistema RedeSegura que desenvolvo em parceria com a N-Stalker. As aplicações web são o maior alvo de ataques maliciosos nos últimos tempos, e segundo o Gartner (2009) 75% dos problemas de segurança na internet já são atribuídos às aplicações web. Isso se deve, entre outros fatores, à integração de várias tecnologias e objetos usados na construção das aplicações web, e a falta de requisitos de segurança no processo do desenvolvedor. Não basta Segurança de Rede se as aplicações tiverem vulnerabilidades exploráveis por hackers maliciosos. Os riscos para alguns segmentos de negócio são muito elevados, como no mercado financeiro, serviços, e-commerce, e sites de conteúdo de informação que apóiam decisão, além de sistemas corporativos como CRM, ERPs, RH, etc.
Teste e Análise de Vulnerabilidades em Aplicação e servidores web vem sendo uma prática para incrementar as políticas de segurança da informação (GSI) das empresas que dependem da internet para realizar seus negócios sem riscos para seus Clientes e Parceiros, e dar credibilidade às suas marcas, além de estimular um ambiente de negócios mais seguro na internet.
Conheça os software de Segurança da Informação e Infra que ofertamos ao mercado. Destaques para :Acunetix (scan vuln apl web), SenhaSegura (Cofre Eletronico de Senhas), ControlUP (gerenciamento de ambientes VDI) - além de serviços de consultoria (pentest, scan aplicações web, auditoria de TI, etc).
Veja por que sua empresa deve se preocupar com a segurança de suas aplicações web, e saiba como proteger-se com um processo de Gerenciamento de Vulnerabilidades.
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
Este slideshow dá uma idéia clara do que é o Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web, e da oferta de uso do Sistema RedeSegura que desenvolvo em parceria com a N-Stalker. As aplicações web são o maior alvo de ataques maliciosos nos últimos tempos, e segundo o Gartner (2009) 75% dos problemas de segurança na internet já são atribuídos às aplicações web. Isso se deve, entre outros fatores, à integração de várias tecnologias e objetos usados na construção das aplicações web, e a falta de requisitos de segurança no processo do desenvolvedor. Não basta Segurança de Rede se as aplicações tiverem vulnerabilidades exploráveis por hackers maliciosos. Os riscos para alguns segmentos de negócio são muito elevados, como no mercado financeiro, serviços, e-commerce, e sites de conteúdo de informação que apóiam decisão, além de sistemas corporativos como CRM, ERPs, RH, etc.
Teste e Análise de Vulnerabilidades em Aplicação e servidores web vem sendo uma prática para incrementar as políticas de segurança da informação (GSI) das empresas que dependem da internet para realizar seus negócios sem riscos para seus Clientes e Parceiros, e dar credibilidade às suas marcas, além de estimular um ambiente de negócios mais seguro na internet.
Muito se fala em APIs dado o contexto de integrações e afins... mas, como conseguimos a garantir a qualidade na entrega de nossas APIs, eis o ponto que será abordado nesta palestra.
Link evento: https://gdg-campinas.github.io/qualityfest/
A Tenchi Security tem o prazer de convidá-lo para um evento da série de Security and Cloud. O formato é uma sequência de webinars para profissionais de operações, desenvolvimento, tecnologia e segurança da informação, dependendo do tema do webinar.
Nesta 1ª edição temos apoio da Aqua Security e iremos tratar do tema segurança de DevOps em ambientes de nuvem. Serão discutidos o uso de alta freqüência de deployment, pipelines de CI/CD, e o uso de containers ou adoção de aplicações serverless no contexto corporativo. Em especial, quais os benefícios para o negócio, os riscos à segurança da informação e os controles que o mercado tem adotado para mitigá-los.
O evento terá duração de 1 hora, sendo:
* 25 min - Apresentação de Segurança de DevOps por Alexandre Sieira, Fundador da da Tenchi Security;
* 25 min - Apresentação de Soluções de Segurança de Aplicativos Cloud Native por Carolina Bozza, Regional Sales Director da Aqua Security; e
* 10 min – Dúvidas e respostas.
Gravação do webinar pode ser assistida em https://youtu.be/ac339gAqtj4
O processo de Gerenciamento de Vulnerabilidades é uma melhor prática que permite avaliar e manter a segurança de aplicações web em todo o seu ciclo de vida, desde o desenvolvimento, até seu uso em produção.
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
Uma visão geral sobre segurança e qualidade de software
Foco na importância da integração de práticas de segurança ao ciclo de desenvolvimento de software.
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
Apresentação da Katana Security - Empresa especializada em Consultoria em Segurança da Informação
Oferecemos Serviços, Produtos e Treinamentos especializados na área.
Consulte-nos para mais informações!
www.katanasec.net
Este conteúdo foi apresentado ao vivo no 3o. RootDay. Consiste de motivação com estatísticas, introdução à técnica de fuzzing, formas de usá-la, o software ZAP e uma demonstração.
Analista e desenvolvedor de sistemas com ênfase em back-end, app-sec e desenvolvimento web usando a plataforma .NET Core. Ampliando conhecimento em desenvolvimento web Front-End utilizando ReactJS. Experiência com Devops CI/CD, experiência com métodos ágeis, experiência em projetos com desenvolvimento focados em segurança, experiência em sistemas bancários, plataformas digitais e meio de pagamentos, experiência com projetos ágeis, experiência com testes automatizados e manuais de software.
A gestão de fluxos de valor (GFV) é a prática lean de monitorizar, avaliar e melhorar continuamente o processo de fornecimento de software de uma organização.
Muito se fala em APIs dado o contexto de integrações e afins... mas, como conseguimos a garantir a qualidade na entrega de nossas APIs, eis o ponto que será abordado nesta palestra.
Link evento: https://gdg-campinas.github.io/qualityfest/
A Tenchi Security tem o prazer de convidá-lo para um evento da série de Security and Cloud. O formato é uma sequência de webinars para profissionais de operações, desenvolvimento, tecnologia e segurança da informação, dependendo do tema do webinar.
Nesta 1ª edição temos apoio da Aqua Security e iremos tratar do tema segurança de DevOps em ambientes de nuvem. Serão discutidos o uso de alta freqüência de deployment, pipelines de CI/CD, e o uso de containers ou adoção de aplicações serverless no contexto corporativo. Em especial, quais os benefícios para o negócio, os riscos à segurança da informação e os controles que o mercado tem adotado para mitigá-los.
O evento terá duração de 1 hora, sendo:
* 25 min - Apresentação de Segurança de DevOps por Alexandre Sieira, Fundador da da Tenchi Security;
* 25 min - Apresentação de Soluções de Segurança de Aplicativos Cloud Native por Carolina Bozza, Regional Sales Director da Aqua Security; e
* 10 min – Dúvidas e respostas.
Gravação do webinar pode ser assistida em https://youtu.be/ac339gAqtj4
O processo de Gerenciamento de Vulnerabilidades é uma melhor prática que permite avaliar e manter a segurança de aplicações web em todo o seu ciclo de vida, desde o desenvolvimento, até seu uso em produção.
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
Uma visão geral sobre segurança e qualidade de software
Foco na importância da integração de práticas de segurança ao ciclo de desenvolvimento de software.
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
Apresentação da Katana Security - Empresa especializada em Consultoria em Segurança da Informação
Oferecemos Serviços, Produtos e Treinamentos especializados na área.
Consulte-nos para mais informações!
www.katanasec.net
Este conteúdo foi apresentado ao vivo no 3o. RootDay. Consiste de motivação com estatísticas, introdução à técnica de fuzzing, formas de usá-la, o software ZAP e uma demonstração.
Analista e desenvolvedor de sistemas com ênfase em back-end, app-sec e desenvolvimento web usando a plataforma .NET Core. Ampliando conhecimento em desenvolvimento web Front-End utilizando ReactJS. Experiência com Devops CI/CD, experiência com métodos ágeis, experiência em projetos com desenvolvimento focados em segurança, experiência em sistemas bancários, plataformas digitais e meio de pagamentos, experiência com projetos ágeis, experiência com testes automatizados e manuais de software.
A gestão de fluxos de valor (GFV) é a prática lean de monitorizar, avaliar e melhorar continuamente o processo de fornecimento de software de uma organização.
Como o DevSecOps lidera o caminho para a transformação do negócio digitalAndré Luís Cardoso
À medida que o ritmo de desenvolvimento de software explodiu, os desafios enfrentados pelas equipes de TI estão aumentando na mesma medida que os lançamentos de software se tornam complexos. Esses requisitos estão levando muitas equipes de TI a adotar aplicativos baseados em micro-serviços que são mais fáceis de atualizar e estender do que os aplicativos monolíticos tradicionais.
Por que realizar análise de vulnerabilidade de aplicação ?André Luís Cardoso
2020 ofereceu uma tempestade perfeita para os cibercriminosos fornecendo aos agentes de ameaças oportunidades para ataques mais poderosos, agressivos e numerosos.
2021 não esta sendo diferente.
Entenda porque é tão importante realizar testes de vulnerabilidade em aplicações.
Box é uma plataforma em nuvem que ajuda os usuários a armazenar, compartilhar e gerenciar de forma segura todos os arquivos da empresa. Se você precisa proteger informações empresariais confidenciais, desenvolver um aplicativo móvel personalizado ou simplificar os processos de escritório baseados em papel, BOX pode ajudá-lo a fazer mais com seu conteúdo.
Nwtl2017 extending and customizing ibm connections cloudAndré Luís Cardoso
Extending and customizing ibm connections cloud. How to customize your connections on the smartcloud. How to get better visual for your connections. IBM
Se inovar em um processo ou produto já não é tão simples, implantar um cultura de inovação é ainda mais desafiador.
Descubra como enfrentar os desafios de mudar a cultura na sua organização, através de ferramentas de colaboração que suportam o aperfeiçoamento no processo de inovação.
apresentação realizada no NTI em Criciuma em 28 de abril.
versa como a colaboração pode ajudar sua empresa a inovar mais e consequentemente crescer mais.
Um modelo para você utilizar quando for implementar uma rede social na sua empresa. 7 passos que irão lhe ajudar nesta tarefa de adoção de redes sociais dentro da sua empresa. Confira mais no documento.
2. quem sou eu
André Luís Cardoso
especialista de produto na HCL Software
empresa indiana de mais de 45 anos de mercado
mais de 219 mil empregados no mundo
60 países com presença
no Brasil a mais de 10 anos
12.8 bi US$
/in/a190468/ @a190468
3. 4.500+
Employees
45+
Global Presence
in Countries
$1.5B
Enterprise
Software
Business
A Jornada
Até agora…
HCL P&P launched with
15-year partnership
between IBM & HCL.
2016-18
HCL Software formed to
manage HCL’s Enterprise
Software business.
Integrated portfolio with
DRYiCE™, Actian and
Industry Solutions,
converged as HCL
Software+
2019-20
2021-22
4. .
.
4
por que falar sobre
desenvolvimento seguro?
a aplicação é a parte mais fraca
tempo médio de exploração caindo de 42 dias em 2020, 12 dias em 2021 e apenas 7 dias em
2022;
2,29 bilhões de registros foram expostos em 2022 e Brasil lidera ranking de vazamentos;
Brasil ocupa a quarta posição no ranking dos 10 principais alvos do cibercrime;
ataques bloqueados em aplicações web cresceram 88% em 2021;
84% violações de segurança são executadas por meio da camada de aplicação;
1 em 6 código aberto tem um componente que contém uma vulnerabilidade conhecida;
83,9%: porcentagem de vulnerabilidades de software que já tinham uma correção disponível
no dia em que foi divulgado publicamente;
83%: porcentagem de aplicativos com pelo menos uma falha de segurança na verificação
de vulnerabilidade inicial;
novas vulnerabilidades em 2022 são menos aproveitadas do que em 2021;
Link informações
7. .
.
7
lei numero 1:
se houver uma vulnerabilidade, ela será explorada
lei numero 2:
tudo é vulnerável de alguma forma
8. .
.
8
segurança de aplicações
porque é tão difícil de identificar, medir e proteger aplicações?
diferentes linguagens de programação;
diferentes tipos de servidores;
frameworks e arquiteturas de vários tipos;
API, cloud, server less, containers, micro serviços;
cada pessoa e cada empresa desenvolve software de forma
diferente;
não possui acesso ao código;
9. .
.
9
o que é #appsec (segurança de
aplicativos)?
#AppSec é o processo de encontrar, corrigir e prevenir vulnerabilidades de
segurança no nível do aplicativo em processos de hardware, software e
desenvolvimento
inclui orientações sobre medidas para o design e desenvolvimento de
aplicativos e durante todo o ciclo de vida (sdlc), inclusive após o lançamento
do aplicativo
ao seguir as medidas de segurança na construção do aplicativo, você pode
garantir que os pontos fracos e as vulnerabilidades do seu aplicativo de
software sejam identificados e tratados no início do ciclo de
desenvolvimento, antes que se tornem graves violações de segurança
segurança
foi relatado que 84% dos
incidentes de segurança
acontecem na camada do
aplicativo
01
vazamento de dados
evitar que informações e dados
de seus clientes estejam
expostos, assim garantindo
“compliance” com LGPD
02
10. .
.
testes de segurança em aplicações
application security testing (AST) é o processo de tornar os aplicativos mais resilientes a ameaças de
segurança, identificando e corrigindo vulnerabilidades de segurança
Análise Interativa (IAST)
Software Composition Analysis (SCA)
O QUE: Monitorar continuamente o aplicativo
O QUE: Pacotes de código aberto (ASoC)
Análise Dinâmica(DAST)
O QUE: Aplicativos ativos
Análise Estática (SAST)
O QUE: Código fonte
PORQUÊ: Detecção rápida e precoce
PORQUÊ: Identificar vulnerabilidades em 3º
pacotes e componentes para festas
PORQUÊ : Baixos falsos positivos, examine
aplicativo como um pessoa mal intencionada
PORQUÊ : Fácil configuração, amigável ao
desenvolvedor, feedback rápido
11. .
.
como podemos ajudar
AppScan was named a
leader in Gartner’s 2021 &
2022 application security
magic quadrant
DESENVOLVEDORES
Permita que os
desenvolvedores escrevam
código com menos
vulnerabilidades
TIME
Permita que as equipes de
desenvolvimento
colaborem com atividades
de verificação e possam
ser mais produtivos
(retrabalho)
EMPRESA
Fornecer visibilidade para
equipes de segurança e
equipes de
desenvolvimento sobre a
segurança das aplicações
(compliance)
12. .
.
12
Auditoria & Segurança
Idéia Projeto/Ameaça Desenvolvimento SCM BUILD PACKAGE
REPO
Teste QA Produção
Governança
Deploy Deploy Release
IDE Based Scanning
SAST scan on Check-in
Auto Remediation
Open-Source Scanning
License Compliance Check
Auto Remediation
Runtime (RASP)
Security Info & Event (SIEM)
Penetration Testing
Network Scans
DAST Scans
SAST Scans
Manual Tests
Resultados
Policy
Updates
Security
Policy
Audit Results Pen Test Results
Scan Results
IAST
Interactive Security
DAST
Dynamic Functional
Automatização dos Builds
SAST
Static Automation
DAST
Dynamic Automation
Container
Scanning
IaC
Resultados Scans
Métricas & Compliance
Compliance
Security Requirements
Threat Model
Compliance
Security Requirements
Threat Model
Secure Coding
Security Standards
Security Awareness
Security Champions
Value Stream Analysis
segurança contínua
13. .
.
13
§ estabelecer um perfil de risco de segurança de aplicações para identificar possíveis vulnerabilidades e
pontos fracos de segurança
§ identificar e eliminar vulnerabilidades de segurança em seu aplicativo de software
§ identificar e resolver vulnerabilidades de segurança em software de código aberto e de terceiros
§ treinar equipe de desenvolvedores
§ IOT, APIs – não esquecer
considerações importantes
16. .
.
estudos de caso
Estácio de Sá
Educação
Implantação de aplicativos
e Web gerenciados com
segurança
Tendo sofrido ataques
hackers, esta instituição de
ensino superior no Brasil
procurou o time HCL para
reduzir custos de
infraestrutura, habilitar
segurança e aprimorar suas
implantações.
PROD IT
Governo
Scan em aplicativos Web
para identificar
vulnerabilidades
Após alguns ataques sofridos,
esta PROD decidiu investir em
uma aplicação para identificar
vulnerabilidades. Após uma
POC, decidiram adquirir o
AppScan com duas filas para
SAST, DAST, IAST e SCA.
Banco
Finanças
Scan em aplicativos Web
para identificar
vulnerabilidades
Com o AppScan este banco
vermelho conseguiu melhorar
a proteção de seus produtos e
obter registros detalhados de
vulnerabilidades de segurança.
Crédito
Finanças
Scan em aplicativo Java e
microserviços durante o
desenvolvimento
Esta empresa privada que
valida crédito, utiliza o
AppScan para identificar
vulnerabilidades durante o
build (se existir vulnerabilidade
crítica – quebra o build).
Link
20. .
.
Agile and issue
management with
custom workflow
automation
Deploy anything,
anywhere with
continuous delivery
for the enterprise
Secure and manage
development assets
Make work visible,
identify bottlenecks, and
improve DevOps flow
across the organization
with value stream
management
Eclipse-based
development environment
Compose with
your existing
environment
HCL Software DevOps help you
maximize and leverage the
tools you already have, like Jira,
Jenkins, Git and Kubernetes.
Secure, Data-Driven
Business Agility
UI, API, embedded and performance
testing, with service virtualization and
test data fabrication
Identify, understand and remediate
vulnerabilities, and achieve regulatory
compliance
Portfolio da HCL Software em DevSECOps