(2) o processo de gerenciamento de vulnerabilidades web
TRANSCRIPT
Slide Show nº 2
O Processo de Gerenciamento de Vulnerabilidades
em Aplicações Web
rev. 05/jan/11Autor: Eduardo Lanna
Segurança de Aplicações Web Função do risco de ataque a um Sistema e suas variáveis
(agente malicioso + vulnerabilidade + padrão de ataque)? ?
� Para mitigar riscos... esteja sempre à frente das a meaças!!!! (Gartner)
� Identificar as vulnerabilidades permite antecipa-s e ao risco de ataques!!!
� Gerenciá-las cria um ciclo de monitoramento e de mel horia contínuos...
Fonte: www.owasp.org
Slide 2/12
� Estágios do Software Development Life Cycle (SDLC)
Introdução de critérios de Segurança no ciclo de Desenvolvimento
Desafios da GSI nas Aplicações Web Certificar-se da Segurança no Ciclo de Vida da aplicação
Instalação & Aceitação
Integração & Testes
Codificação(programação)
“Design”Definição de Requisitos
Planejamentodo Projeto
� O processo de Gerenciamento de Vulnerabilidades certifica as ações de segurança adotadas no curso do SDLC
Há recomendações de segurança em cada etapa do SDLC...
Testes de avaliação de Vulnerabilidades
Slide 3/12
Desafios da GSI nas Aplicações WebTestar Vulnerabilidades no Ciclo de Vida da Aplicação
� QA de Segurança no Desenvolvimento� Critérios de segurança foram incluídos no ciclo do desenvolvimento...
� Testar a cada intervenção sobre o código do aplicativo, logo após os testes funcionais, precedendo a aceitação final
� Certificação de Segurança da aplicação web na sua homologação
� Metodologia de testes: Static Application Security Test (SAST)� Metodologia de testes: Static Application Security Test (SAST)
� Monitoramento do Risco em Produção� Segurança de “infra” não basta se as aplicações web apresentarem
vulnerabilidades exploráveis...
� Testar periodicamente avalia a segurança da aplicação, mantendo baixo o nível de risco em produção (atualização periódica de ataques)
� Manutenção da Segurança na Gestão de Mudanças e de Incidentes
� Metodologia de testes: Dynamic Application Security T est (DAST)
Slide 4/12
Desafios da GSI nas Aplicações WebDefinir uma estratégia e planejar ações práticas...
"Segurança não é um produto que se pode comprar de prateleira, mas que consiste de políticas, pessoas, processos e tecnolo gia”
(Kevin Mitinik – IT Security Specialist)
“Uma ferramenta por si só não pode resolver o que fu ndamentalmente é um problema de processo no desenvolvimento”um problema de processo no desenvolvimento”
(Neil MacDonald – Gartner Group)
“Não se gerencia o que não se mede,
não se mede o que não se define ,
não se define o que não se entende ,
e não há sucesso no que não se gerencia ”
(William Edwards Deming)
➼➼➼➼➼➼➼➼➼➼➼➼➼➼➼➼
Gerenciamento de Vulnerabilidades
Slide 5/12
Desafios da GSI nas Aplicações Web A estratégia para o Gerenciamento de Vulnerabilidades
SSG:
“A estratégia de Gestão da Segurança da Informação ( GSI) deve abordar todos os elementos de um processo”
Gerenciamento de Vulnerabilidades em Aplicações Web
SSG:People
SAST/DAST
MetodologyN-Stalker
Technology
ProcessStrategy
Slide 6/12
Uso do Sistema redeseguraGerenciamento de Vulnerabilidades em Aplicações Web
Home Banking
Home Broker
e-CommerceDesenvolvedores
Recomendações de Segurança
SSL
VulnerabiltyDatabase
Corporativo: CRM, ERP, RH...
Conteúdo
Apoio a Decisão
Web ServerSecurity Officer
V-Test
Processo de Gestão
Scan Engine
Metodologias: SAST/DAST
Suporte Téc. Especializado ao Desenvolvedor (CSSLP)
“SSG”
Slide 7/12
Uso do Sistema redeseguraFatores críticos de SUCESSO do processo de melhorias
1) O Software Security Group: papel dos Agentes do Processo;
2) Configuração adequada da ferramenta de testes de avaliação;
3) Capacidade da tecnologia ao identificar o máximo de reais vulnerabilidades exploráveis em cada teste (sem FP);
4) Capacidade do Admin do processo ao avaliar os resultados e obter informações adicionais se necessário;
5) Capacidade dos desenvolvedores ao interpretar corretamente as recomendações de segurança, e realizar as melhorias.
O Sistema redesegura suporta os usuários no domínio destes fatores críticos de sucesso de seu processo...
Slide 8/12
Uso do Sistema redeseguraMetodologia recomendada na implantação do Processo
Definição das URLs
Parametrizaçãoda política de
testes
Acompanhamento da Execução
Coleta e Análise de Relatórios
Aplicações Web;
e-commerce, Portais Web;
Home Bank, Home
Padrões de teste;
� OWASP Top 10
� OWASP Top 3
SANS/FBI
Relatórios Auditoria;
� Gerencial
� Técnico Geral
Aplicação
Sinalização Eventos:
� Inicio
� Fim
Vulnerabilidades
Do !Plan...
Gere
ncia
mento
de
Vuln
era
bilid
ades
Home Bank, Home Broker, etc;
Navegação com usuário (Log ID);
Macros orientam o navegador autom.;
Em produção e emhomologação;
Limites da licença de uso como serviço.
� SANS/FBI
� PCI-DSS
Customização;
Definições de;
� Início
� Periodicidade
� Falsos positivos
� Aplicação
� Seqüência de teste
Evidências;
� Refs. técnicas
� Recomendações
Suporte Técnico ao desenvolvedor;
Base de Conhecimento
� Vulnerabilidades+graves
Dashboard no Portal;
Integração:
� SMS, e-mail
� Service Desk
realizar as recomendações de segurança
Slide 9/12
CicloPDCA
Act !
Check... .Gere
ncia
mento
Vuln
era
bilid
ades
Uso do Sistema redeseguraBenefícios do Processo com uso do nosso Sistema
� O uso do redesegura avalia critérios de segurança no ciclo de vida das aplicações web desde o desenvolvimento;
� O monitoramento contínuo de ameaças permite antecipação ao risco de ataques que afetariam o negócio;
� O sucesso do processo de avaliação e melhorias não depende de � O sucesso do processo de avaliação e melhorias não depende de competências individuais;
� Integra equipes multidisciplinares em um ciclo de melhoria da segurança;
� Transfere conhecimento sobre segurança de software para a equipe de desenvolvedores;
� Promove um avanço no grau de Gestão da Segurança de TI, enquanto mantém os recursos existentes...
Slide 10/12
Uso do Sistema redeseguraGrau de Maturidade em Gestão da Segurança de TI
Sistema de Gerenciamento de Vulnerabilidades
• Processo centralizado e continuado de avaliação;
• Automação de tarefas e padronização de testes;
• Indicadores de risco e análise de resultados históricos;
• Independência de competências individuais;
• Segurança em todo o Ciclo de Vida da Aplicação web;
Gestão de Processo
de Segurança
Gra
u de
Mat
urid
ade
na G
estã
o da
Seg
uran
ça d
a In
form
ação
+ +
PROATIVO
OTIMIZADO
Suporte Técnico Especializado
• Profissionais Certificados: CISSP, ISSAP, CSSLP, CISM...
• Análise do resultado dos testes de avaliação;
• Consultas sobre as recomendações de segurança;
• Segurança em todo o Ciclo de Vida da Aplicação web;
Serviços de Consultoria
em Segurança
Avaliação reativa ou incidental
Gra
u de
Mat
urid
ade
na G
estã
o da
Seg
uran
ça d
a In
form
ação
-
Software N-Stalker Web App Scanner• Ferramenta de testes de avaliação de segurança• Testes com 39.000 assinaturas de ataques web
+COMPLIANCE
REATIVO
Slide 11/12
Departamento Comercial
Tel: +55 (11) 3044-1819
e-mail: [email protected]
visite: www.redesegura.com.br
Veja também nossa apresentação sobre a auditoria do
Selo “Website Protegido”...
Autor: Eduardo Lanna