Slide Show nº 2

O Processo de Gerenciamento de Vulnerabilidades

em Aplicações Web

rev. 05/jan/11Autor: Eduardo Lanna

Segurança de Aplicações Web Função do risco de ataque a um Sistema e suas variáveis

(agente malicioso + vulnerabilidade + padrão de ataque)? ?

� Para mitigar riscos... esteja sempre à frente das a meaças!!!! (Gartner)

� Identificar as vulnerabilidades permite antecipa-s e ao risco de ataques!!!

� Gerenciá-las cria um ciclo de monitoramento e de mel horia contínuos...

Fonte: www.owasp.org

Slide 2/12

� Estágios do Software Development Life Cycle (SDLC)

Introdução de critérios de Segurança no ciclo de Desenvolvimento

Desafios da GSI nas Aplicações Web Certificar-se da Segurança no Ciclo de Vida da aplicação

Instalação & Aceitação

Integração & Testes

Codificação(programação)

“Design”Definição de Requisitos

Planejamentodo Projeto

� O processo de Gerenciamento de Vulnerabilidades certifica as ações de segurança adotadas no curso do SDLC

Há recomendações de segurança em cada etapa do SDLC...

Testes de avaliação de Vulnerabilidades

Slide 3/12

Desafios da GSI nas Aplicações WebTestar Vulnerabilidades no Ciclo de Vida da Aplicação

� QA de Segurança no Desenvolvimento� Critérios de segurança foram incluídos no ciclo do desenvolvimento...

� Testar a cada intervenção sobre o código do aplicativo, logo após os testes funcionais, precedendo a aceitação final

� Certificação de Segurança da aplicação web na sua homologação

� Metodologia de testes: Static Application Security Test (SAST)� Metodologia de testes: Static Application Security Test (SAST)

� Monitoramento do Risco em Produção� Segurança de “infra” não basta se as aplicações web apresentarem

vulnerabilidades exploráveis...

� Testar periodicamente avalia a segurança da aplicação, mantendo baixo o nível de risco em produção (atualização periódica de ataques)

� Manutenção da Segurança na Gestão de Mudanças e de Incidentes

� Metodologia de testes: Dynamic Application Security T est (DAST)

Slide 4/12

Desafios da GSI nas Aplicações WebDefinir uma estratégia e planejar ações práticas...

"Segurança não é um produto que se pode comprar de prateleira, mas que consiste de políticas, pessoas, processos e tecnolo gia”

(Kevin Mitinik – IT Security Specialist)

“Uma ferramenta por si só não pode resolver o que fu ndamentalmente é um problema de processo no desenvolvimento”um problema de processo no desenvolvimento”

(Neil MacDonald – Gartner Group)

“Não se gerencia o que não se mede,

não se mede o que não se define ,

não se define o que não se entende ,

e não há sucesso no que não se gerencia ”

(William Edwards Deming)

➼➼➼➼➼➼➼➼➼➼➼➼➼➼➼➼

Gerenciamento de Vulnerabilidades

Slide 5/12

Desafios da GSI nas Aplicações Web A estratégia para o Gerenciamento de Vulnerabilidades

SSG:

“A estratégia de Gestão da Segurança da Informação ( GSI) deve abordar todos os elementos de um processo”

Gerenciamento de Vulnerabilidades em Aplicações Web

SSG:People

SAST/DAST

MetodologyN-Stalker

Technology

ProcessStrategy

Slide 6/12

Uso do Sistema redeseguraGerenciamento de Vulnerabilidades em Aplicações Web

Home Banking

Home Broker

e-CommerceDesenvolvedores

Recomendações de Segurança

SSL

VulnerabiltyDatabase

Corporativo: CRM, ERP, RH...

Conteúdo

Apoio a Decisão

Web ServerSecurity Officer

V-Test

Processo de Gestão

Scan Engine

Metodologias: SAST/DAST

Suporte Téc. Especializado ao Desenvolvedor (CSSLP)

“SSG”

Slide 7/12

Uso do Sistema redeseguraFatores críticos de SUCESSO do processo de melhorias

1) O Software Security Group: papel dos Agentes do Processo;

2) Configuração adequada da ferramenta de testes de avaliação;

3) Capacidade da tecnologia ao identificar o máximo de reais vulnerabilidades exploráveis em cada teste (sem FP);

4) Capacidade do Admin do processo ao avaliar os resultados e obter informações adicionais se necessário;

5) Capacidade dos desenvolvedores ao interpretar corretamente as recomendações de segurança, e realizar as melhorias.

O Sistema redesegura suporta os usuários no domínio destes fatores críticos de sucesso de seu processo...

Slide 8/12

Uso do Sistema redeseguraMetodologia recomendada na implantação do Processo

Definição das URLs

Parametrizaçãoda política de

testes

Acompanhamento da Execução

Coleta e Análise de Relatórios

Aplicações Web;

e-commerce, Portais Web;

Home Bank, Home

Padrões de teste;

� OWASP Top 10

� OWASP Top 3

SANS/FBI

Relatórios Auditoria;

� Gerencial

� Técnico Geral

Aplicação

Sinalização Eventos:

� Inicio

� Fim

Vulnerabilidades

Do !Plan...

Gere

ncia

mento

de

Vuln

era

bilid

ades

Home Bank, Home Broker, etc;

Navegação com usuário (Log ID);

Macros orientam o navegador autom.;

Em produção e emhomologação;

Limites da licença de uso como serviço.

� SANS/FBI

� PCI-DSS

Customização;

Definições de;

� Início

� Periodicidade

� Falsos positivos

� Aplicação

� Seqüência de teste

Evidências;

� Refs. técnicas

� Recomendações

Suporte Técnico ao desenvolvedor;

Base de Conhecimento

� Vulnerabilidades+graves

Dashboard no Portal;

Integração:

� SMS, e-mail

� Service Desk

realizar as recomendações de segurança

Slide 9/12

CicloPDCA

Act !

Check... .Gere

ncia

mento

Vuln

era

bilid

ades

Uso do Sistema redeseguraBenefícios do Processo com uso do nosso Sistema

� O uso do redesegura avalia critérios de segurança no ciclo de vida das aplicações web desde o desenvolvimento;

� O monitoramento contínuo de ameaças permite antecipação ao risco de ataques que afetariam o negócio;

� O sucesso do processo de avaliação e melhorias não depende de � O sucesso do processo de avaliação e melhorias não depende de competências individuais;

� Integra equipes multidisciplinares em um ciclo de melhoria da segurança;

� Transfere conhecimento sobre segurança de software para a equipe de desenvolvedores;

� Promove um avanço no grau de Gestão da Segurança de TI, enquanto mantém os recursos existentes...

Slide 10/12

Uso do Sistema redeseguraGrau de Maturidade em Gestão da Segurança de TI

Sistema de Gerenciamento de Vulnerabilidades

• Processo centralizado e continuado de avaliação;

• Automação de tarefas e padronização de testes;

• Indicadores de risco e análise de resultados históricos;

• Independência de competências individuais;

• Segurança em todo o Ciclo de Vida da Aplicação web;

Gestão de Processo

de Segurança

Gra

u de

Mat

urid

ade

na G

estã

o da

Seg

uran

ça d

a In

form

ação

+ +

PROATIVO

OTIMIZADO

Suporte Técnico Especializado

• Profissionais Certificados: CISSP, ISSAP, CSSLP, CISM...

• Análise do resultado dos testes de avaliação;

• Consultas sobre as recomendações de segurança;

• Segurança em todo o Ciclo de Vida da Aplicação web;

Serviços de Consultoria

em Segurança

Avaliação reativa ou incidental

Gra

u de

Mat

urid

ade

na G

estã

o da

Seg

uran

ça d

a In

form

ação

-

Software N-Stalker Web App Scanner• Ferramenta de testes de avaliação de segurança• Testes com 39.000 assinaturas de ataques web

+COMPLIANCE

REATIVO

Slide 11/12

Departamento Comercial

Tel: +55 (11) 3044-1819

e-mail: contato@redesegura.com.br

visite: www.redesegura.com.br

Veja também nossa apresentação sobre a auditoria do

Selo “Website Protegido”...

Autor: Eduardo Lanna