Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web

1,551
-1

Published on

Este slideshow dá uma idéia clara do que é o Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web, e da oferta de uso do Sistema RedeSegura que desenvolvo em parceria com a N-Stalker. As aplicações web são o maior alvo de ataques maliciosos nos últimos tempos, e segundo o Gartner (2009) 75% dos problemas de segurança na internet já são atribuídos às aplicações web. Isso se deve, entre outros fatores, à integração de várias tecnologias e objetos usados na construção das aplicações web, e a falta de requisitos de segurança no processo do desenvolvedor. Não basta Segurança de Rede se as aplicações tiverem vulnerabilidades exploráveis por hackers maliciosos. Os riscos para alguns segmentos de negócio são muito elevados, como no mercado financeiro, serviços, e-commerce, e sites de conteúdo de informação que apóiam decisão, além de sistemas corporativos como CRM, ERPs, RH, etc.
Teste e Análise de Vulnerabilidades em Aplicação e servidores web vem sendo uma prática para incrementar as políticas de segurança da informação (GSI) das empresas que dependem da internet para realizar seus negócios sem riscos para seus Clientes e Parceiros, e dar credibilidade às suas marcas, além de estimular um ambiente de negócios mais seguro na internet.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,551
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web

  1. 1. por: Eduardo Lanna +11 3044-1819 ou +11 8138-4400 eduardo.lanna@redesegura.com.br Parceria estratégica com a N-Stalker Gerenciamento de Vulnerabilidades nas Aplicações Web rev. 20/out/10
  2. 2. Quem são redesegura e N-Stalker ? Especialista em Segurança de Aplicações Web Empresa Brasileira fundada em 2000 Especializada em Segurança de Aplicações Web Desenvolvedora do sistema de “webscanning” N-Stalker Tecnologia própria com patente requerida no BR (INPI) e EUA (USPTO) Reconhecimento Técnico Mais de 12 publicações internacionais especializadasMais de 12 publicações internacionais especializadas Maior banco de assinaturas de ataques web do mercado (+39.000) Sistema “compliance” com Melhores Práticas Inspeciona e certifica a segurança segundo padrões internacionais PCI, OWASP, SANS/FBI, ISO-27002, ISO-15408, SOx, BACEN 3380 redesegura é um empreendimento inovador de serviços lançado pela N-Stalker após 10 anos de experiência em segurança web
  3. 3. Clientes da Tecnologia Utilizando N-Stalk e redesegura Bank Of America ● British Petroleum ● British Telecom ● Deloitte & Touche Ernest & Young ● George Washington University ● Hewlett Packard ● IBM ● KPMG ● Nasa Northrop Grumman ● PricewaterhouseCoopers ● Riverside Publishing ● Royal Air Force ● Siemens Sun Microsystems ● US Chemical Safety and Hazard Investigation Board US Department of Energy ● US General Services Administration ● US Navy ● Verizon Wireless UK Police Force The World Bank EUROPEAN CENTRAL BANK
  4. 4. Porque se preocupar? Aplicações Web estão mais humanizadas Normalização da tecnologia Padrões abertos, Web 2.0 Exposição de APIs Reutilização de componentes (SOAP)Reutilização de componentes (SOAP) “Remote Scripting” (AJAX) Desacoplamento/Apresentação Cenário de negócios na Web Mais aplicações e informações críticas estão na Web todo dia A velocidade de evolução de lançamentos de negócios na Web supera os esforços com a segurança.
  5. 5. Porque se preocupar ? Quando sistemas Web sustentam o seu negócio... A operação do negócio é dependente de sistemas web? Sistemas de negócio estão expostos externamente para parceiros e clientes via extranets ou serviços Internet... Falta a incorporação de requisitos de segurança nasFalta a incorporação de requisitos de segurança nas funcionalidades e no processo de desenvolvimento: Falta de cultura de Segurança da Informação no desenvolvedor. Capacidade técnica (skill) da equipe de desenvolvimento. Limitação de recursos leva a priorização dos requisitos funcionais. O dilema prazo X custo: “a irresistível vontade de sair fazendo...”
  6. 6. Porque se preocupar? Problemas de Segurança na Internet desde 2007 Mais da metade dos problemas está relacionada às Aplicações Web Das vulnerabilidades identificadas entre 2006 e 2008, entre 40% e 50% ainda não haviam sido resolvidas pelos fabricantes até 2009! (IBM) Item com Problemas Falhas típicas de Aplicações Web As aplicações web já representam 75% (Gartner 2009)
  7. 7. Porque se preocupar? A maior incidência de vulnerabilidades está aqui... Maiores ameaças Maiores iniciativas Ambiente da Aplicação Web: Mais de 20 categorias de vulnerabilidades
  8. 8. Porque se preocupar? Hackers atacam preferencialmente aplicações web porque é lá que as vulnerabilidades mais exploráveis estão presentes. Crimes pela web oferecem menor risco e maior lucratividade... Fazer negócio com segurança está tornando-se obrigatório Diferentes indústrias criam regulações como medida prevençãoDiferentes indústrias criam regulações como medida prevenção A maioria das regulações seguem melhores práticas “de fato”: PCI – Payment Card Industry Basel II (BACEN 3.380) Mercado de Capitais – (SOX, Bovespa Nível II – Selo PQO) Desde 2009, a manutenção de melhores práticas de segurança para Aplicações Web é mandatório para o padrão PCI.
  9. 9. Por que se preocupar? Os 12 Requerimentos do PCI em 6 categorias As 6 Categorias # Os 12 Requerimentos do PCI-DSS 1 Instalar e manter uma configuração de firewall para proteger os dados do portador de cartão. 2 Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança. 3 Proteger os dados armazenados do portador de cartão 4 Codificar a transmissão dos dados do portador de cartão em redes abertas e públicas O uso do Sistema redesegura atende aos requerimentos 6, 11 e 12 do PCI-DSS: Construir e Manter uma Rede Segura Proteger os Dados do Portador de Cartão 5 Usar e atualizar regularmente o software antivírus 6 Desenvolver e manter sistemas e aplicativos seguros 7 Restringir o acesso aos dados do portador de cartão de acordo com a necessidade de divulgação dos negócios 8 Atribuir um ID exclusivo para cada pessoa que tenha acesso a uma computador 9 Restringir o acesso físico aos dados do portador de cartão 10 Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do portador do CC 11 Testar regularmente os sistemas e processos de segurança da informação Manter uma Política de Segurança das Informações 12 Manter um política que aborde a segurança das informações Manter um Programa de Gerenciamento de Vulnerabilidades Implementar Medidas de Controle de Acesso Rigorosas Monitorar e Testar as Redes Regularmente
  10. 10. Por que se preocupar ? Mapeamento OWASP Top 10 (2010) Fonte: http://www.owasp.org A lista Top 10 é dinâmica: A6 e A8 são novas ameaças identificadas no período anterior de pesquisa da Open Web Application Security Project.
  11. 11. Gestão da Segurança da Informação - GSI Ações integradas para mitigar riscos fato 1: as pessoas não possuem hábitos seguros... fato 2: vulnerabilidades existem em todos os elementos de um sistema de negócios (pessoas, processos, e tecnologia) fato 3: aplicações web são vulneráveis por definição O Framework de Segurança requer ações integradas em: Pessoas e identidade: cultura orientada para a segurança, monitoramento e gerenciamento de identidade, etc. Rede e Infra-estrutura de TI: uso de IDS/DLP, Firewall, monitor em Banco de Dados, servidores, end-points, etc. Infra-estrutura física do ambiente de negócios Aplicações e Processos de Negócio Gerenciamento de Vulnerabilidades na Aplicação Web
  12. 12. Gestão da Segurança da Informação - GSI Vulnerabilidades existem em todos os sistemas Função do risco de ataque a um sistema: (Agente malicioso + vulnerabilidade + vetor de ataque) ? ? Identificar e Gerenciar Vulnerabilidades minimiza os riscos! Este é o objetivo da Gestão da Segurança da Informação Para mitigar riscos... esteja à frente das ameaças!!!
  13. 13. Desafios da GSI nas Aplicações Web Testar Vulnerabilidades no Ciclo de Vida da Aplicação QA de Segurança no Desenvolvimento (em homologação) As aplicações devem incluir critérios de segurança desde o desenvolvimento Testar a cada atualização, manutenção, ou criação sobre o aplicativo, logo depois dos testes funcionais Etapa adicional da fábrica de testes precedendo a aceitação final Certificação de Segurança da Aplicação Web na homologação Monitoramento do Risco em Produção Segurança de Rede não basta se as aplicações web tiverem vulnerabilidades exploráveis Monitoramento contínuo para avaliar a segurança da aplicação Nível do risco é mantido baixo (atualização periódica de ataques) Manutenção da Segurança na Gestão de Mudanças e de Incidentes
  14. 14. Uso do Sistema redesegura Processo tradicional de testes de vulnerabilidades Home Banking Home Broker e-Commerce Conteúdo Testes de Vulnerabilidades E quando o volume de aplicações cresce? E se houver mais de um ambiente de infra? Corporativo: CRM, ERP, RH... Conteúdo Apoio a Decisão Web ServerSegurança de TI Vulnerabilidades Como gerenciar um processo recorrente de testes de vulnerabilidades? (definir, medir, padronizar, analisar resultados e melhorias) Como garantir padrões e periodicidade? Como documentar os indicadores?
  15. 15. Uso do Sistema redesegura Processo tradicional de testes de vulnerabilidades Home Banking Home Broker e-Commerce Conteúdo Testes de Vulnerabilidades Num cenário mais complexo... os riscos são maiores! Corporativo: CRM, ERP, RH... Conteúdo Apoio a Decisão Web ServerSegurança de TI Vulnerabilidades A equipe é qualificada o suficiente? Como tratar o resultado dos testes? E ainda há o risco das “ilhas de conhecimento...”
  16. 16. Gestão da Segurança da Informação - GSI Definir, fazer, medir, e atuar na melhoria... “Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende, e não há sucesso no que não se gerencia”e não há sucesso no que não se gerencia” (William Edwards Deming) Vide: Planejamento Estratégico da Segurança da Informação (Infosec Council – 2010)
  17. 17. Uso do Sistema redesegura Gerenciamento de Vulnerabilidades em Aplicações Web Home Banking Home Broker e-Commerce Conteúdo Desenvolvedores Recomendações de Segurança SSL Vulnerabilty Database Corporativo: CRM, ERP, RH... Conteúdo Apoio a Decisão Web ServerSecurity Officer V-Test O Gerenciamento de Vulnerabilidades “As a Service” é um acelerador para alcançar resultados rápidos e consistentes Processo de Gestão Scan Engine Tecnologia N-Stalker
  18. 18. Uso do Sistema redesegura Grau de Maturidade em Gestão da Segurança de TI Sistema de Gerenciamento da Segurança • Processo continuado de avaliação; • Automação de tarefas e padronização de testes; • Indicadores de risco e análise de resultados históricos; • Independência de competências individuais; • Segurança em todo o Ciclo de Vida da Aplicação web; Gestão de Processo de Segurança GraudeMaturidadenaGestão daSegurançadaInformação + + Suporte Técnico Especializado • Equipe Certificada: CISSP, ISSAP, CSSLP, CISM, etc. • Análise dos resultadso dos testes de avaliação; • Consultas sobre recomendações de segurança; • Segurança em todo o Ciclo de Vida da Aplicação web; Serviços de Consultoria em Segurança Avaliação reativa ou incidental GraudeMaturidadenaGestão daSegurançadaInformação - Software N-Stalker Web Application Scanner • Ferramenta de testes de avaliação de segurança • Testes com 39.000 assinaturas de ataques web +
  19. 19. Uso do Sistema redesegura Gerenciamento de Vulnerabilidades na Aplicação Web Definição das URLs Parametrização da política de testes Acompanhamento da Execução Coleta e Análise de Relatórios Aplicações Web; e-commerce, Portais Web; Home Bank, Home Padrões de teste; OWASP Top 10 OWASP Top 3 SANS/FBI Relatórios Auditoria; Gerencial Técnico Geral Aplicação Gerenciamentode Vulnerabilidades Sinalização Eventos: Inicio Fim Vulnerabilidade Home Bank, Home Broker, etc; Navegação com usuário (Log ID); Macros orientam o navegador robotiz.; Em produção e em homologação; Limites da licença de uso como serviço. SANS/FBI PCI-DSS Customização; Definições de; Início Periodicidade Falsos positivos Aplicação Seqüência de teste Evidências; Refs tecnicas Recomendações Suporte Técnico ao desenvolvedor; Treinamento sobre vulnerabilidades. Gerenciamento Vulnerabilidades Vulnerabilidade grave Dashboard no Portal; Integração: SMS, e-mail Service Desk realizar as recomendações de segurança
  20. 20. Uso do Sistema redesegura Fatores críticos para o SUCESSO do processo de melhoria 1) Configuração adequada do sistema de testes de avaliação da segurança da aplicação web; 2) Capacidade do sistema de testes em identificar o máximo de vulnerabilidades exploráveis em cada avaliação; 3) Capacidade do Admin do processo em avaliar os resultados obtidos, e obter informações adicionais se necessário; 4) Capacidade da equipe de desenvolvimento em interpretar corretamente as recomendações de segurança; O redesegura suportará o processo do Cliente em todos estes 4 fatores críticos de sucesso, mas faltará ainda um fator...
  21. 21. Uso do Sistema redesegura Fatores críticos para o SUCESSO do processo de melhoria 5) Capacidade de reação do desenvolvedor ao executar as melhorias necessárias para mitigar o risco: No menor espaço de tempo possível; De maneira definitiva, sem introduzir novas falhas; Aprendendo a não reincidir nas falhas de segurança;Aprendendo a não reincidir nas falhas de segurança; A capacitação da equipe de desenvolvimento é o principal fator de sucesso para o ciclo de melhoria da segurança da aplicação web O redesegura cria e desenvolve estas competências ao transferir conhecimentos para a equipe, garantindo o sucesso do processo.
  22. 22. Uso do Sistema redesegura Gerenciamento de Vulnerabilidades na Aplicação Web Definição das URLs Parametrização da política de testes Acompanhamento da Execução Coleta e Análise de Relatórios Aplicações Web; e-commerce, Portais Web; Home Bank, Home Padrões de teste; OWASP Top 10 OWASP Top 3 SANS/FBI Relatórios Auditoria; Gerencial Técnico Geral Aplicação Sinalização Eventos: Inicio Fim Vulnerabilidade Do Plan Gerenciamentode Vulnerabilidades Home Bank, Home Broker, etc; Navegação com usuário (Log ID); Macros orientam o navegador robotiz.; Em produção e em homologação; Limites da licença de uso como serviço. SANS/FBI PCI-DSS Customização; Definições de; Início Periodicidade Falsos positivos Aplicação Seqüência de teste Evidências; Refs tecnicas Recomendações Suporte Técnico ao desenvolvedor; Treinamento sobre vulnerabilidades. Vulnerabilidade grave Dashboard no Portal; Integração: SMS, e-mail Service Desk realizar as recomendações de segurança Ciclo PDCA Act Check Gerenciamento Vulnerabilidades
  23. 23. Uso do Sistema redesegura Benefícios do Processo com uso do nosso Sistema O uso do redesegura introduz critérios de segurança no ciclo de vida das aplicações web desde o desenvolvimento; O monitoramento contínuo das ameaças via web permite antecipar-se ao risco de ataques que afetariam o negócio; Gerenciamento de Vulnerabilidades cria um avanço no grau de Gestão da Segurança de TI com os recursos existentes; Promove a transferência de conhecimento sobre segurança de aplicações web para a equipe de desenvolvedores; Elimina ilhas de conhecimento: o processo de segurança e de melhorias não depende de competências individuais.
  24. 24. Planejando a implantação do Processo Modelo de Referência – Monitoramento em Produção MSS MSS 80 100 120 Etapas do Projeto de Gerenciamento de Vulnerabilidades Appliance (H) Evolução natural do processoServidores redesegura V-Test V-Test V-Test Support Support Support MSS 0 20 40 60 Ativação Etapa 1 Etapa 2 ...Maturidade WebAppSetup AçõesCorretivas AçõesCorretivas melhorias
  25. 25. O Sistema redesegura Diferenciais de Serviços e da Equipe de Suporte O redesegura é “compliance” com recomendações de melhores práticas: ISO-15408, ISO-27001, ISO-27002, BACEN, SOx, e PCI-DSS. Suporte Técnico ao Desenvolvedor, e treinamento de usuários nas vulnerabilidades mais incidentes. Equipe Técnica qualificada e certificada em Segurança da Informação: ISC2 CISSP – Certified Information System Security Professional; ISC2 ISSAP – Information System Security Architect Professional; ISC2 CSSLP - Certified Secure Software Lifecycle Professional; CISM – Certified Information Security Manager; CompTIA Security+: Competency in system security, network infrastructure, access control and organizational security; GAWN SANS - GIAC Assessing Wireless Networks
  26. 26. Entregáveis redesegura Portal Web com Dashboard Acesso ao sistema de Métricas e Avaliação Dashboard com indicativos e métricas do processo de segurança Acompanhamento em tempo real do nível de maturidade Repositório de Relatórios e Centro de Suporte Técnico on-line
  27. 27. Entregáveis redesegura Customização e Integração com Sistemas de TI Possibilidades de Customização do Sistema: Formato de apresentação do Dashboard, e/ou de gráficos; Personalização de modelos de relatórios de testes; Criação de novas funcionalidades e/ou recursos de teste; Integração com outros Sistemas de Gestão de TI, como:Integração com outros Sistemas de Gestão de TI, como: Sistemas de gestão de incidentes, para abrir “tickets” dirigidos à equipe de desenvolvimento; Sistemas de gestão de SLA, para medir indicadores de desempenho acordados com a fábrica de software terceirizada; Sistemas de ALM (Application Life-cycle Management), para abertura de “tickets” para correção de vulnerabilidades e guarda de evidências
  28. 28. Consultoria em Segurança da Aplicação web Serviços Complementares redesegura Managed Security Services (MSS): Gestão e Operação de todo o processo com uso do Sistema redesegura; Teste de Vulnerabilidade e Análise “on demand” da Segurança em Aplicações Web (Web Security Check-up); Consultoria em Segurança da Arquitetura da Aplicação; Teste e Análise: Web Security Check-up + Consulting Report Avaliação do ambiente de infra-estrutura dos Servidores Web Recomendações de ação de melhoria e controles de conformidade “Pen Test” sobre ambiente da aplicação e/ou infra-estrutura Interno/Ext., geral ou orientado, engenharia social, war dialling, etc.

×