Este documento discute o processo de gerenciamento de vulnerabilidades em aplicações web, incluindo desafios, etapas e benefícios. Ele descreve como testar vulnerabilidades ao longo do ciclo de vida do desenvolvimento de software e como monitorar riscos em produção, e recomenda o uso do sistema RedeSegura para apoiar esse processo.
Curso para Planejamento do Projeto NFe Pelo Contribuinte (KeySupport)
(2) O Processo de Gerenciamento de Vulnerabilidades Web
1. Slide Show nº 2
O Processo de
Gerenciamento de Vulnerabilidades
em Aplicações Web
Autor: Eduardo Lanna rev. 05/jan/11
2. Segurança de Aplicações Web
Função do risco de ataque a um Sistema e suas variáveis
? ?
(agente malicioso + vulnerabilidade + padrão de ataque)
Fonte: www.owasp.org
Para mitigar riscos... esteja sempre à frente das ameaças!!!! (Gartner)
Identificar as vulnerabilidades permite antecipa-se ao risco de ataques!!!
Gerenciá-las cria um ciclo de monitoramento e de melhoria contínuos...
Slide 2/12
3. Desafios da GSI nas Aplicações Web
Certificar-se da Segurança no Ciclo de Vida da aplicação
Estágios do Software Development Life Cycle (SDLC)
Introdução de critérios de Segurança no ciclo de Desenvolvimento
Planejamento Definição de Codificação Integração & Instalação &
“Design”
do Projeto Requisitos (programação) Testes Aceitação
Há recomendações de segurança em cada etapa do SDLC...
Testes de avaliação
de Vulnerabilidades
O processo de Gerenciamento de Vulnerabilidades certifica
as ações de segurança adotadas no curso do SDLC
Slide 3/12
4. Desafios da GSI nas Aplicações Web
Testar Vulnerabilidades no Ciclo de Vida da Aplicação
QA de Segurança no Desenvolvimento
Critérios de segurança foram incluídos no ciclo do desenvolvimento...
Testar a cada intervenção sobre o código do aplicativo, logo após os
testes funcionais, precedendo a aceitação final
Certificação de Segurança da aplicação web na sua homologação
Metodologia de testes: Static Application Security Test (SAST)
Monitoramento do Risco em Produção
Segurança de “infra” não basta se as aplicações web apresentarem
vulnerabilidades exploráveis...
Testar periodicamente avalia a segurança da aplicação, mantendo baixo
o nível de risco em produção (atualização periódica de ataques)
Manutenção da Segurança na Gestão de Mudanças e de Incidentes
Metodologia de testes: Dynamic Application Security Test (DAST)
Slide 4/12
5. Desafios da GSI nas Aplicações Web
Definir uma estratégia e planejar ações práticas...
"Segurança não é um produto que se pode comprar de prateleira, mas que
consiste de políticas, pessoas, processos e tecnologia”
(Kevin Mitinik – IT Security Specialist)
“Uma ferramenta por si só não pode resolver o que fundamentalmente é
um problema de processo no desenvolvimento”
(Neil MacDonald – Gartner Group)
“Não se gerencia o que não se mede, ½
Gerenciamento de não se mede o que não se define, ½
Vulnerabilidades não se define o que não se entende, ½
e não há sucesso no que não se gerencia” ½
(William Edwards Deming)
Slide 5/12
6. Desafios da GSI nas Aplicações Web
A estratégia para o Gerenciamento de Vulnerabilidades
“A estratégia de Gestão da Segurança da Informação (GSI)
deve abordar todos os elementos de um processo”
SSG:
People
Process
Strategy
SAST/DAST N-Stalker
Metodology Technology
Gerenciamento de Vulnerabilidades em
Aplicações Web
Slide 6/12
7. Uso do Sistema redesegura
Gerenciamento de Vulnerabilidades em Aplicações Web
Recomendações de Segurança
Vulnerabilty
Database
Home Banking
Home Broker
Desenvolvedores
e-Commerce
SSL
Conteúdo
V-Test
Scan Engine Corporativo:
Security Officer Web Server CRM, ERP, RH...
“SSG”
Metodologias: Apoio a Decisão
SAST/DAST
Processo de Gestão
Suporte Téc. Especializado
ao Desenvolvedor (CSSLP)
Slide 7/12
8. Uso do Sistema redesegura
Fatores críticos de SUCESSO do processo de melhorias
1) O Software Security Group: papel dos Agentes do Processo;
2) Configuração adequada da ferramenta de testes de avaliação;
3) Capacidade da tecnologia ao identificar o máximo de reais
vulnerabilidades exploráveis em cada teste (sem FP);
4) Capacidade do Admin do processo ao avaliar os resultados e
obter informações adicionais se necessário;
5) Capacidade dos desenvolvedores ao interpretar corretamente as
recomendações de segurança, e realizar as melhorias.
O Sistema redesegura suporta os usuários no domínio
destes fatores críticos de sucesso de seu processo...
Slide 8/12
9. Uso do Sistema redesegura
Metodologia recomendada na implantação do Processo
Parametrização
Definição das Acompanhamento Coleta e Análise
da política de
URLs da Execução de Relatórios
testes
Aplicações Web; Padrões de teste; Sinalização Eventos: Relatórios Auditoria;
Plan...
Gerenciamento de
e-commerce, OWASP Top 10 Inicio Gerencial
Vulnerabilidades
Portais Web; OWASP Top 3 Técnico Geral
Do !
Fim
Home Bank, Home SANS/FBI Aplicação
Broker, etc; Vulnerabilidades
PCI-DSS +graves Seqüência de teste
Navegação com
usuário (Log ID); Customização;
Ciclo Dashboard no Portal; Evidências;
Macros orientam o PDCA
Definições de; Integração: Refs. técnicas
navegador autom.; Início SMS, e-mail Recomendações
Em produção e em Act !
Periodicidade Service Desk Suporte Técnico ao
homologação; desenvolvedor;
Falsos positivosCheck... .
Limites da licença de Base de Conhecimento
uso como serviço.
realizar as recomendações de segurança
Slide 9/12
10. Uso do Sistema redesegura
Benefícios do Processo com uso do nosso Sistema
O uso do redesegura avalia critérios de segurança no ciclo de vida das
aplicações web desde o desenvolvimento;
O monitoramento contínuo de ameaças permite antecipação ao risco de
ataques que afetariam o negócio;
O sucesso do processo de avaliação e melhorias não depende de
competências individuais;
Integra equipes multidisciplinares em um ciclo de melhoria da segurança;
Transfere conhecimento sobre segurança de software para a equipe de
desenvolvedores;
Promove um avanço no grau de Gestão da Segurança de TI, enquanto
mantém os recursos existentes...
Slide 10/12
11. Uso do Sistema redesegura
Grau de Maturidade em Gestão da Segurança de TI
+ +
OTIMIZADO Sistema de Gerenciamento de Vulnerabilidades
Gestão de
Grau de Maturidade na Gestão
da Segurança da Informação • Processo centralizado e continuado de avaliação;
• Automação de tarefas e padronização de testes;
Processo
• Indicadores de risco e análise de resultados históricos;
de
Segurança
PROATIVO • Independência de competências individuais;
• Segurança em todo o Ciclo de Vida da Aplicação web;
Suporte Técnico Especializado + Serviços de
Consultoria
• Profissionais Certificados: CISSP, ISSAP, CSSLP, CISM...
COMPLIANCE • Análise do resultado dos testes de avaliação; em
• Consultas sobre as recomendações de segurança; Segurança
Software N-Stalker Web App Scanner Avaliação
REATIVO • Ferramenta de testes de avaliação de segurança reativa ou
• Testes com 39.000 assinaturas de ataques web incidental
-
Slide 11/12
12. Departamento Comercial
Tel: +55 (11) 3044-1819
e-mail: contato@redesegura.com.br
visite: www.redesegura.com.br
Veja também nossa apresentação
sobre a auditoria do
Selo “Website Protegido”...
Autor: Eduardo Lanna