(2) O Processo de Gerenciamento de Vulnerabilidades Web

1,226 views

Published on

O processo de Gerenciamento de Vulnerabilidades é uma melhor prática que permite avaliar e manter a segurança de aplicações web em todo o seu ciclo de vida, desde o desenvolvimento, até seu uso em produção.

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,226
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
3
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

(2) O Processo de Gerenciamento de Vulnerabilidades Web

  1. 1. Slide Show nº 2 O Processo de Gerenciamento de Vulnerabilidades em Aplicações WebAutor: Eduardo Lanna rev. 05/jan/11
  2. 2. Segurança de Aplicações Web Função do risco de ataque a um Sistema e suas variáveis ? ? (agente malicioso + vulnerabilidade + padrão de ataque) Fonte: www.owasp.orgPara mitigar riscos... esteja sempre à frente das ameaças!!!! (Gartner)Identificar as vulnerabilidades permite antecipa-se ao risco de ataques!!!Gerenciá-las cria um ciclo de monitoramento e de melhoria contínuos... Slide 2/12
  3. 3. Desafios da GSI nas Aplicações Web Certificar-se da Segurança no Ciclo de Vida da aplicaçãoEstágios do Software Development Life Cycle (SDLC)Introdução de critérios de Segurança no ciclo de DesenvolvimentoPlanejamento Definição de Codificação Integração & Instalação & “Design” do Projeto Requisitos (programação) Testes AceitaçãoHá recomendações de segurança em cada etapa do SDLC... Testes de avaliação de VulnerabilidadesO processo de Gerenciamento de Vulnerabilidades certificaas ações de segurança adotadas no curso do SDLC Slide 3/12
  4. 4. Desafios da GSI nas Aplicações Web Testar Vulnerabilidades no Ciclo de Vida da AplicaçãoQA de Segurança no Desenvolvimento Critérios de segurança foram incluídos no ciclo do desenvolvimento... Testar a cada intervenção sobre o código do aplicativo, logo após os testes funcionais, precedendo a aceitação final Certificação de Segurança da aplicação web na sua homologação Metodologia de testes: Static Application Security Test (SAST)Monitoramento do Risco em Produção Segurança de “infra” não basta se as aplicações web apresentarem vulnerabilidades exploráveis... Testar periodicamente avalia a segurança da aplicação, mantendo baixo o nível de risco em produção (atualização periódica de ataques) Manutenção da Segurança na Gestão de Mudanças e de Incidentes Metodologia de testes: Dynamic Application Security Test (DAST) Slide 4/12
  5. 5. Desafios da GSI nas Aplicações Web Definir uma estratégia e planejar ações práticas..."Segurança não é um produto que se pode comprar de prateleira, mas que consiste de políticas, pessoas, processos e tecnologia” (Kevin Mitinik – IT Security Specialist) “Uma ferramenta por si só não pode resolver o que fundamentalmente é um problema de processo no desenvolvimento” (Neil MacDonald – Gartner Group) “Não se gerencia o que não se mede, ½ Gerenciamento de não se mede o que não se define, ½ Vulnerabilidades não se define o que não se entende, ½ e não há sucesso no que não se gerencia” ½ (William Edwards Deming) Slide 5/12
  6. 6. Desafios da GSI nas Aplicações Web A estratégia para o Gerenciamento de Vulnerabilidades“A estratégia de Gestão da Segurança da Informação (GSI) deve abordar todos os elementos de um processo” SSG: People Process Strategy SAST/DAST N-Stalker Metodology Technology Gerenciamento de Vulnerabilidades em Aplicações Web Slide 6/12
  7. 7. Uso do Sistema redesegura Gerenciamento de Vulnerabilidades em Aplicações WebRecomendações de Segurança Vulnerabilty Database Home Banking Home BrokerDesenvolvedores e-Commerce SSL Conteúdo V-Test Scan Engine Corporativo: Security Officer Web Server CRM, ERP, RH... “SSG” Metodologias: Apoio a Decisão SAST/DAST Processo de Gestão Suporte Téc. Especializado ao Desenvolvedor (CSSLP) Slide 7/12
  8. 8. Uso do Sistema redesegura Fatores críticos de SUCESSO do processo de melhorias1) O Software Security Group: papel dos Agentes do Processo;2) Configuração adequada da ferramenta de testes de avaliação;3) Capacidade da tecnologia ao identificar o máximo de reais vulnerabilidades exploráveis em cada teste (sem FP);4) Capacidade do Admin do processo ao avaliar os resultados e obter informações adicionais se necessário;5) Capacidade dos desenvolvedores ao interpretar corretamente as recomendações de segurança, e realizar as melhorias. O Sistema redesegura suporta os usuários no domínio destes fatores críticos de sucesso de seu processo... Slide 8/12
  9. 9. Uso do Sistema redesegura Metodologia recomendada na implantação do Processo Parametrização Definição das Acompanhamento Coleta e Análise da política de URLs da Execução de Relatórios testes Aplicações Web; Padrões de teste; Sinalização Eventos: Relatórios Auditoria; Plan...Gerenciamento de e-commerce, OWASP Top 10 Inicio GerencialVulnerabilidades Portais Web; OWASP Top 3 Técnico Geral Do ! Fim Home Bank, Home SANS/FBI Aplicação Broker, etc; Vulnerabilidades PCI-DSS +graves Seqüência de teste Navegação com usuário (Log ID); Customização; Ciclo Dashboard no Portal; Evidências; Macros orientam o PDCA Definições de; Integração: Refs. técnicas navegador autom.; Início SMS, e-mail Recomendações Em produção e em Act ! Periodicidade Service Desk Suporte Técnico ao homologação; desenvolvedor; Falsos positivosCheck... . Limites da licença de Base de Conhecimento uso como serviço. realizar as recomendações de segurança Slide 9/12
  10. 10. Uso do Sistema redesegura Benefícios do Processo com uso do nosso SistemaO uso do redesegura avalia critérios de segurança no ciclo de vida dasaplicações web desde o desenvolvimento;O monitoramento contínuo de ameaças permite antecipação ao risco deataques que afetariam o negócio;O sucesso do processo de avaliação e melhorias não depende decompetências individuais;Integra equipes multidisciplinares em um ciclo de melhoria da segurança;Transfere conhecimento sobre segurança de software para a equipe dedesenvolvedores;Promove um avanço no grau de Gestão da Segurança de TI, enquantomantém os recursos existentes... Slide 10/12
  11. 11. Uso do Sistema redesegura Grau de Maturidade em Gestão da Segurança de TI + +OTIMIZADO Sistema de Gerenciamento de Vulnerabilidades Gestão de Grau de Maturidade na Gestão da Segurança da Informação • Processo centralizado e continuado de avaliação; • Automação de tarefas e padronização de testes; Processo • Indicadores de risco e análise de resultados históricos; de SegurançaPROATIVO • Independência de competências individuais; • Segurança em todo o Ciclo de Vida da Aplicação web; Suporte Técnico Especializado + Serviços de Consultoria • Profissionais Certificados: CISSP, ISSAP, CSSLP, CISM...COMPLIANCE • Análise do resultado dos testes de avaliação; em • Consultas sobre as recomendações de segurança; Segurança Software N-Stalker Web App Scanner Avaliação REATIVO • Ferramenta de testes de avaliação de segurança reativa ou • Testes com 39.000 assinaturas de ataques web incidental - Slide 11/12
  12. 12. Departamento Comercial Tel: +55 (11) 3044-1819 e-mail: contato@redesegura.com.br visite: www.redesegura.com.br Veja também nossa apresentação sobre a auditoria do Selo “Website Protegido”...Autor: Eduardo Lanna

×