O Processo de Gerenciamento de Vulnerabilidades em Aplicações Web

Transcrição

1 Slide Show nº 2 O Processo de Gerenciamento de Vulnerabilidades em Aplicações Web Autor: Eduardo Lanna rev. 05/jan/11

2 Segurança de Aplicações Web Função do risco de ataque a um Sistema e suas variáveis?? (agente malicioso + vulnerabilidade + padrão de ataque) Fonte: Para mitigar riscos... esteja sempre à frente das ameaças!!!! (Gartner) Identificar as vulnerabilidades permite antecipa-se ao risco de ataques!!! Gerenciá-las cria um ciclo de monitoramento e de melhoria contínuos... Slide 2/12

3 Desafios da GSI nas Aplicações Web Certificar-se da Segurança no Ciclo de Vida da aplicação Estágios do Software Development Life Cycle (SDLC) Introdução de critérios de Segurança no ciclo de Desenvolvimento Planejamento do Projeto Definição de Requisitos Design Codificação (programação) Integração & Testes Instalação & Aceitação Há recomendações de segurança em cada etapa do SDLC... Testes de avaliação de Vulnerabilidades O processo de Gerenciamento de Vulnerabilidades certifica as ações de segurança adotadas no curso do SDLC Slide 3/12

4 Desafios da GSI nas Aplicações Web Testar Vulnerabilidades no Ciclo de Vida da Aplicação QA de Segurança no Desenvolvimento Critérios de segurança foram incluídos no ciclo do desenvolvimento... Testar a cada intervenção sobre o código do aplicativo, logo após os testes funcionais, precedendo a aceitação final Certificação de Segurança da aplicação web na sua homologação Metodologia de testes: Static Application Security Test (SAST) Monitoramento do Risco em Produção Segurança de infra não basta se as aplicações web apresentarem vulnerabilidades exploráveis... Testar periodicamente avalia a segurança da aplicação, mantendo baixo o nível de risco em produção (atualização periódica de ataques) Manutenção da Segurança na Gestão de Mudanças e de Incidentes Metodologia de testes: Dynamic Application Security Test (DAST) Slide 4/12

5 Desafios da GSI nas Aplicações Web Definir uma estratégia e planejar ações práticas... "Segurança não é um produto que se pode comprar de prateleira, mas que consiste de políticas, pessoas, processos e tecnologia (Kevin Mitinik IT Security Specialist) Uma ferramenta por si só não pode resolver o que fundamentalmente é um problema de processo no desenvolvimento (Neil MacDonald Gartner Group) Gerenciamento de Vulnerabilidades Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende, e não há sucesso no que não se gerencia (William Edwards Deming) Slide 5/12

6 Desafios da GSI nas Aplicações Web A estratégia para o Gerenciamento de Vulnerabilidades A estratégia de Gestão da Segurança da Informação (GSI) deve abordar todos os elementos de um processo SSG: People Process Strategy SAST/DAST Metodology N-Stalker Technology Gerenciamento de Vulnerabilidades em Aplicações Web Slide 6/12

7 Recomendações de Segurança Uso do Sistema redesegura Gerenciamento de Vulnerabilidades em Aplicações Web Desenvolvedores Security Officer SSG Processo de Gestão Vulnerabilty Database SSL Scan Engine Metodologias: SAST/DAST V-Test Web Server Suporte Téc. Especializado ao Desenvolvedor (CSSLP) Home Banking Home Broker e-commerce Conteúdo Corporativo: CRM, ERP, RH... Apoio a Decisão Slide 7/12

8 Uso do Sistema redesegura Fatores críticos de SUCESSO do processo de melhorias 1) O Software Security Group: papel dos Agentes do Processo; 2) Configuração adequada da ferramenta de testes de avaliação; 3) Capacidade da tecnologia ao identificar o máximo de reais vulnerabilidades exploráveis em cada teste (sem FP); 4) Capacidade do Admin do processo ao avaliar os resultados e obter informações adicionais se necessário; 5) Capacidade dos desenvolvedores ao interpretar corretamente as recomendações de segurança, e realizar as melhorias. O Sistema redesegura suporta os usuários no domínio destes fatores críticos de sucesso de seu processo... Slide 8/12

9 Uso do Sistema redesegura Metodologia recomendada na implantação do Processo Definição das URLs Parametrização da política de testes Acompanhamento da Execução Coleta e Análise de Relatórios Gerenciamento de Vulnerabilidades Aplicações Web; e-commerce, Portais Web; Home Bank, Home Broker, etc; Navegação com usuário (Log ID); Macros orientam o navegador autom.; Em produção e em homologação; Limites da licença de uso como serviço. Padrões de teste; Plan... OWASP Top 10 OWASP Top 3 SANS/FBI PCI-DSS Customização; Definições de; Início Act! Periodicidade Falsos positivos Ciclo PDCA Sinalização Eventos: Inicio Fim Do! Vulnerabilidades +graves Dashboard no Portal; Integração: SMS, Service Desk Check.... Relatórios Auditoria; Gerencial Técnico Geral Aplicação Seqüência de teste Evidências; Refs. técnicas Recomendações Suporte Técnico ao desenvolvedor; Base de Conhecimento realizar as recomendações de segurança Slide 9/12

10 Uso do Sistema redesegura Benefícios do Processo com uso do nosso Sistema O uso do redesegura avalia critérios de segurança no ciclo de vida das aplicações web desde o desenvolvimento; O monitoramento contínuo de ameaças permite antecipação ao risco de ataques que afetariam o negócio; O sucesso do processo de avaliação e melhorias não depende de competências individuais; Integra equipes multidisciplinares em um ciclo de melhoria da segurança; Transfere conhecimento sobre segurança de software para a equipe de desenvolvedores; Promove um avanço no grau de Gestão da Segurança de TI, enquanto mantém os recursos existentes... Slide 10/12

11 Uso do Sistema redesegura Grau de Maturidade em Gestão da Segurança de TI OTIMIZADO PROATIVO COMPLIANCE REATIVO + Grau de Maturidade na Gestão da Segurança da Informação - Sistema de Gerenciamento de Vulnerabilidades Processo centralizado e continuado de avaliação; Automação de tarefas e padronização de testes; Indicadores de risco e análise de resultados históricos; Independência de competências individuais; Segurança em todo o Ciclo de Vida da Aplicação web; Suporte Técnico Especializado Profissionais Certificados: CISSP, ISSAP, CSSLP, CISM... Análise do resultado dos testes de avaliação; Consultas sobre as recomendações de segurança; Software N-Stalker Web App Scanner Ferramenta de testes de avaliação de segurança Testes com assinaturas de ataques web + + Gestão de Processo de Segurança Serviços de Consultoria em Segurança Avaliação reativa ou incidental Slide 11/12

12 Departamento Comercial Tel: +55 (11) visite: Veja também nossa apresentação sobre a auditoria do Selo Website Protegido... Autor: Eduardo Lanna