Slide Show nº 4

Comparando nossas soluções:

- uso do Software N-Stalker WAS

- uso do Sistema RedeSegura

rev. 05/jan/11Autor: Eduardo Lanna

� Estágios do Software Development Life Cycle (SDLC)

Introdução de critérios de Segurança no ciclo de Desenvolvimento

Desafios da GSI em Aplicações Web Certificação da Segurança no Ciclo de Vida da Aplicação

Instalação & Aceitação

Integração & Testes

Codificação(programação)

“Design”Definição de Requisitos

Planejamentodo Projeto

� Testes de vulnerabilidades devem ser realizados durante todo o ciclo de vida da aplicação web, desde o seu desenvolvimento.

Há recomendações de segurança em cada etapa do SDLC...

Testes de avaliação de Vulnerabilidades

Slide 2/11

� QA de Segurança no Desenvolvimento� Critérios de segurança foram incluídos no ciclo do desenvolvimento...

� Testar a cada intervenção sobre o código do aplicativo, logo após os testes funcionais, precedendo a aceitação final

� Certificação de Segurança da aplicação web na sua homologação

� Metodologia: Static Application Security Test (SAST)

Metodologia de aplicação de TestesQuando e como testar vulnerabilidades

� Metodologia: Static Application Security Test (SAST)

� Monitoramento do Risco em Produção� Segurança de “infra” não basta se as aplicações web apresentarem

vulnerabilidades exploráveis...

� Testar periodicamente avalia a segurança da aplicação, mantendo baixo o nível de risco em produção (atualização periódica de ataques)

� Manutenção da Segurança na Gestão de Mudanças e de Incidentes

� Metodologia: Dynamic Application Security Test (DAST)

Slide 3/11

Definindo a tecnologia para os testesDiferenciais Tecnológicos N-Stalker

� Framework exclusivo de “Web Application Security Scanner” orientado a componentes (patente requerida no BR e USA)

� 39.000 assinaturas de ataques HTTP: a maior base de ataques web

� Mecanismo de “macro” para de fluxo orientado de navegação e/ouautenticação de usuário: testes alcançam todas as URLsautenticação de usuário: testes alcançam todas as URLs

� Regras automáticas para eliminação de Falsos Positivos

� Execução de Javascripts, e outras características exclusivas

� A tecnlogia N-Stalker é reconhecida como “top tool” de segurança porvárias publicações internacionais especializadas

� O N-Stalker WAS é a plataforma (engine) de testes do redesegura

Slide 4/11

Uso de um software de webscanningTarefa: testes de avaliação de vulnerabilidades

Home Banking

Home Broker

e-Commerce

ConteúdoTestes de avaliação de Vulnerabilidades

E quando o volume de aplicações cresce?E se houver mais de um ambiente web?

Desenvolvedor

Corporativo: CRM, ERP, RH...

Conteúdo

Apoio a Decisão

Web Server

de Vulnerabilidades

Como gerenciar um processo recorrente de testes de vulnerabilidades? (definir, medir, analisar resultados e orientar mel horias)

Como garantir padrões e periodicidade?Como documentar os indicadores?

Segurança de TI

Slide 5/11

Uso de um software de webscanningTarefa: testes de avaliação de vulnerabilidades

Home Banking

Home Broker

e-Commerce

ConteúdoTestes de avaliação de Vulnerabilidades

Num cenário mais complexo... os riscos são maiores!

Corporativo: CRM, ERP, RH...

Conteúdo

Apoio a Decisão

Web ServerSegurança de TI

de Vulnerabilidades

A equipe é qualificada o suficiente?

Como tratar o resultado dos testes?

O sucesso da segurança fica dependente de competências individuais...

Slide 6/11

Uso de Sistema de Gestão de SegurançaProcesso de Gerenciamento de Vulnerabilidades

Home Banking

Home Broker

e-CommerceDesenvolvedores

Recomendações de Segurança

SSL

VulnerabiltyDatabase

Corporativo: CRM, ERP, RH...

Conteúdo

Apoio a Decisão

Web ServerSecurity Officer

V-Test

Processo de Gestão

Scan Engine

Metodologias: SAST/DAST

Suporte Téc. Especializado ao Desenvolvedor (CSSLP)

“SSG”

Slide 7/11

Recomendando o Software N-Stalker WASTarefa de testes de avaliação de vulnerabilidades

� Melhor ferramenta de webscanningde vulnerabilidades: testes estáticos

� Uso para QA de Segurança no Desenvolvimento

� Avaliações em ambiente de � Avaliações em ambiente de produção: reativas ou ocasionais

� Requer Competência Profissional em Segurança de Software

� Em ambientes mais complexos e maior volume de testes fica difícil gerenciar o processo e resultados...

Slide 8/11

Recomendando o Sistema redeseguraProcesso de Gerenciamento da Segurança de Aplicações

� Utiliza a tecnologia do N-Stalker WAS:

� Metodologia de testes estáticos (SAST) e dinâmicos (DAST)

� Uso para QA do Desenvolvimento, e Monitoramento de Risco em Produção

powered by

Ciclo

Do !Plan...

Monitoramento de Risco em Produção

Slide 9/11

� Inclui Suporte Técnico Especializado em Segurança de Software (LUSaaS)

� Sistema de Gerenciamento centralizado: integra equipes multidisciplinares em um processo preventivo de melhoria contínua da Segurança das Aplicações web...

CicloPDCA

Act !

Check... .

O que definirá a sua escolha:A estratégia de seu projeto de segurança de software

SSG:People

“A estratégia de Gestão da Segurança da Informação ( GSI) deve abordar todos os elementos do processo”

Planejar, dimensionar e integrar cada grupo de recursos!

Quantidade de aplicações web, variedade, e risco.

O custo total de propriedade (TCO) do projeto de se gurança costuma ser menor com o uso do Sistema redesegura ...

People

SAST/DAST

MetodologyN-Stalker

Technology

ProcessStrategy

Slide 10/11

cada grupo de recursos!

O custo de um recurso pode ser afetado pelo dimensionamento dos demais...

Departamento Comercial

Tel: +55 (11) 3044-1819

e-mail: contato@redesegura.com.br

visite: www.redesegura.com.br

Visite nosso site, e consulte-nos

sobre qual a melhor solução para a

segurança de suas aplicações web!

Autor: Eduardo Lanna