Contato

Para entrar em contato conosco utilize o formulário abaixo, ou encaminhe sua solicitação a um de nossos escritórios conforme seu interesse:

{chronocontact}contato{/chronocontact}

Publicações e Referências Técnicas

Conheça mais sobre o N-Stalker WAS através das diversas publicações técnicas internacionais que o referenciam  como ferramenta “best tool” para testes de avaliação de vulnerabilidades em ambientes de aplicações web:

books-privacy-defended-protecting-yourself-online
“Privacy Defended Protecting Yourself Online”

  books-intelligent-systems-design-applications
“Intelligent Systems Design and Applications”

by Gary Bahadur, William Chan, Chris Weber Que – 2002, 640 pages by Ajith Abraham, Katrin Franke, Mario Köppen – Computers, 2003, 632 pages – In: Proceedings of the Summer Usenix Conference. (1990) 4.
books-web-hacking-attacks-and-defense
“Web Hacking: Attacks and Defense”

books-web-security-portable-referevce
“Web Security Portable Reference”
by Stuart McClure, Saumil Shah, Shah Shreeraj, Shah Saumil – 2002, 528 pages by Mike Shema
books-apache-security
“Apache Security”

books-what-all-network-admin-knows
“What All Network Administrators Know”

(O’reilly) – Apache Security – by Ivan Ristic – 2005, 396 pages by Douglas Chick – Computers, 2003 , 114 pages
books-network-security-assessment
“Network Security Assessment” (O’reilly)

books-hacking-the-it-cube-information-tech
“Hacking the I.t. Cube: The Information Technology Survival Guide”

by Chris R. McNab – 2004, 396 pages by Douglas Chick – Computers, 2006, 300 pages
books-steal-this-computer-book4.0
“Steal This Computer Book 4.0: What They Won’t Tell You about the Internet”
books-guia-do-hacker-brasileiro
“Guia do Hacker Brasileiro”

by Wallace Wang – 2006, 376 pages de Marcos Flávio Araújo Assunção
books-systems-modeling-and-simulation
“Systems Modeling And Simulation: Theory and applications: third Asian Simulation”

winner_sd_award_09-2-36638

“Best IT Security Tools & Software 2009”

 Conference – by Doo-Kwon. Baik, Computers, 2005 – 733 pages

SECURITY-DATABASE, 2009 edition – 12 pages


Estratégia de Gestão de Vulnerabilidades Web

vulnerabilities-management-process-strategy-redesegura-1Uma ferramenta por si só não pode resolver o que fundamentalmente é um problema de processo no desenvolvimento (Neil MacDonald – Gartner Group).

Para solucionar o problema da segurança das aplicações web é necessário atuar na sua fonte, que está na falta de critérios de segurança durante o ciclo de desenvolvimento de software adotado pela empresa, ou contratado de terceiros.

Ou seja, não basta adquirir uma ferramenta de testes e colocá-la nas mãos da equipe de segurança de TI, e achar que isso resolverá tudo.

Segurança não é um produto que se pode comprar de prateleira, mas que consiste de políticas, pessoas, processos e tecnologia (Kevin Mitinik). 

Para que se alcancem resultados consistentes a partir de uma política de segurança de software, a estratégia da empresa deve incluir algum planejamento para integrar com sucesso os três elementos essenciais do Processo de Gerenciamento de Vulnerabilidades:

  • Pessoas: definir o grupo de segurança de software, que são todos os profissionais envolvidos no processo de melhoria da segurança das aplicações web. Os serviços de Suporte Técnico Especializado do RedeSegura suportará este grupo, que ainda poderá contar com outras atividades contratadas através de Managed Security Services.
  • Tecnologia: adotar uma ferramenta eficiente para executar testes de avaliação de segurança nas aplicações e nos servidores web com recursos de gerenciamento de processo. O Sistema RedeSegura é a solução mais completa da N-Stalker para atender aos desafios do requisito tecnologia.
  • Metodologia: definir os ambientes a serem testados, as oportunidades de teste, análise de resultados, o encaminhamento dos relatórios, e acompanhamento das melhorias. O Sistema RedeSegura atende tanto às metodologias de Static Application Security Test (SAST), como de Dynamic Application Secutiry Test (DAST), o que permitirá alcançar resultados mais rápidos e consistentes para a segurança das aplicações web.

Gerenciar Vulnerabilidades permite identificar falhas de segurança antes de um Agente Malicioso, e, ao promover ações imediatas de melhoria no desenvolvimento, a empresa antecipa-se ao risco de ataques a partir das aplicações web.

O planejamento deste processo deverá, evidentemente, levar em conta o tamanho da empresa, a quantidade e a complexidade das aplicações web, os indicadores de nível de risco admitidos, a equipe de desenvolvimento, as demais competências internas, as oportunidades de testes, e finalmente os custos envolvidos e o orçamento total de segurança.

O Sistema RedeSegura foi concebido para atender ao processo de testes estáticos e dinâmicos com flexibilidade, simultaneidade, e escalabilidade, abrangendo assim uma grande variedade de cenários possíveis no Gerenciamento de Vulnerabilidades do ambiente de aplicações web.

Adicionalmente, o pacote de serviços Managed Security Services (MSS) pode complementar as competências necessárias para atender aos requisitos do projeto de segurança de software de sua empresa.

Assista ao nosso vídeo-2 no menu de vídeo-apresentações e veja como abordamos este tema.

 

Desafios exigem paradigma de SI

A necessidade de um novo paradigma para a segurança de informação foi o tema do painel de abertura do Security Leaders, evento sobre segurança da informação com o objetivo de debater os desafios de negócios e oportunidades do setor. A primeira apresentação foi feita por Gabi Reish, Head of Network Security Product Management da Check Point.

Leia Mais

Questionar sobre a Segurança

faq-executive-asking-questionsPerguntas sobre a segurança podem parecer incômodas, mas elas levam a pensar sobre a eficiência das ações que sua empresa ou seus fornecedores adotam, ou que ainda precisam adotar para que se possa alcançar melhores resultados na segurança do ambiente das aplicações web.

O desafio é definir quais questões serão mais relevantes para os gestores do negócio. 

Aqui listamos algumas perguntas que sugerimos fazer antes de iniciar qualquer projeto de desenvolvimento de aplicações, principalmente quando houver equipes de terceiros:

  • Qual é sua estratégia de atualização de patches de segurança?
  • Com que frequência são feitos testes para a avaliação de segurança?
  • Como é seu processo de resposta a vulnerabilidades quando são identificadas?
  • Em quanto tempo os desenvolvedores restauram a segurança do sistema com falhas?
  • Que tipo de treinamento em segurança a equipe de desenvolvimento recebe?
  • Como a segurança é endereçada em cada fase do ciclo de vida do desenvolvimento de software (requisitos, design, codificação, aceitação e implementação)?
  • Sua empresa contrata serviços especializados para avaliar a segurança de suas aplicações?
  • Qual a qualificação do recursos profissionais que respondem pela segurança das aplicações web?

Se estas não são provavelmente as únicas questões a serem levantadas, ao menos o exercício de análise das respostas já permitirá identificar outras que possam ser relevantes para a sua empresa.

Afinal, o objetivo é obter aplicações web mais seguras para que a organização não fique exposta ao risco de ataques sobre seus ativos a partir deste ambiente, correto?


Para obter Aplicações Web mais Seguras

Considerando-se os riscos que as aplicações web podem apresentar ao ambiente de negócios, como conseqüência da forma como são concebidas, é essencial que as empresas adotem melhores práticas que permitam desenvolver e manter suas aplicações web mais seguras.

O objetivo das melhores práticas é alcançar um nível de segurança em conformidade com a importância da operação, respeitando-se normas e padrões de segurança de mercado exigidos (compliance), e atendendo as expectativas de segurança dos usuários finais.

Nossas recomendações visam complementar as práticas já consolidadas de segurança de infra-estrutura física e lógica, e devem ser endereçadas prioritariamente de modo pró-ativo e preventivo, e não apenas de modo reativo, motivado por algum incidente de segurança.

Exaustivos estudos comprovam que tratar os problemas de segurança de forma tardia e por incidentes resulta em custos mais elevados (de 4 a 10 vezes), além de prolongar o tempo necessário para a execução de melhorias, o que aumenta os riscos naturais de exposição do negócio a ataques de Agentes Maliciosos. Logo, quanto mais cedo forem introduzidos critérios de segurança em todo o ciclo de vida das aplicações web, mais fácil será otimizar o tempo e os custos do processo de desenvolvimento, e de segurança.

O processo de Gerenciamento de Vulnerabilidades em Aplicações Web com o Sistema RedeSegura, quando adotado, contribui significativamente para a redução destes riscos, e também dos custos com investimentos em segurança no médio e longo prazo.

Veja algumas recomendações que fazemos nesta seção para que sua empresa consiga manter suas aplicações web mais seguras, e perceba quanto o uso do Sistema RedeSegura poderá colaborar com este objetivo:

O conteúdo desta seção teve como fonte principal o material divulgado por entidades internacionais que abordam de forma responsável o tema da segurança de software, complementado pela nossa equipe de Consultoria. Conheça mais sobre estas fontes em nossa seção sobre Modelos de Maturidade em Segurança.