Perguntas Mais Frequentes

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web é um assunto que vem ganhando importância nos últimos anos, mas ainda é uma novidade para muitos profissionais das áreas de segurança da informação e de desenvolvimento de software para a web.

Estas são algumas questões que temos respondido muito frequentemente em nossas relações com empresas interessadas no assunto, e que achamos importante listar para ajudar a esclarecer alguns temas relacionados com a oferta do Sistema RedeSegura.

Para esclarecermos outras perguntas, não hesite em nos contactar:

» Sobre o Processo de Gerenciamento de Vulnerabilidades:

1.) Qual a diferença entre Testes de Vulnerabilidade e um processo de Gerenciamento ?

Teste de vulnerabilidades em aplicações web é uma tarefa realizada a partir do uso de uma ferramenta de avaliação de segurança, como uma ferramenta de webscanning (por exemplo, o N-Stalker WAS), que deve ser manuseada por um profissional qualificado para parametrizar os testes, aplicá-los, e analisar seus resultados.

O Gerenciamento de Vulnerabilidades é um processo que inclui estas mesmas tarefas, mas que vai além deste ponto ao prever a administração de novas atividades organizadas em um fluxo operacional de avaliações e melhorias.

Entre estas atividades está o encaminhamento de relatórios aos agentes desenvolvedores com as recomendações de melhoria que eliminam as vulnerabilidades, o Suporte Técnico necessário para apoiar seu entendimento, e, assim que realizadas as melhorias, a realização de novos testes de validação do nível de segurança alcançado, isso tudo em um ciclo completo de tarefas organizadas em um fluxo padronizado de melhoria contínua (PDCA).

O Sistema RedeSegura suporta o Gerenciamento de Vulnerabilidades com recursos adicionais importantes para todos os participantes deste processo, integrando equipes multifuncionais em torno de uma política de segurança de software, que é mantida pela continuidade do processo (saiba mais…).

2.) O que são testes de vulnerabilidades estáticos (SAST) e testes dinâmicos (DAST)?

São metodologias de uso que orientam a realização dos testes de avaliação, e diferem basicamente quanto ao ambiente testado, e a regularidade com que são executados os testes:Static Application Security Test (SAST) é um a metodologia de testes pontuais comumente realizados na homologação de critérios de segurança em processos de aceitação da entrega do desenvolvimento. Podem também ser realizados em ambiente de produção motivados por uma ação investigativa, ou reativa perante um incidente de segurança.Dynamic Application Security Test (DAST) é uma metodologia de testes recorrentes, que podem ser automatizados por ferramentas mais inteligentes, e que visam avaliar os níveis de segurança dos ambientes de produção periódica e continuamente, monitorando os indicadores de risco de ataques ao negócio. Permite ações imediatas de restauração da segurança promovendo a antecipação à possibilidade de um ataque pela web (saiba mais…).

3.) Quais os benefícios de um processo de Gerenciamento de Vulnerabilidades?

Ao adotando um processo sua empresa estará indo muito além de simplesmente adquirir uma ferramenta, ou transferir responsabilidades de segurança a terceiros. Como se trata de um ciclo de melhorias baseado no conceito de melhoria contínua PDCA (Plan, Do, Check, and Act), o processo envolverá e integrará equipes das áreas de infraestrutura de TI, de segurança da informação e de desenvolvimento em torno de uma estratégia única de segurança, o que inclui a definição de papéis e vários pontos de medição de indicadores, além do acompanhamento de resultados pelos seus gestores.Quando um processo se estabelece de foma bem sucedida, ele se torna independente de competências individuais, e sobreviverá ao turnover muito comum da área de tecnologia, mantendo-se pelo desenvolvimento de novas competências e o aprendizado contínuo.Certamente sua empresa não terá estes benefícios se não analisar o problema da segurança de software como sendo um problema de outro processo que ocorre no desenvolvimento, e isso não se resolve com a aquisição de ferramentas ou máquinas (saiba mais…).

4.) Posso implantar o processo usando apenas uma ferramenta de “webscanning” e minha equipe técnica?

A estratégia de um processo de segurança exige a definição prévia de políticas a serem seguidas, e o planejamento para integrar pessoas, metodologia operacional e tecnologia.Você pode até fazer isso com o uso do Sofwtare N-Stalker WAS e uma equipe técnica qualificada para uso adequado desta ferramenta, mas ao avaliar fatores como o cenário de seu ambiente web, a quantidade de aplicações e servidores, o tamanho das equipes de desenvolvimento, a freqüência com que são promovidas mudanças neste cenário, o tamanho e a qualificação da equipe técnica de segurança que manterá seu processo conforme a metodologia de testes necessária, bem, provavelmente, os custos de propriedade (TCO) de seu processo serão mais elevados, enquanto a sua eficiência pode não corresponder no mesmo sentido. Isso impactará no seu cálculo de retorno do investimento (ROI).O primeiro passo é entender o cenário de cada empresa que é único, e então avaliar as possibilidades para adotar um projeto de segurança de software na medida adequada, e de modo que alcance uma cobertura o mais ampla possível com os recurtsos disponívels.Consulte nossos artigos sobre qual a melhor solução para seu caso antes de decidir o caminho de seus investimentos (saiba mais…).

5.) Minha equipe de desenvolvimento é terceirizada. Como devo integrá-los ao meu processo?

Bem, um dos fatores críticos de sucesso de um processo de Gerenciamento de Vulnerabilidades é a capacidade da equipe de desenvolvimento em resolver as falhas de segurança identificadas de forma rápida, sem introduzir novas falhas, e sem reincidir nos mesmos problemas futuramente.Mesmo sendo terceirizado o desenvolvimento, seus fornecedores poderão beneficiar-se dos recursos de Suporte Técnico do Sistema RedeSegura para esclarecer eventuais dúvidas sobre as recomendações de segurança indentificadas nos testes. Basta que seja criado um usuário para o Gerente de Projeto da equipe de desenvolvimento, e ele terá acesso remoto ao painel do Sistema para analisar os resultados dos testes, solicitar suporte técnico, e, opcionalmente, comandar testes manuais de validação das melhorias se sua empresa assim desejar.Temos também uma licença de uso temporária para atender a estes casos de testes de QA no desenvolvimento, que é a licença de Web App Check up, o que evita que este acesso remoto dure mais que o tempo necessário para resolver aquela falha específica. Adicionalmente, o Gestor Técnico do processo terá sempre a opção de enviar ao desenvolvedor apenas os relatórios de teste em formato PDF, caso seja esta sua melhor escolha.O mais importante é que o uso continuado do Sistema RedeSegura promoverá a maturidade de segurança de software na equipe de desenvolvimento, local ou terceirizada.

 

» Sobre a oferta de uso do Sistema RedeSegura

1.) Adotando o RedeSegura não precisaremos investir em firewall, ou em SSL?

Seus investimentos em segurança de infraestrutura devem estar de acordo com sua política de segurança de TI, e devem ser mantidos conforme recomendam as melhores práticas e regulações de mercado para seu negócio.

O Sistema RedeSegura complementa suas iniciativas de segurança na medida em que cobre a área da segurança de software, que normalmente é negligenciada pelos esforços da segurança na área de infraestrutura.

O que o RedeSegura faz é testar e avaliar continuamente a segurança de aplicações web apontando as vulnerabilidades que elas podem apresentar por decorrência dos processos e métodos usados em seu desenvolvimento, assim como nas alterações promovidas no ambiente de implantação (deployment), ou como conseqüência de novas formas de ataque pela internet que possam surgir. Trata-se de monitorar e avaliar o surgimento de novas brechas na segurança a partir da exposição da interface de negócios pelas aplicações web.

As iniciativas de segurança de infraestrutura são obrigatórias, e atuam sobre os ativos da rede e de TI. As iniciativas de processo de segurança de software são ações preventivas sobre vulnerabilidades exploráveis que não são detectatas pelas ações de segurança em infraestrutura, logo, complementares.

Note: de nada adiantará sua empresa investir em elevados recursos de segurança de infraestrutura, se suas aplicações web apresentarem vulnerabilidades exploráveis (saiba mais…).

2.) Preciso ter especialistas em segurança de software para usar o RedeSegura?

Sua empresa pode adotar o Sistema RedeSegura e com isso iniciar de forma rápida e eficiente um projeto de segurança de software com a equipe técnica que tiver disponível. Nossa oferta de licenciamento como um serviço (SaaS) permitirá o planejamento de um processo de Gerenciamento de Vulnerabilidades na exata medida de sua necessidade, e envolverá os recursos profissionais que sua empresa já tiver na área de segurança, pois o serviço inclui o Suporte Técnico especializado de uma equipe Certificada em Segurança de Software.

Além disso, sempre que necessário, no dimensionamento da oferta pode ser incluído um pacote de Managed Security Services (MSS), o que complementar sua capacidade de administrar e realizar as tarefas mais especializadas do processo.

Os profissionais de segurança e de desenvolvimento da sua empresa serão treinados nos recursos do Sistema RedeSegura e em conceitos de segurança de software, o que desenvolve novas competências na equipe, enquanto as tarefas mais especializadas são mantidas pelo nosso Suporte Técnico (saiba mais…).

3.) Como tratar os Falsos Positivos que recursos de teste Black Box normalmente apontam?

A parametrização correta e centralizada de um teste de vulnerabilidades é um dos principais fatores de sucesso que conduzem a uma análise mais precisa. A tecnologia N-Stalker adotada no Sistema RedeSegura possui recursos avançados que já reduzem bastante a identificação de falsos positivos (FP), mas indicar alguns FP é natural para qualquer tecnologia de testes Black Box, pois isso orienta, no mínimo, uma segunda análise mais detalhada de cada caso.

Se um profissional simplesmente marcasse um determinado resultado dos testes de vulnerabilidade como um FP, toda vez que o recurso de testes encontrasse aquele resultado ele descartaria a vulnerabilidade, e ela não seria apontada nos relatórios, ou seja, nunca seria tratada. Por isso, ao marcar um FP pelo painel do Sistema RedeSegura, o usuário na verdade abrirá uma consulta para nossa equipe de Suporte Técnico, que, após analisar o resultado, poderá confirmar o FP como tal, ou retornará uma resposta orientando o usuário para reconsiderar sua solicitação, justificando tecnicamente o motivo.

Desta forma garantimos que falsos positivos tenham sempre uma segunda opinião certificada em segurança de software antes de serem considerados nos resultados finais dos testes.

4.) Já fazemos testes White Box no desenvolvimento. Por que usar o Sistema RedeSegura?

Ferramentas de White Box e de Black Box são recursos que atendem a métodos complementares para obter melhor qualidade nas entregas do desenvolvedor, e uma não substitui a outra. Testes White Box analisam a qualidade do código escrito pelo desenvolvedor em seções parciais da aplicação, evitando que no curso do desenvolvimento sejam introduzidas falhas de segurança ou de codificação.

 Apesar de também identificar falhas no código que poderiam implicar em vulnerabilidades de segurança como o Cross Site Script ou Command Injection Flaws, ferramentas White Box não avaliam a aplicação pronta, ou seja, o código executável em seu ambiente de produção, que é como a aplicação se apresentará ao final para os usuários no ambiente de negócios da web.

O Sistema RedeSegura adota a tecnologia de testes Black Box do N-Stalker, e consegue simular ataques HTTP sobre a interface da aplicação web simulando as interações de um usuário, experimentando entradas e que seriam usadas por um agente malicioso, e analisando as respostas geradas pelo servidor da aplicação. Isso uma feramenta de White Box não faz. Além disso, nossos testes Black Box também avaliam a segurança do ambiente de implementação da aplicação (deployment),  o que inclui a segurança dos servidores de produção, e o surgimento de novas formas de ataque.

Logo, se sua empresa tem usado testes de avaliação White Box nas etapas do desenvolvimento, ela ainda assim deverá considerar o uso complementar de testes de avaliação Black Box na etapa final da entrega (Quality Assurance), e também para monitorar o ambiente de produção (Monitoramento de Risco de novas vulnerabilidades).

Não obstante, o uso de ferramentas Black Box para obter e manter aplicações mais seguras tem se comprovado uma maneira mais rápida e menos custosa de alcançar melhores resultados.

5.) A N-Stalker vende o Selo “Website Protegido” para Lojas Virtuais de e-Commerce?

Nem a N-Stalker e nem a Rede Segura Tecnologia vendem Selos de “percepção” de segurança para estimular aumento de vendas no segmento de e-Commerce.

Para os provedores de plataformas de e-Commerce propomos que sejam adotadas políticas eficientes de segurança no ciclo de desenvolvimento de suas aplicações web oferecidas como Lojas Virtuais, a partir do uso do Sistema RedeSegura para sustentar seu processo de Gerenciamento de Vulnerabilidades como melhor prática.

O Selo “Website Protegido” é um serviço da equipe de especialistas da N-Stalker que audita a conformidade do processo de segurança adotado pelo Cliente Licenciado do RedeSegura, ou seja, avaliamos se nossos clientes realizam com eficiência o ciclo completo de melhorias em seu processo. Estes Clientes, que no caso podem ser as fábricas de software ou os desenvolvedores de plataformas de e-Commerce, podem, opcionalmente, exibir o nosso Selo “Website Protegido” como um diferencial de mercado, e podem explorar comercialmente esta imagem mediante uma relação de parceria com a Rede Segura Tecnologia.

Por isso, se você vir um site com o selo “Website Protegido by N-Stalker”, saiba que se trata de uma certificação proprietária de melhores práticas de segurança de software para o desenvolvedor daquela tecnologia, e não apenas um caso de “percepção” de segurança (saiba mais…).

 

» Sobre as exigências para a Certificação PCI-DSS:

 1.) O Sistema RedeSegura substitui os testes trimestrais de um ASV ou a avaliação do QSA?

A Rede Segura Tecnologia não é, por enquanto, uma Entidade Certificadora PCI Compliance, porque este não é o objetivo de nosso negócio. Para certificar a conformidade da empresa com o PCI são avaliados localmente as evidências das 12 recomendações do PCI-DSS, bem como o resultado de vários indicadores de segurança recomendados, e existem consultorias e provedores de serviços certificados pelo PCI que já fazem isso.

Mas os custos com a Certificação PCI serão altos se sua empresa apenas contratá-los quando for obrigatório, sem manter um processo de segurança de software e as outras melhores práticas recomendadas pelo PCI ao longo do tempo. Além disso, o uso do Sistema RedeSegura suportará as seções 6, 11 e 12 das recomendações do PCI-DSS (saiba mais…).

Com o RedeSegura sua empresa adotará um processo para obter e manter suas aplicações web mais seguras segundo as recomendações OWASP e PCI-DSS, de modo que, ao buscar a Certificação PCI Compliance, este seja apenas um processo administrativo formal de atendimento à Entidade Reguladora do PCI Council, sem surpresas, riscos, ou gastos inesperados.

O Sistema RedeSegura também pode ser adotado por qualquer provedor ASV ou QSA como um de seus recursos de tecnologia para avaliar as evidências que comprovam a aderência da sua empresa ao requisitos do PCI-DSS.

2.) O Sistema RedeSegura faz testes de vulnerabilidades em infraestrutura?

Nosso Sistema RedeSegura foi concebido para ser uma plataforma de Gerenciamento de Vulnerabilidades para o ambiente que sustentam a aplicação web. Na versão 2010 executamos testes de vulnerabilidades a partir da simulação de ataques HTTP, além de verificar vulnerabilidades do servidor que sustenta a aplicação web, tudo baseado na tecnologia N-Stalker WAS como plataforma de testes de avaliação.

No mercado de tecnologia já estão disponíveis várias ferramentas de testes de vulnerabilidades em infraestrutura como plataforma “open source” que são muito utilizadas com sucesso por empresas de variados portes, haja vista o fato de que segurança em infraestrutura é um tema muito mais maduro que a segurança de software.

Para aumentar a capacidade de testes de avaliação de segurança do Sistema RedeSegura como uma plataforma única de Gerenciamento de Vulnerabilidades, já está previsto para lançamento em 2011 a sua integração com mais uma tecnologia mundial orientada para testes de vulnerabilidades em ambiente de infraestrutura, a partir de varredura (scan) de IP’s da sua rede.

Entre em contato conosco para obter mais informações sobre este novo conjunto de funções que está em desenvolvimento para o Sistema RedeSegura.

3.) Para que usar o RedeSegura se meu provedor de e-Commerce atende ao PCI?

Para certificar-se de que seu provedor de tecnologia de e-Commerce atende aos requisitos do PCI-DSS é preciso ir um pouco além das apresentações de pré-vendas, ou da linguagem de marketing usada para convencer sua empresa de que a equipe de desenvolvimento dele adota algumas práticas de segurança.

Se sua empresa é grande e/ou já tem políticas de segurança claras, pode já ter se precavido contratualmente para transferir parte do risco que as falhas de segurança representam para seu negócio. Mas se sua empresa é pequena, ou ainda procura soluções de segurança no mercado, seu risco já pode ser maior. Em qualquer hipótese, acreditar puramente que o desenvolvedor de e-Commerce proverá sempre soluções seguras é um mito (saiba mais…).

A decisão de adotar um sistema para avaliar a segurança do ambiente de negócios na web é exclusivamente da empresa que gerencia o negócio, e é uma forma de medir continuamente a capacidade que seu provedor de tecnologia tem de gerenciar falhas de segurança no curso da operação, mesmo que as condições contratuais não deixem dúvidas sobre isso, pois o cenário de ataques pela internet é muito dinâmico.

Além do mais, as avaliações de Certificação do PCI são anuais… enquanto o surgimento de novas formas de ataques à aplicações web é diário. De que outra forma sua empresa poderia antecipar-se ao risco de ataques se não adotar, no mínimo, testes de vulnerabilidades periodicamente?

4.) O Selo “Website Protegido” atende ao PCI-DSS?

Não existem Selos de Certificação PCI-DSS oficialmente reconhecidos pelo PCI Council, e nem entidades oficiais que possam certificar a aderência ao requisitos do PCI-DSS com apenas testes remotos de vulnerabilidades sobre as aplicações web.

Observe que as recomendações do PCI-DSS são um conjunto de 12 itens agrupados em 6 seções distintas, e que algumas delas não podem ser avaliadas por uma ferramenta de testes de vulnerabilidades tipo “Black Box”, como fazem as plataformas que propõem o uso destes selos de “percepção” de segurança, mais presentes em sites de e-Commerce (saiba mais…).

Logo, seja cuidadoso com a oferta de selos de “percepção” de segurança, pois o objetivo da maioria destes provedores é orientado para o aumento de vendas das lojas virtuais, o que é meramente comercial, enquanto negligenciam o atendimento aos objetivos de segurança das áreas de tecnologia, de risco ou “compliance”.

Estas outras áreas buscam a proteção do patrimônio de sua empresa com ações efetivas de gestão do risco operacional, e, no mínimo, precisam atender a regulamentações externas de mercado, como o PCI-DSS.