Gerenciamento de Vulnerabilidades

Uma ferramenta por si só não pode resolver o que fundamentalmente é um problema de processo no desenvolvimento (Neil MacDonald – Gartner Group).

Para solucionar o problema da segurança das aplicações web é necessário atuar na sua fonte, que está na falta de critérios de segurança durante o ciclo de desenvolvimento de software adotado pela empresa, ou contratado de terceiros.

Ou seja, não basta adquirir uma ferramenta de testes e colocá-la nas mãos da equipe de segurança de TI, e achar que isso resolverá tudo.

Segurança não é um produto que se pode comprar de prateleira, mas que consiste de políticas, pessoas, processos e tecnologia (Kevin Mitinik).

Para que se alcancem resultados consistentes a partir de uma política de segurança de software, a estratégia da empresa deve incluir algum planejamento para integrar com sucesso os três elementos essenciais do Processo de Gerenciamento de Vulnerabilidades:

Pessoas: definir o grupo de segurança de software, que são todos os profissionais envolvidos no processo de melhoria da segurança das aplicações web. Os serviços de Suporte Técnico Especializado do RedeSegura suportará este grupo, que ainda poderá contar com outras atividades contratadas através de Managed Security Services.
.
Tecnologia: adotar uma ferramenta eficiente para executar testes de avaliação de segurança nas aplicações e nos servidores web com recursos de gerenciamento de processo. O Sistema RedeSegura é a solução mais completa da N-Stalker para atender aos desafios do requisito tecnologia.
.
Metodologia: definir os ambientes a serem testados, as oportunidades de teste, análise de resultados, o encaminhamento dos relatórios, e acompanhamento das melhorias. O Sistema RedeSegura atende tanto às metodologias de Static Application Security Test (SAST), como de Dynamic Application Secutiry Test (DAST), o que permitirá alcançar resultados mais rápidos e consistentes para a segurança das aplicações web.

 

Gerenciar Vulnerabilidades permite identificar falhas de segurança antes de um Agente Malicioso, e, ao promover ações imediatas de melhoria no desenvolvimento, a empresa antecipa-se ao risco de ataques a partir das aplicações web.

O planejamento deste processo deverá, evidentemente, levar em conta o tamanho da empresa, a quantidade e a complexidade das aplicações web, os indicadores de nível de risco admitidos, a equipe de desenvolvimento, as demais competências internas, as oportunidades de testes, e finalmente os custos envolvidos e o orçamento total de segurança.

O Sistema RedeSegura foi concebido para atender ao processo de testes estáticos e dinâmicos com flexibilidade, simultaneidade, e escalabilidade, abrangendo assim uma grande variedade de cenários possíveis no Gerenciamento de Vulnerabilidades do ambiente de aplicações web.

Adicionalmente, o pacote de serviços Managed Security Services (MSS) pode complementar as competências necessárias para atender aos requisitos do projeto de segurança de software de sua empresa.

Assista ao nosso vídeo-2 no menu de vídeo-apresentações e veja como abordamos este tema.