Metodologia de uso do RedeSegura

A metodologia de segurança que recomendamos com o uso do Sistema RedeSegura baseia-se no Gerenciamento de Vulnerabilidades, como um processo contínuo e recorrente de melhoria da segurança no ciclo de vida das aplicações web, desde as entregas do desenvolvimento, e durante seu uso em ambiente de produção.

O Sistema RedeSegura “powered by“ N-Stalker implementará um processo de segurança centralizado, complementando as competências existentes na empresa para alcançar objetivos consistentes.

O resultado de um ciclo de testes de avaliação de vulnerabilidades do RedeSegura inclui documentação da parametrização dos testes, evidências das falhas exploráveis identificadas, relatórios de indicadores e auditoria, e recomendações para ações de tratamento das falhas encontradas.

As tarefas são realizadas de maneira padronizada, automatizada, e com escalabilidade e simultaneidade, permitindo atender todas as aplicações web da empresa em um ciclo de desenvolvimento seguro de software.

O diagrama a seguir ilustra a aplicação de nossa metodologia:

O Sistema RedeSegura fornece recursos e suporte técnico para administrar os principais fatores críticos que afetarão o sucesso do processo de Gerenciamento de Vulnerabilidades:

1. Definição do Grupo de Segurança de Software (SSG) e do papel de cada agente no processo;
2. Configuração correta dos recursos de varredura para testes de avaliação da segurança;
3. Capacidade do sistema em identificar o máximo de vulnerabilidades exploráveis a cada avaliação;
4. Capacidade do Gestor Técnico em avaliar os resultados obtidos, e obter informações adicionais se necessário;
5. Capacidade do Desenvolvedor em interpretar corretamente as recomendações de segurança;
6. Desempenho da equipe ao executar as melhorias necessárias para mitigar o risco de modo definitivo, em tempo hábil, e sem reincidir em falhas já conhecidas.

Os testes de avaliação de segurança das aplicações devem ser adotados de forma recorrente tanto no ambiente de homologação do desenvolvimento, como no ambiente de produção, e, no mínimo, sempre que houver qualquer alteração no código das aplicações web, ou em seu ambiente de servidores.

O Sistema RedeSegura suporta tanto a metodologia de DAST (Dynamic Application Security Test) para monitoramento do risco de ataques a partir de vulnerabilidades na segurança do ambiente de produção web, quanto a metodologia de SAST (Static Application Security Test) para avaliações de segurança nas entregas do desenvolvimento (Quality Assurance).

O uso combinado das duas metodologias garante o alcance de resultados mais rápidos e consistentes nos esforços da empresa para melhorar a segurança de suas aplicações web.

Assista ao nosso vídeo-2 no menu de vídeo-apresentações e veja como abordamos este tema.