Teste de Vulnerabilidade

Teste de Vulnerabilidades na Aplicação Web

.
Se sua empresa já adota algumas práticas de segurança no ciclo do desenvolvimento de suas aplicações web, assim como outras práticas preventivas para monitorar o nível de exposição de seus dados e de seus clientes ao ataque de agentes maliciosos, nós recomendamos fazer um teste de vulnerabilidades com o Sistema RedeSegura.

O Serviço de Web App Checkup tem como objetivo fornecer um relatório atualizado sobre a qualidade da segurança da camada da aplicação web, para que os profissionais de segurança, de desenvolvimento e de infraestrutura avaliem a necessidade de ações de melhoria mais adequadas ao seu ambiente.

Os testes primeiramente avaliam o ambiente do servidor web e seu Sistema Operacional, e indicam se todos os “patches” de segurança mais recentes foram implementados, visando reduzir sua exposição à uma janela de risco de ataques conhecida como “zero day attack”.

A camada da aplicação web será então amplamente testada segundo os padrões de segurança recomendados pela OWASP Top10 e pelo PCI-DSS, sendo possível também personalizar o padrão de testes aplicados segundo a perspectiva do usuário.

Os requisitos do PCI-DSS atendidos pelos recursos do Sistema RedeSegura são:

Do processo de testes: requisitos da 11.2 (11.2.1, 11.2.2 como ferramenta do ASV, e 11.2.3). O relatório de testes permite orientar o processo de “pen test” do requisito 11.3 (11.3.2).
Das especificações do “scanner”: requisitos 6.5 e 6.6, e outros exclusivos sobre a camada da aplicação web previstos para um teste interno ou externo.

O objetivo destes testes é identificar por meio de ferramentas automáticas de varredura se existem vulnerabilidades exploráveis conhecidas na camada da aplicação web, o que normalmente é feito internamente, sobre o servidor da aplicação web no ambiente de desenvolvimento ou de produção.

O teste feito com uma abordagem externa permite avaliar também a eficiência dos sistemas de segurança que suportam a rede de acesso até a aplicação web em produção, como o uso de sistemas como IDS/IPS (Intrution Detection System/Intrution Prevention System), e de Web Application Firewall (WAF).

O teste de vulnerabilidades é uma tarefa padronizada e relativamente complexa, pois exige a administração adequada de um conjunto de fatores que são críticos para seu sucesso:

1- A capacidade da tecnologia de “scanning” ao identificar vulnerabilidades e documentar as evidências;
2- Parametrização adequada do teste, definindo sua profundidade pelo uso da credencial de um usuário de teste;
3- A capacidade de análise dos resultados, a identificação de falsos positivos, e a validação do relatório pela comprovação das evidências.
4- Encaminhamento do relatório de vulnerabilidades aos profissionais responsáveis: equipe de desenvolvimento, de segurança e infraestrutura, ou de consultoria para Pen Test.

O serviço utiliza uma licença de uso de classe Web Security Checkup do Sistema RedeSegura, e é realizado pela Equipe de Suporte Técnico Especilizado:

A parametrização do teste (setup) com base nas informações fornecidas pelo Cliente/Contratante;
Configuração de “macro” de autenticação (https) e/ou de navegação orientada pelo fluxo de negócio;
Análise dos resultados dos testes e validação das evidências de casos mais relevantes;
Acesso ao Portal RedeSegura para avaliação do resultados do teste e seus relatórios (PDF);
Testes estáticos (manuais) adicionais por tempo determinado (mínimo de 30 dias);
Opcional acesso ao serviço de Suporte Técnico Especializado para consultas sobre vulnerabilidades.

O acesso de mais de um usuário (de segurança ou de desenvolvimento) à interface de Suporte Técnico Especializado para consultas sobre as vulnerabilidades identificadas é um item opcional neste serviço.

Quando contratado, transforma o Serviço de Web App Checkup em um ciclo completo temporário do processo de Gerenciamento de Vulnerabilidades, que se estenderá pelo tempo necessário para que as vulnerabilidades identificadas sejam avaliadas, e devidamente tratadas pela equipe de desenvolvimento.

Entre em contato conosco e solicite um teste de vulnerabilidades do Web App Checkup, e obtenha um relatório de vulnerabilidades atualizado da sua aplicação web.