Teste de Vulnerabilidades na Aplicação Web
.
Se sua empresa já adota algumas práticas de segurança no ciclo do desenvolvimento de suas aplicações web, assim como outras práticas preventivas para monitorar o nível de exposição de seus dados e de seus clientes ao ataque de agentes maliciosos, nós recomendamos fazer um teste de vulnerabilidades com o Sistema RedeSegura.
O Serviço de Web App Checkup tem como objetivo fornecer um relatório atualizado sobre a qualidade da segurança da camada da aplicação web, para que os profissionais de segurança, de desenvolvimento e de infraestrutura avaliem a necessidade de ações de melhoria mais adequadas ao seu ambiente.
Os testes primeiramente avaliam o ambiente do servidor web e seu Sistema Operacional, e indicam se todos os “patches” de segurança mais recentes foram implementados, visando reduzir sua exposição à uma janela de risco de ataques conhecida como “zero day attack”.
A camada da aplicação web será então amplamente testada segundo os padrões de segurança recomendados pela OWASP Top10 e pelo PCI-DSS, sendo possível também personalizar o padrão de testes aplicados segundo a perspectiva do usuário.
Os requisitos do PCI-DSS atendidos pelos recursos do Sistema RedeSegura são:
• Do processo de testes: requisitos da 11.2 (11.2.1, 11.2.2 como ferramenta do ASV, e 11.2.3). O relatório de testes permite orientar o processo de “pen test” do requisito 11.3 (11.3.2).
• Das especificações do “scanner”: requisitos 6.5 e 6.6, e outros exclusivos sobre a camada da aplicação web previstos para um teste interno ou externo.
O objetivo destes testes é identificar por meio de ferramentas automáticas de varredura se existem vulnerabilidades exploráveis conhecidas na camada da aplicação web, o que normalmente é feito internamente, sobre o servidor da aplicação web no ambiente de desenvolvimento ou de produção.
O teste feito com uma abordagem externa permite avaliar também a eficiência dos sistemas de segurança que suportam a rede de acesso até a aplicação web em produção, como o uso de sistemas como IDS/IPS (Intrution Detection System/Intrution Prevention System), e de Web Application Firewall (WAF).
O teste de vulnerabilidades é uma tarefa padronizada e relativamente complexa, pois exige a administração adequada de um conjunto de fatores que são críticos para seu sucesso:
1- A capacidade da tecnologia de “scanning” ao identificar vulnerabilidades e documentar as evidências;
2- Parametrização adequada do teste, definindo sua profundidade pelo uso da credencial de um usuário de teste;
3- A capacidade de análise dos resultados, a identificação de falsos positivos, e a validação do relatório pela comprovação das evidências.
4- Encaminhamento do relatório de vulnerabilidades aos profissionais responsáveis: equipe de desenvolvimento, de segurança e infraestrutura, ou de consultoria para Pen Test.
O serviço utiliza uma licença de uso de classe Web Security Checkup do Sistema RedeSegura, e é realizado pela Equipe de Suporte Técnico Especilizado:
• A parametrização do teste (setup) com base nas informações fornecidas pelo Cliente/Contratante;
• Configuração de “macro” de autenticação (https) e/ou de navegação orientada pelo fluxo de negócio;
• Análise dos resultados dos testes e validação das evidências de casos mais relevantes;
• Acesso ao Portal RedeSegura para avaliação do resultados do teste e seus relatórios (PDF);
• Testes estáticos (manuais) adicionais por tempo determinado (mínimo de 30 dias);
• Opcional acesso ao serviço de Suporte Técnico Especializado para consultas sobre vulnerabilidades.
O acesso de mais de um usuário (de segurança ou de desenvolvimento) à interface de Suporte Técnico Especializado para consultas sobre as vulnerabilidades identificadas é um item opcional neste serviço.
Quando contratado, transforma o Serviço de Web App Checkup em um ciclo completo temporário do processo de Gerenciamento de Vulnerabilidades, que se estenderá pelo tempo necessário para que as vulnerabilidades identificadas sejam avaliadas, e devidamente tratadas pela equipe de desenvolvimento.
Entre em contato conosco e solicite um teste de vulnerabilidades do Web App Checkup, e obtenha um relatório de vulnerabilidades atualizado da sua aplicação web.