Uso de Ferramenta para Webscanning

Esta opção tem sido escolhida por muitas empresas por ser mais tradicional, mas com o aumento da demanda por aplicações web e dos riscos de ataques a partir de suas falhas de segurança, a eficiência desta alternativa tem se reduzido a alguns poucos cenários. Veja se este é o seu caso, considerando:

A empresa tem uma pequena quantidade de aplicações web?
O ambiente de servidores é de baixa complexidade (próprio ou terceiro)?;
A freqüência em que ocorrem mudanças na aplicação web e seus servidores é baixa?
Temos competências (profissionais certificados) na área de segurança de software?
Os testes de segurança serão reativos, por incidente, ou há um plano para uso preventivo?
A segurança da aplicação será avaliada apenas no ambiente de homologação?

.
A figura a seguir ilustra este cenário com outras questões relevantes quedevem ser consideradas pelos Gestores responsáveis pela Segurança:

O uso de uma ferramenta de “webscanning” de modo estático fica restrito normalmente a execução de uma tarefa de avaliação pontual, que dependerá da disponibilidade de seu executor, da sua capacidade de analisar resultados e conduzir ações de melhorias, e posteriormente avaliar novamente os resultados finais.

Esta metodologia é também conhecida como Static Application Security Test (SAST), e pode funcionar relativamente bem no ambiente de homologação das entregas da equipe de desenvolvimento (QA).

Quando a infraestrutura tornar-se mais complexa com mais servidores, e em ambientes distintos de homologação e produção, ou um número maior de aplicações web, a eficiência dos testes estáticos de segurança é questionável.

O primeiro impulso do Gestor pode ser adquirir mais ferramentas de “webscanning”, e mais profissionais capacitados para o trabalho, mas aí surgem outros fatores relevantes:

A eficiência e o desempenho dos testes dependerão diretamente da disponibilidade de competências individuais, e, além disso, pode não prevenir riscos de forma eficaz, na medida em que, ao atuar reativamente sobre incidentes, estes já podem ter causado impacto significativo ao negócio.

Conlui-se que o método opracional conhecido como Static Application Security Test (SAST) aplicado com uma ferramenta de “webscanning” oferece capacidade limitada de gestão sobre as tarefas recorrentes de avaliação da segurança, mas atenderá relativamente bem os casos de testes de QA de Segurança no desenvolvimento, assim como recurso complementar para uma análise ocasional de incidentes.

Para os casos de testes estáticos a partir de uma ferramenta de webscanning, recomendaremos o uso do Software N-Stalker WAS, mas nunca sem também recomendar que seja avaliado o uso do Sistema RedeSegura, que atenderá também a metodologias de testes dinamicamente, o que permite a implantação de um processo gerenciável de vulnerabilidades.