Vídeos sobre nossa Metodologia de Segurança

Assista nossas vídeo-apresentações comentadas, e saiba sobre como manter suas aplicações web mais seguras a partir da nossa Metodologia de Segurança, baseada no processo de Gerenciamento de Vulnerabilidades.

Para melhor aproveitamento dos recursos dos vídeos sugerimos exibí-los em tela inteira, e então fixar a tabela de conteúdo “clicando” no PIN. Após a carga do video, selecione um item da lista para exibir o slide de seu interesse.

Limites de Garantia do Selo Website Protegido

Ao clicar sobre a imagem do selo exibida em uma página web, uma nova página html se abrirá contendo informações gerais sobre o significado desta certificação de segurança realizada pela equipe de especialistas da N-Stalker.

O texto a seguir informa sobre os limites e garantias desta certificação privada independente: 

LIMITES E GARANTIAS

O processo do Selo Website Protegido não tem como certificar, e de fato nem poderia, a segurança dos dados usados nas transações que possam ser compartilhados com outros serviços e aplicações externas, como no caso da transmissão de dados pelas redes de processamento de cartão de crédito, ou quando houver o armazenamento destes dados em meios “off-line”.  

Também não há como o Selo Website Protegido certificar que não hajam outros meios pelos quais os dados de uma transação possam ser obtidos ilegalmente, como por exemplo, através do acesso interno fisco ou lógico aos dados através de outros meios não relacionados a exploração de vulnerabilidades da aplicação web.

Estas outras garantias somente poderiam ser feitas pela empresa proprietária da aplicação web, a partir de auditorias externas e presenciais que certifiquem todas as ações integradas na gestão das suas práticas de segurança da informação, e que não são avaliadas pelo provedor Rede Segura Tecnologia ou pela N-Stalker no processo periódico de testes do Selo Website Protegido.

A Rede Segura Tecnologia e a N-Stalker, na qualidade de provedores de solução para avaliação de segurança, garantem apenas que seus métodos e tecnologia exclusivos terão o melhor desempenho na execução das funções de testes de avaliação de vulnerabilidades (Black Box) sobre a aplicação web, atendendo a padrões internacionais de segurança da OWASP e PCI, e que sua plataforma é atualizada periodicamente a partir da identificação de novas formas de ataques divulgadas por entidades internacionais especializadas na segurança da informação pela web, além de laboratórios de pesquisa e tecnologia associados.

<Voltar

Selo de Certificação de Segurança Website Protegido

selo-website-protegido-modelosO processo de testes de avaliação de segurança do Selo Website Protegido é um serviço exclusivo de certificação provido pela N-Stalker para as empresas que adotaram um processo de Gerenciamento de Vulnerabilidades em aplicações web com uso do Sistema RedeSegura.

O serviço avalia externamente o resultado final dos esforços da empresa em desenvolver e manter suas aplicações web mais seguras, segundo os padrões de segurança recomendados pela OWASP e PCI-DSS.

As empresas que utilizam o Sistema RedeSegura adotam um processo continuado de qualidade da segurança no ciclo de vida do desenvolvimento de suas aplicações web, o que determina um ciclo de melhorias completo (PDCA), ou seja:

  1. São definidos requisitos de segurança desde o início do ciclo de desenvolvimento de software;
  2. Realizam-se testes periódicos de avaliação de vulnerabilidades sobre as aplicações web;
  3. Os resultados dos testes e os indicadores de risco são analisados por uma equipe de segurança;
  4. São entendidas e validadas as recomendações de segurança indicadas nos relatórios de testes;
  5. Imediatas ações de melhoria são adotadas pela equipe de desenvolvedores e de segurança;
  6. Após as melhorias, testes de validação confirmam a manutenção dos indicadores de risco e segurança.

Se após o ciclo de testes não forem identificadas vulnerabilidade graves ou médias, isso significa que a aplicação web mantém-se protegida pelas práticas de segurança de software adotadas pela empresa, e que o processo de Gerenciamento de Vulnerabilidades é eficiente, então um Selo Website Protegido pode opcionalmente ser exibido no website.

A exibição da imagem do Selo Website Protegido na página da aplicação web é uma opção da empresa, adotada normalmente nos casos em que a imagem traz algum benefício comercial, ou um diferencial competitivo. Para alguns segmentos de mercado a visualização do selo cria uma “percepção” de segurança no usuário do website, influenciando sua preferência pelos serviços do “website protegido”.

O segmento de e-Commerce é um exemplo onde a exibição da imagem de um selo de segurança pode superar 12% no aumento das vendas pela internet. O selo Website Protegido se destaca em relação a outros selos do mercado porque avalia o eficiência de uma processo de segurança adotado como melhor prática pelo provedor da aplicação web.

Mas antes de decidir pela exibição de qualquer selo em seu website, é importante entender que um processo de testes de avaliação de vulnerabilidades realizados na camada da aplicação web tem certos Limites de Garantia, naturalmente impostos pela tecnologia adotada, e, principalmente, que antes de exibir a imagem de um selo no seu ambiente de negócios na internet, sua empresa deve procurar garantir a segurança dos usuários com ações de melhores práticas desde as etapas do desenvolvimento.

Veja também nosso artigo sobre Mitos da Segurança para conhecer outros aspectos importantes sobre segurança antes de aderir ao apelo comercial de qualquer selo de segurança.

De modo geral, o Selo Website Protegido da N-Stalker valoriza a imagem da sua empresa na medida que a destaca em relação às demais empresas de seu segmento, uma vez que comprova a eficiência das ações de melhores práticas de segurança no seu ambiente de negócios na internet, e não apenas que a aplicação não tem vulnerabilidades exploráveis.

Assista ao nosso vídeo-3 no menu de vídeo-apresentações e saiba como abordamos este tema.

 

Principais Funcionalidades do RedeSegura

Além de todas as funcionalidades e características exclusivas do Software N-Stalker WAS como ferramenta de testes de vulnerabilidades, o Sistema RedeSegura agrega novas funções úteis ao Gerenciamento de Vulnerabilidades como um processo de melhoria contínua:

  • Interface intuitiva, fácil de utilizar, com painéis gráficos e agrupamento de resultados e funções reutilizáveis.
  • Gestão segura de usuários (Read Only and Read/Write User);
  • Gestão de Aplicações: acesso a lista de aplicações web em teste e dados gerais.
  • Avaliações de Segurança abrangentes em conformidade com as políticas e recomendações da OWASP, PCI-DSS, e SANS/FBI.
  • Recursos de parametrização completa dos testes de avaliação de segurança, permitindo customização de políticas de teste;
  • Gestão de “web macro” de autenticação de usuário e também de navegação, permitindo testar 100% das páginas, incluindo testes por fluxo de navegação orientada.
  • Painel de controle com acesso a todas as funcionalidades e indicadores de resultados, histórico de testes, relatórios, etc.
  • Suporte Técnico especializado: interface para consultas sobre as recomendações de segurança, com acesso direto do menu de vulnerabilidades identificadas.
  • Conexão alternativa de suporte com sistema de atendimento e consultas da equipe de Suporte Técnico, com acesso a base de gestão de conhecimento.
  • Relatórios completos sobre as Vulnerabilidades encontradas: relatório executivo, técnico geral, da aplicação, e de registro da seqüência de testes;
  • Tools and Engine N-Stalker WAS: Discovery DNS, detecção automática das tecnologias adotadas pela aplicação, identificação e levantamento de objetos, etc.
  • Banco de Dados de assinaturas de ataques mais atualizado do mercado (+39.000 assinaturas de ataque HTTP);
  • Atualizações automáticas do Sistema RedeSegura, e da base de assinaturas de ataques e vulnerabilidades N-Stalker;
  • Possibilidade de Integração com SMS e Service Desk do Cliente (serviço opcional);
  • Possibilidades de customização de relatórios e funções do painel (serviço sob consulta).
  • Arquitetura de implantação flexível e escalável com Painel Centralizado e Engine Scan Servers distribuídos, usando VM ou Cloud Scan N-Stalker.

Penetration Test

pennetration-test-mssAs Melhores Práticas e os mais atuais modelos de Maturidade em Segurança de Software recomendam que sejam realizados testes de penetração sobre as aplicações web mais críticas, pelo menos uma vez ao ano, visando avaliar a eficiência dos esforços de segurança resultantes do framework adotado pela empresa.

Para orientar as atividades dos testes de penetração, um pacote completo de serviços profissionais de Managed Security Services, incluindo testes de avaliação de segurança do Sistema RedeSegura (Web Security Check up) podem ser incluídos no pacote de serviços.

Note: o uso do Sistema RedeSegura para gerenciar vulnerabiliades não dispensa a necessidade de testes de penetração, mas orientará os profissionais de segurança de tal modo que otimizará seus esforços durante um Pen Test, permitindo um exame mais avançado e abrangente sobre as brechas exploráveis na segurança do ambiente de TI, e, em muitos casos, com menor consumo de tempo de consultoria. 

O Pen Test pode ser realizado de forma cega (Black Box test) sobre todos os serviços disponíveis publicamente na web, ou ser dirigido para algum serviço específico. As atividades incluem avaliações locais e/ou remotas, e o trabalho pode ser assistido opcionalmente por um Analista de Segurança do Cliente.

O escopo de serviços de execução de um Pen Test dependerá de fatores como o ponto de origem (interno ou externo), das evidências de alguma avaliação prévia da segurança do ambiente (relatório de vulnerabilidades de rede e de aplicação web), da quantidade de servidores internos e externos, da complexidade do ambiente de infraestrutura, e se o escopo inclui outras atividades como “war dialling”, uso de engenharia social, etc.

Pela complexidade natural inerente a este processo de pesquisa sobre o ambiente, o Pen Test normalmente é contratado como um pacote estimado de horas de Consultoria, durante as quais um Consultor busca identificar falhas exploráveis na segurança que permitam causar algum impacto. Em alguns casos há como comporvar o risco de um ataque a partir da produção de uma evidência com impacto controlado sobre o ambiente alvo do Pen Test.

Sobre o processo de Pen Test, deve-se considerar o seguinte:

  • O objetivo de um Pen Test é comprovar o grau de impacto de um ataque feito a partir de uma vulnerabilidade encontrada no sistema;
  • O Pen Test é recomendado para sistemas com controles de segurança mais maduros, e não encontra nem explora todas as falhas encontradas;
  • O alcance de um Pen Test é limitado e dirigido a um sistema alvo, pois trata-se de uma tarefa de pesquisa que pode se aprofundar a partir dos primeiros resultados;
  • Trata-se de uma tarefa de análise manual realizada por um Consultor Especialista, que pode ser suportada por ferramentas de testes;
  • Testar vulnerabilidades é o primeiro passo para orientar e priorizar as atividades de pesquisa de um Pen Test;
  • Não substitui processos preventivos automatizados que avaliam os controles de segurança periodicamente;
  • O Gerenciamento de Vulnerabilidades provê documentação histórica importante para orientar e otimizar recursos em um Pen Test.

 

Avaliação da Segurança da Aplicação Web

malicious-virus-codeA Equipe Técnica da Rede Segura Tecnologia está capacitada para oferecer Serviços Profissionais de Consultoria em Segurança de Aplicações Web, a partir das competências e certificações de seus especialistas.

O pacote de Serviços Profissionais de Consultoria inclui:

  • Os Testes de Análise de Vulnerabilidades da Aplicação Web (Web Security Check Up);
  • Avaliação de integridade dos controles de segurança do ambiente da aplicação web, incluindo a infraestrutura dos Servidores;
  • Relatório Técnico com recomendação de melhorias e ajustes de conformidade dos controles de segurança adotados.

Neste serviço, além dos testes de Web App Security Check-up do Sistema RedeSegura (Black Box test), um Consultor de Segurança especialista fará uma análise manual (manual assessment) dos controles de segurança a partir do uso de credenciais de acesso (Grey Box test), passando por validações dos controles internos da aplicação web, incluindo autenticação, autorização, gerenciamento de sessão, criptografia, manipulação de parâmetros, entre outros.

São tomados todos os cuidados para que não se produza qualquer impacto importante no ambiente de produção.

Opcionalmente, os serviços profissionais de Consultoria de Segurança podem incluir testes de penetração (Penetration Test) na camada da aplicação web, na infraestrutura da rede, ou em ambos.

Teste de Vulnerabilidades na Aplicação Web

vulnerability scoreSe sua empresa já adota algumas práticas de segurança no ciclo do desenvolvimento de suas aplicações web, assim como outras práticas preventivas para monitorar o nível de exposição de seus dados e de seus clientes ao ataque de agentes maliciosos, nós recomendamos fazer um teste de vulnerabilidades com o Sistema RedeSegura.

O Serviço de Web App Checkup tem como objetivo fornecer um relatório atualizado sobre a qualidade da segurança da camada da aplicação web, para que os profissionais de segurança, de desenvolvimento e de infraestrutura avaliem a necessidade de ações de melhoria mais adequadas ao seu ambiente.

Os testes primeiramente avaliam o ambiente do servidor web e seu Sistema Operacional, e indicam se todos os “patches” de segurança mais recentes foram implementados, visando reduzir sua exposição à uma janela de risco de ataques conhecida como “zero day attack”.

A camada da aplicação web será então amplamente testada segundo os padrões de segurança recomendados pela OWASP Top10 e pelo PCI-DSS, sendo possível também personalizar o padrão de testes aplicados segundo a perspectiva do usuário. 

Os requisitos do PCI-DSS atendidos pelos recursos do Sistema RedeSegura são:

  • Do processo de testes: requisitos da 11.2 (11.2.1, 11.2.2 como ferramenta do ASV, e 11.2.3). O relatório de testes permite orientar o processo de “pen test” do requisito 11.3 (11.3.2).
  • Das especificações do “scanner”: requisitos 6.5 e 6.6, e outros exclusivos sobre a camada da aplicação web previstos para um teste interno ou externo.

O objetivo destes testes é identificar por meio de ferramentas automáticas de varredura se existem vulnerabilidades exploráveis conhecidas na camada da aplicação web, o que normalmente é feito internamente, sobre o servidor da aplicação web no ambiente de desenvolvimento ou de produção.

O teste feito com uma abordagem externa permite avaliar também a eficiência dos sistemas de segurança que suportam a rede de acesso até a aplicação web em produção, como o uso de sistemas como IDS/IPS (Intrution Detection System/Intrution Prevention System), e de Web Application Firewall (WAF).

O teste de vulnerabilidades é uma tarefa padronizada e relativamente complexa, pois exige a administração adequada de um conjunto de fatores que são críticos para seu sucesso:

  1. A capacidade da tecnologia de “scanning” ao identificar vulnerabilidades e documentar as evidências;
  2. Parametrização adequada do teste, definindo sua profundidade pelo uso da credencial de um usuário de teste;
  3. A capacidade de análise dos resultados, a identificação de falsos positivos, e a validação do relatório pela comprovação das evidências.
  4. Encaminhamento do relatório de vulnerabilidades aos profissionais responsáveis: equipe de desenvolvimento, de segurança e infraestrutura, ou de consultoria para Pen Test. 

O serviço utiliza uma licença de uso de classe Web Security Checkup do Sistema RedeSegura, e é realizado pela Equipe de Suporte Técnico Especilizado:

  • A parametrização do teste (setup) com base nas informações fornecidas pelo Cliente/Contratante;
  • Configuração de “macro” de autenticação (https) e/ou de navegação orientada pelo fluxo de negócio;
  • Análise dos resultados dos testes e validação das evidências de casos mais relevantes;
  • Acesso ao Portal RedeSegura para avaliação do resultados do teste e seus relatórios (PDF);
  • Testes estáticos (manuais) adicionais por tempo determinado (mínimo de 30 dias);
  • Opcional acesso ao serviço de Suporte Técnico Especializado para consultas sobre vulnerabilidades.

O acesso de mais de um usuário (de segurança ou de desenvolvimento) à interface de Suporte Técnico Especializado para consultas sobre as vulnerabilidades identificadas é um item opcional neste serviço.

Quando contratado, transforma o Serviço de Web App Checkup em um ciclo completo temporário do processo de Gerenciamento de Vulnerabilidades, que se estenderá pelo tempo necessário para que as vulnerabilidades identificadas sejam avaliadas, e devidamente tratadas pela equipe de desenvolvimento.

Entre em contato conosco e solicite um teste de vulnerabilidades do Web App Checkup, e obtenha um relatório de vulnerabilidades atualizado da sua aplicação web.

 

Managed Security Services (MSS)

ssg-teamwork-vulnerabilities-management-redeseguraO Cliente licenciado para uso do Sistema RedeSegura pode optar entre manter e operar todas os recursos de seu processo de Gerenciamento de Vulnerabilidades com sua própria equipe já devidamente treinada, ou pode transferir parte das tarefas operacionais para a equipe técnica da Rede Segura Tecnologia, a partir da contratação de Managed Security Services (MSS).

O pacote de serviços MSS inclui um escopo pré-definido, e o dimensionamento de recursos necessários, considerando-se:

  • Os limites das Licenças de Uso do Sistema RedeSegura contratadas;
  • Serviços de parametrização e/ou reconfiguração de testes de avaliação de segurança;
  • A quantidade e a complexidade das aplicações web em teste durante o ciclo completo do processo;
  • Os ambientes gerenciados pelo serviço: produção e/ou desenvolvimento;
  • Franquia de horas de Consultoria do MSS para atendimento remoto e/ou local;
  • Outros serviços de Consultoria em Segurança de Aplicações Web.

Com a contratação dos serviços de MSS o Cliente pode transferir tarefas especializadas e recorrentes para a Rede Segura Tecnologia, mas seguirá como gestor dos indicadores e das políticas de segurança de seu processo de Gerenciamento de Vulnerabilidades, assim como dos níveis de serviço contratados. Este modelo é considerado pelos especialistas em terceirização de serviços de TI como terceirização de alto nível.

O pacote de serviços de consultoria de MSS pode incluir ainda uma análise mais ampla dos indicadores de segurança das aplicações web, com avaliações manuais de segurança complementares aos testes automatizados do Sistema RedeSegura, e até avançar para testes de penetração (pen test) mais abrangentes sobre o ambiente das aplicações web.

Os serviços de MSS são suportados pela nossa equipe de especialistas do Suporte Técnico, e nos casos de escopo mais amplo, alguns Serviços Profissionais de Consultoria podem ser providos localmente pelos parceiros credenciados da Rede Segura Tecnologia.

Equipe Técnica Especilalizada

ssg-teamwork-vulnerabilities-management-redesegura-2O Suporte Técnico do Sistema RedeSegura é mantido por uma equipe de especialistas em  segurança no ciclo de vida do desenvolvimento de aplicações web, com certificações em segurança de software importantes que incluem:

  • ISC2 CSSLP – Certified Secure Software Lifecycle Professional (ISO/IEC-17024);
  • ISC2 ISSAP – Information System Security Architect Professional;
  • ISC2 CISSP – Certified Information System Security Professional;
  • CISM – Certified Information Security Manager;
  • CompTIA Security+: Competency in system security, network infrastructure, access control and organizational security;

O Suporte Técnico atende a consultas de usuários sobre as funcionalidades do Sistema RedeSegura, incluindo a parametrização dos testes de avaliação de segurança (test setup).

Com principal diferencial de serviços, a equipe de especialistas do suporte técnico atende também a consultas do usuário do desenvolvimento sobre as recomendações de segurança que constam nos relatórios dos testes, e que visam eliminar as vulnerabilidades identificadas em cada avaliação.

O atendimento da equipe técnica ao usuário do Sistema redeSegura inclui, portanto:

  • Atendimento por sistema de “tickets” registrados a partir do Portal RedeSegura;
  • Analista técnico para atendimento à dúvidas sobre funcionalidades de uso do Sistema;
  • Analista especializado para interpretação dos relatórios de testes de avaliação e auditoria;
  • Analista especializado para orientar o usuário desenvolvedor nas correções e melhorias de segurança;
  • Serviço de parametrização inicial e eventuais ajustes nos testes de vulnerabilidades.

Os usuários autorizados a abrir consultas são previamente capacitados por um programa de treinamento oferecido no início de cada projeto, e que inclui um workshop sobre vulnerabilidades e recomendações da OWASP Top 10, um programa básico para orientação do planejamento do Processo de Gerenciamento de Vulnerabilidades, e, finalmente, um treinamento sobre as funcionalidades e o uso do Sistema RedeSegura.

Os especialistas da equipe de Suporte Técnico também são uma parte importante dos recursos que compõem o escopo de serviços complementares, oferecidos pela Rede Segura Tecnologia como Managed Security Services (MSS).

Benefícios do uso do Sistema RedeSegura

depoimento-clientes-nstalkerAdotando o processo de Gerenciamento de Vulnerabilidades em Aplicações Web com a metodologia de uso do Sistema RedeSegura a empresa alcançará benefícios que sustentarão sua política de segurança de software:

  • O uso do Sistema RedeSegura permite obter resultados mais rápidos e consistentes para a segurança de aplicações web;
  • Atendimento aos requisitos das seções 6, 11 e 12 das recomendações do PCI-DSS.
  • Sistema único, parametrizável e flexível, compatível com as metodologias de testes de avaliação de segurança estáticos (SAST) e dinâmicos (DAST);
  • A introdução de critérios de segurança no processo de desenvolvimento reduz o custo total com os esforços de segurança;
  • Imediata melhoria na qualidade das entregas da equipe de desenvolvimento;
  • O monitoramento continuado de vulnerabilidades permite antecipação ao risco de ataques que afetariam o negócio;
  • O processo de gestão da segurança das aplicações web é centralizado, e mantido por um conjunto de competências complementares, internas e externas;
  • O Suporte Técnico ao usuário é mantido por uma equipe qualificada e com certificações em segurança no ciclo de desenvolvimento de software;
  • A segurança não depende de competências individuais, mas da eficiência de um processo gerenciável que integra as equipes de desenvolvimento, de infraestrutura e de segurança;
  • Promove transferência de conhecimento sobre segurança de software para a equipe de desenvolvedores e de analistas de segurança de TI;
  • Flexibilidade e capacidade de escala: é possível atender ambientes com variada complexidade, topologia, e crescente quantidade de aplicações e servidores web;
  • Avanço no Grau de Maturidade em Gestão da Segurança com os recursos existentes na empresa, com menor custo de propriedade (TCO – Total Cost of Ownership).

A tecnologia N-Stalker está a serviço de ações de melhorias que criam um ambiente de negócios mais seguro para seus Clientes e Parceiros na internet.