(4) comparando o n-stalker was com o redesegura
TRANSCRIPT
Slide Show nº 4
Comparando nossas soluções:
- uso do Software N-Stalker WAS
- uso do Sistema RedeSegura
rev. 05/jan/11Autor: Eduardo Lanna
� Estágios do Software Development Life Cycle (SDLC)
Introdução de critérios de Segurança no ciclo de Desenvolvimento
Desafios da GSI em Aplicações Web Certificação da Segurança no Ciclo de Vida da Aplicação
Instalação & Aceitação
Integração & Testes
Codificação(programação)
“Design”Definição de Requisitos
Planejamentodo Projeto
� Testes de vulnerabilidades devem ser realizados durante todo o ciclo de vida da aplicação web, desde o seu desenvolvimento.
Há recomendações de segurança em cada etapa do SDLC...
Testes de avaliação de Vulnerabilidades
Slide 2/11
� QA de Segurança no Desenvolvimento� Critérios de segurança foram incluídos no ciclo do desenvolvimento...
� Testar a cada intervenção sobre o código do aplicativo, logo após os testes funcionais, precedendo a aceitação final
� Certificação de Segurança da aplicação web na sua homologação
� Metodologia: Static Application Security Test (SAST)
Metodologia de aplicação de TestesQuando e como testar vulnerabilidades
� Metodologia: Static Application Security Test (SAST)
� Monitoramento do Risco em Produção� Segurança de “infra” não basta se as aplicações web apresentarem
vulnerabilidades exploráveis...
� Testar periodicamente avalia a segurança da aplicação, mantendo baixo o nível de risco em produção (atualização periódica de ataques)
� Manutenção da Segurança na Gestão de Mudanças e de Incidentes
� Metodologia: Dynamic Application Security Test (DAST)
Slide 3/11
Definindo a tecnologia para os testesDiferenciais Tecnológicos N-Stalker
� Framework exclusivo de “Web Application Security Scanner” orientado a componentes (patente requerida no BR e USA)
� 39.000 assinaturas de ataques HTTP: a maior base de ataques web
� Mecanismo de “macro” para de fluxo orientado de navegação e/ouautenticação de usuário: testes alcançam todas as URLsautenticação de usuário: testes alcançam todas as URLs
� Regras automáticas para eliminação de Falsos Positivos
� Execução de Javascripts, e outras características exclusivas
� A tecnlogia N-Stalker é reconhecida como “top tool” de segurança porvárias publicações internacionais especializadas
� O N-Stalker WAS é a plataforma (engine) de testes do redesegura
Slide 4/11
Uso de um software de webscanningTarefa: testes de avaliação de vulnerabilidades
Home Banking
Home Broker
e-Commerce
ConteúdoTestes de avaliação de Vulnerabilidades
E quando o volume de aplicações cresce?E se houver mais de um ambiente web?
Desenvolvedor
Corporativo: CRM, ERP, RH...
Conteúdo
Apoio a Decisão
Web Server
de Vulnerabilidades
Como gerenciar um processo recorrente de testes de vulnerabilidades? (definir, medir, analisar resultados e orientar mel horias)
Como garantir padrões e periodicidade?Como documentar os indicadores?
Segurança de TI
Slide 5/11
Uso de um software de webscanningTarefa: testes de avaliação de vulnerabilidades
Home Banking
Home Broker
e-Commerce
ConteúdoTestes de avaliação de Vulnerabilidades
Num cenário mais complexo... os riscos são maiores!
Corporativo: CRM, ERP, RH...
Conteúdo
Apoio a Decisão
Web ServerSegurança de TI
de Vulnerabilidades
A equipe é qualificada o suficiente?
Como tratar o resultado dos testes?
O sucesso da segurança fica dependente de competências individuais...
Slide 6/11
Uso de Sistema de Gestão de SegurançaProcesso de Gerenciamento de Vulnerabilidades
Home Banking
Home Broker
e-CommerceDesenvolvedores
Recomendações de Segurança
SSL
VulnerabiltyDatabase
Corporativo: CRM, ERP, RH...
Conteúdo
Apoio a Decisão
Web ServerSecurity Officer
V-Test
Processo de Gestão
Scan Engine
Metodologias: SAST/DAST
Suporte Téc. Especializado ao Desenvolvedor (CSSLP)
“SSG”
Slide 7/11
Recomendando o Software N-Stalker WASTarefa de testes de avaliação de vulnerabilidades
� Melhor ferramenta de webscanningde vulnerabilidades: testes estáticos
� Uso para QA de Segurança no Desenvolvimento
� Avaliações em ambiente de � Avaliações em ambiente de produção: reativas ou ocasionais
� Requer Competência Profissional em Segurança de Software
� Em ambientes mais complexos e maior volume de testes fica difícil gerenciar o processo e resultados...
Slide 8/11
Recomendando o Sistema redeseguraProcesso de Gerenciamento da Segurança de Aplicações
� Utiliza a tecnologia do N-Stalker WAS:
� Metodologia de testes estáticos (SAST) e dinâmicos (DAST)
� Uso para QA do Desenvolvimento, e Monitoramento de Risco em Produção
powered by
Ciclo
Do !Plan...
Monitoramento de Risco em Produção
Slide 9/11
� Inclui Suporte Técnico Especializado em Segurança de Software (LUSaaS)
� Sistema de Gerenciamento centralizado: integra equipes multidisciplinares em um processo preventivo de melhoria contínua da Segurança das Aplicações web...
CicloPDCA
Act !
Check... .
O que definirá a sua escolha:A estratégia de seu projeto de segurança de software
SSG:People
“A estratégia de Gestão da Segurança da Informação ( GSI) deve abordar todos os elementos do processo”
Planejar, dimensionar e integrar cada grupo de recursos!
Quantidade de aplicações web, variedade, e risco.
O custo total de propriedade (TCO) do projeto de se gurança costuma ser menor com o uso do Sistema redesegura ...
People
SAST/DAST
MetodologyN-Stalker
Technology
ProcessStrategy
Slide 10/11
cada grupo de recursos!
O custo de um recurso pode ser afetado pelo dimensionamento dos demais...
Departamento Comercial
Tel: +55 (11) 3044-1819
e-mail: [email protected]
visite: www.redesegura.com.br
Visite nosso site, e consulte-nos
sobre qual a melhor solução para a
segurança de suas aplicações web!
Autor: Eduardo Lanna