Fazer negócios com segurança na Internet está se tornando obrigatório para todas as empresas.
Mais da metade dos problemas com segurança na internet (75% segundo o Gartner Group) estão ligados a problemas nas aplicações utilizadas no processo de negócio com parceiros e clientes finais.
Até recentemente os maiores esforços em ações de segurança da informação tem sido feitos para proteger o acesso à rede e aos servidores, como o uso de firewalls, dispositivos de IDS e DLP, Web Application Firewall, entre outras práticas.
Contudo, de nada valem estes esforços se na camada das aplicações web houver vulnerabilidades exploráveis por ataques de agentes maliciosos.
As Melhores Práticas em Segurança da Informação
A manutenção de Melhores Práticas dirigidas para a Segurança das Aplicações Web vem se tornando mandatória, e uma questão de sobrevivência para as empresas que dependem da internet para garantir os resultados de seu negócio, como é o caso dos segmentos financeiro, serviços de informação, de e-commerce, conteúdo de apoio à decisão, governo eletrônico, provedores de serviços, e outros.
Entidades mundiais como a OWASP (Open Web Application Security Project) têm contribuído para reunir informações importantes que permitem combater os ataques pela internet, mantendo atualizada uma lista com as Top 10 vulnerabilidades mais exploradas pelos ataques mais freqüentes identificados em todo o mundo.
O PCI Security Standards Council é um fórum aberto global para contínuo desenvolvimento, aprimoramento, armazenamento, disseminação e implementação de padrões de segurança para a proteção de dados de contas, e é um padrão de melhor prática de segurança para empresas que lidam com pagamento eletrônico (PCI-DSS), mandatório para aqueles que desejam fazer negócios com Cartões de Crédito na Internet, como é o caso do uso de sistemas de e-commerce.
Como resultado da evolução dos ataques pela internet, o uso de certificados digitais e de conexões criptografadas (SSL) já não é suficiente de forma isolada para garantir que certas vulnerabilidades sejam exploradas a partir da navegação pelas páginas de uma aplicação. Outras práticas devem se somar para de fato proteger um website.
O desenvolvedor de sistemas aplicativos para a Web, apesar de atualizado quanto às suas ferramentas e processos de desenvolvimento, não tem como garantir a segurança de suas entregas, pois a velocidade de evolução de lançamentos de negócios na web tem superado de forma geral os esforços com a segurança da informação.
Gerenciamento de Vulnerabilidades no Ambiente Web:
Nosso processo de segurança de aplicações web é baseado no Gerenciamento de Vulnerabilidade, quando testes são aplicados regularmente em todo o ciclo de vida desde as entregas do desenvolvimento.
O resultado dos testes permite identificar e mensurar o risco de vulnerabilidades exploráveis, além de sugerir ações de melhoria que as eliminem para reduzir o risco de um ataque. Este processo atende as recomendações de melhores práticas de segurança citadas anteriormente, e fortalece a capacidade de Gestão de Segurança da Informação da empresa. Utilizamos a melhor tecnologia de “risc assessment” do mercado mundial, a mesma usada no software N-Stalker Web Application Security Scanner”, para prover ao nosso Cliente recursos para implantação de seu processo de Gerenciamento de Vulnerabilidades.
Sistema RedeSegura “powered by” N-Stalker:
O Sistema RedeSegura foi desenvolvido como uma camada de aplicação na web que roda sobre a ferramenta N-Stalker, servindo como interface entre esta poderosa ferramenta de “risc assessment” e o usuário gestor da segurança da informação, para atender a processos de Gerenciamento de Vulnerabilidades na Aplicação e nos Servidores Web.
As funcionalidades do RedeSegura orientam seu uso para um processo de testes e avaliação recorrente no ambiente web, mantendo relatórios e métricas auditáveis que permitem avaliar o grau de evolução do processo ao longo de seu uso:
Realiza uma bateria de testes que identificam e avaliam a maioria das vulnerabilidades de segurança exploráveis.
Fornece a descrição detalhada das vulnerabilidades identificadas a partir de um banco de dados de +39.000 assinaturas de ataque conhecidas.
O banco de assinaturas de ataque é atualizado periodicamente com os ataques e vulnerabilidades mais populares contra servidores e serviços web.
Testa os Top10 riscos de segurança da OWASP, e outros padrões internacionais de testes, como PCI-DSS e SANS/FBI.
Gera e arquiva relatórios gerenciais de auditoria que incluem evidências de vulnerabilidades encontradas, referências internacionais sobre as ocorrências, e recomendações para seu reparo pelo desenvolvedor da aplicação.
O RedeSegura é um Sistema licenciado nas modalidades SaaS (software as a service).
Selo de Certificação Website Protegido:
Empresas que oferecem soluções de e-Commerce e que adotam o processo de Gerenciamento de Vulnerabilidades com o uso do RedeSegura “powered by” N-Stalker podem solicitar o teste de certificação do selo de segurança “Website Protegido”, que é uma certificação privada da N-Stalker sobre a segurança da aplicação de e-Commerce.
Se o provedor de e-commerce adotou de forma eficiente as recomendações de melhores práticas de segurança no desenvolvimento e na manutenção de seu sistema e servidores web, o teste externo de vulnerabilidades da N-Stalker não encontrará vulnerabilidades relevantes, e um selo “Website Protegido” será publicado na loja virtual avaliada.
Este selo só é oferecido a empresas que adotam o sistema RedeSegura, e certifica a eficiência do conjunto de ações das políticas de segurança daquele provedor do sistema de e-Commerce sobre sua aplicação web.
Entre em contato conosco através do formulário de primeiro contato para conversarmos sobre a oferta de seu interesse.
