Fazer negócios com segurança na Internet está se tornando obrigatório para todas as empresas.
Mais da metade dos problemas com segurança na internet estão ligados a problemas nas aplicações utilizadas no processo de negócio com parceiros e clientes finais.
Até recentemente os maiores esforços em ações de segurança da informação tem sido feitos para proteger o acesso à rede e aos servidores, como o uso de firewalls, dispositivos de IDS e DLP, engenharia social, e outras práticas. Contudo, de nada valem estes esforços se as aplicações apresentarem vulnerabilidades exploráveis por ataques de agentes maliciosos, normalmente a partir do ambiente externo (extranet ou internet).
As Melhores Práticas em Segurança da Informação
A manutenção de Melhores Práticas dirigidas para a Segurança das Aplicações Web vem se tornando mandatória, e uma questão de sobrevivência para as empresas que dependem da internet para garantir os resultados de seu negócio, como é o caso dos segmentos financeiro, serviços de informação, de e-commerce, conteúdo de apoio a decisão, governo eletrônico, provedores de WebService, e outros.
Entidades mundiais como a OWASP (Open Web Application Security Project) têm contribuído para reunir informações importantes que permitem combater os ataques pela internet, mantendo atualizada uma lista com as Top 10 vulnerabilidades mais exploradas pelos ataques mais freqüentes identificados em todo o mundo.
O PCI Security Standards Council é um fórum aberto global para contínuo desenvolvimento, aprimoramento, armazenamento, disseminação e implementação de padrões de segurança para a proteção de dados de contas, e é um padrão de melhor prática de segurança para empresas que lidam com pagamento eletrônico (PCI-DSS), mandatório para aqueles que desejam fazer negócios com Cartões de Crédito na Internet, como é o caso do uso de sistemas de e-commerce.
Como resultado da evolução dos ataques pela internet, o uso de certificados digitais e de conexões criptografadas (SSL) já não é suficiente de forma isolada para garantir que certas vulnerabilidades sejam exploradas a partir da navegação pelas páginas de uma aplicação. Outras práticas devem se somar para de fato proteger um website.
O desenvolvedor de sistemas aplicativos para a Web, apesar de atualizado quanto às suas ferramentas e processos de desenvolvimento, não tem como garantir a segurança de suas aplicações, pois a velocidade de evolução de lançamentos de negócios na Web tem superado de forma geral os esforços com a segurança da informação. Estudos recentes apontam que mais da metade das vulnerabilidades existentes em sistemas e dispositivos de infra-estrutura identificadas em 2008 ainda não haviam sido completamente eliminadas pela maioria dos desenvolvedores até o final de 2009. As melhores práticas aplicadas à segurança recomendadas por normas como ISO 15408, ISO 27001, ISO 27002 e até o BACEN 3380 sugem o uso de processos que permitam identificar, mensurar, e controlar vulnerabilidades exploráveis de segurança em sistemas e servidores, mitigando assim os riscos para o negócio.
Gerenciamento de Vulnerabilidades no Ambiente Web
Como parte de um Sistema de Gestão da Segurança da Informação existe um processo definido como Gerenciamento de Vulnerabilidades, onde testes são aplicados regularmente no ambiente das aplicações web visando comprovar a existência de falhas exploráveis nas aplicações e nos servidores. O resultado dos testes permite identificar e mensurar vulnerabilidades exploráveis por ataques conhecidos, e sugerir ações de melhoria que as eliminem ou reduzam o impacto ante o risco de um ataque. Este processo atende as recomendações de melhores práticas de segurança citadas anteriormente, e fortalece a capacidade de Gestão de Segurança da Informação da empresa.
Utilizamos a melhor ferramenta de “risc assessment” do mercado mundial, com patente requerida nos EUA e no Brasil de seu método exclusivo de “web application security scanner”, para prover ao nosso Cliente recursos para implantação de seu processo de Gerenciamento de Vulnerabilidades: o softwareN-Stalker.
Sistema RedeSegura “powered by” N-Stalker
O Sistema RedeSegura foi desenvolvido como uma camada de aplicação na web que roda sobre a ferramenta N-Stalker, servindo como interface entre esta poderosa ferramenta de “risc assessment” e o usuário gestor da segurança da informação, para atender a processos de Gerenciamento de Vulnerabilidades na Aplicação e nos Servidores Web.
As funcionalidades do RedeSegura integradas ao N-Stalker tornam seu uso simplificado,orientado seu uso para a implementação de um processo de testes e avaliação recorrente no ambiente web, mantendo relatórios e métricas auditáveis que permitem avaliar o grau de evolução do processo ao longo de seu uso:
Realiza uma bateria de testes que identificam e avaliam todas as possíveis vulnerabilidades de segurança nas aplicações web.
Fornece a descrição detalhada das vulnerabilidades identificadas a partir de um banco de dados de +39.000 assinaturas de ataque conhecidas.
O banco de assinaturas de ataque é atualizado diariamente com os ataques e vulnerabilidades mais populares contra servidores e serviços web.
Testa as Top 10 inspeções de segurança recomendadas pela OWASP, além de outros padrões internacionais de testes, como PCI-DSS ou SANS/FBI.
Gera e arquiva relatórios gerenciais de auditoria que incluem evidências de vulnerabilidades encontradas, referências internacionais sobre as ocorrências, e recomendações para seu reparo pelo desenvolvedor da aplicação.
O Cliente pode solicitar a aplicação de um selo de conformidade em suas páginas web, que fica ativo a cada varredura realizada, mostrando a seus usuários e Clientes que podem confiar nas suas operações realizadas através daquela aplicação.
O RedeSegura é um Sistema licenciado nas modalidades SaaS (software as a service) e aluguel de software, de acordo com o volume de testes realizados no mês. Ele pode ser adotado tanto no ambiente de desenvolvimento e homologação do cliente ou sua fábrica de software, como no ambiente de produção da aplicação web.
Quando usado para testar ambientes de homologação, é opcional o uso de um appliance com o sistema. Os testes de vulnerabilidades neste caso fazem parte do processo de aceitação da aplicação antes da entrada em produção (QA).
Selo de Conformidade “Website Protegido”
Empresas que oferecem soluções de e-commerce e que adotam o processo de Gerenciamento de Vulnerabilidades com o uso do RedeSegura “powered by” N-Stalker podem solicitar o selo de certificação de segurança da aplicação “Website Protegido”, que é uma auditoria externa realizada periodicamente pela N-Stalker sobre as páginas web das lojas de e-commerce mantidas com o sistema daquelas empresas.
Se o provedor de e-commerce adotou de forma eficiente algumas ações recomendadas pelas melhores práticas de segurança no desenvolvimento e na manutenção de seu sistema e servidores web compartilhados, o teste de vulnerabilidades da N-Stalker não identificará vulnerabilidades graves, e um selo “Website Protegido” será publicado na loja virtual testada.
Este selo só é oferecido a empresas que adotam o sistema RedeSegura, e certifica a eficiência do conjunto de ações das políticas de segurança daquele provedor do sistema de e-commerce sobre sua aplicação web. Este processo recorrente atenderá às recomendações do PCI-DSS.
Entre em contato conosco através do formulário de primeiro contato para conversarmos sobre a oferta de seu interesse.
