Serviços

SEGURANÇA DE APLICAÇÕES EM 360º

Proteja suas aplicações contra as constantes ameaças com o programa holístico de segurança de aplicações 360º.

Aplicações desprotegidas: a ameaça aos dados confidenciais não para de crescer

Aplicações mal programadas trazem riscos para as empresas. Com a crescente tendência das organizações de desenvolver aplicações para modernizar processos internos e oferecer mais comodidade ao cliente, uma enxurrada de informações confidenciais desprotegidas está indo parar na camada de aplicações. E como muitas vezes a segurança sequer entra no ciclo de vida do desenvolvimento dos softwares, o risco imposto por aplicações sem segurança não compensa o aumento da eficiência e satisfação do cliente.

No programa de Segurança de Aplicações 360º, a segurança forma a base do desenvolvimento e operação das aplicações. O programa alia técnicas de segurança ofensivas e defensivas para fornecer proteção contínua contra as ameaças persistentes às aplicações.

 

 

Os principais serviços oferecidos pelo programa 360 Application Security são:

	Revisão do código da aplicação		Firewall de aplicativo da Web com patches virtuais
	Teste de penetração da aplicação		Treinamento em Desenvolvimento Seguro

O programa é personalizado para cada cliente e funciona com as principais metodologias de desenvolvimento de software (ex.: ágil, RAD, cascata, espiral, etc.).

 

 

Revisão do código da aplicação

Aplicações personalizados precisam de segurança personalizada. Durante a revisão do código das aplicações, os especialistas em segurança de aplicações realizam uma inspeção manual de todo o código-fonte da aplicação em questão, com o objetivo de:

• Identificar deficiências nos controles de segurança
• Identificar erros de desenvolvimento que infrinjam as práticas recomendadas
• Identificar erros de desenvolvimento que gerem brechas de vulnerabilidade
• Avaliar as ferramentas e aplicações comerciais utilizados para criar e executar serviços front-end e back-end

A revisão do código culmina em um relatório exaustivo, com detalhes sobre áreas específicas do código da aplicação que precisam de reparo para manter o sistema em segurança. A revisão manual possibilita fornecer aos desenvolvedores da organização informações instrutivas e específicas sobre a aplicação, que permitem engendrar uma ação de resposta, e não aquelas informações genéricas fornecidas por algumas ferramentas automáticas.

 

 

Teste de penetração da aplicação

Realizado pelos especialistas em segurança de aplicações, o teste de penetração da aplicação simula um ataque para avaliar a eficácia dos controles de segurança de um aplicativo. O teste é exaustivo e é feito manualmente na aplicação nas mais diversas perspectivas de usuário autenticado e não autenticado, revelando riscos decorrentes de brechas de vulnerabilidade que podem ser aproveitados pelos agentes invasores.

• Metodologia: A metodologia usada no teste de penetração da aplicação foi desenvolvida para demonstrar brechas de vulnerabilidade de um aplicativo que podem comprometer dados críticos. A simulação de ataque permite que o cliente identifique falhas e minimize os riscos que ameaçam seus dados.
• PenTest Manager: Os resultados do teste de penetração são publicados pelo PenTest Manager que mostra em detalhes evidências de cada brecha identificada que estiver sendo explorada pelos invasores. Os desenvolvedores assistem a capturas de tela e vídeos que registram passo a passo a evolução do ataque a cada brecha explorada. O PenTest Manager oferece ainda relatórios pormenorizados, controle de ações corretivas e agendamento de testes.

 

 

Firewall de aplicativo da Web com patches virtuais

O WAF (Firewall de aplicações Web, na sigla em inglês) que oferece segurança personalizada baseada em comportamento para cada aplicativo protegido. Só o WAF usa um sistema de perfis com patente requerida e diversos mecanismos de detecção colaborativos para assegurar o tráfego de dados de missão crítica e ainda fornece proteção completa para os aplicações a fim de manter as informações confidenciais da organização a salvo de ataques diretos e vazamentos.

Dentro do programa de Segurança de Aplicações 360o, cada WAF é configurado e ajustado pelos especialistas que realizaram os testes de penetração da aplicação e as revisões do código e permitiram um íntimo conhecimento das aplicações, garantindo proteção abrangente.

Os patches virtuais protegem aplicações vulneráveis a ataques, sem a necessidade de esperar pelo próximo ciclo de versões. O programa inclui a análise constante de segurança e do log de falhas da aplicação pelo especialista e a aplicação de patches virtuais que protegem instantaneamente os pontos de vulnerabilidade encontrados. Os resultados encontrados são apresentados e as recomendações submetidas à aprovação do cliente antes da aplicação dos patches virtuais.

 

 

Treinamento em Desenvolvimento seguro

A SERVNET oferece uma sessão de treinamento personalizada aos desenvolvedores da empresa com base nas práticas recomendadas do setor e nos resultados das análises realizadas. Esse serviço previne novos erros de codificação, já que os desenvolvedores são treinados com os próprios exemplos encontrados em seus aplicações.

Exemplos pontuais dos testes de penetração dos aplicações e revisões de código realizados pelo programa de Segurança de Aplicações 360o podem ser incluídos no treinamento. Dessa forma, a equipe de desenvolvimento aprende com os problemas de codificação que fazem parte da realidade da empresa, e já sai pronta para aplicar os conhecimentos adquiridos.