O serviço de Avaliação de Segurança de Aplicações oferecido
pela 3Elos tem como objetivo garantir o uso seguro das
informações e da infra-estrutura de sistemas de informação
dos seus clientes. A identificação das vulnerabilidades
existentes nos sistemas, e a recomendação de ações corretivas
e/ou preventivas visam assegurar a confidencialidade,
integridade e disponibilidade das informações corporativas.
Identificar as vulnerabilidades, ameaças e riscos é o
primeiro passo no sentido de priorizar as ações de segurança
e subsidiar a implementação de controles eficazes. Para
isso, a 3Elos conta com uma metodologia de trabalho baseada
no Common Criteria (ISO/IEC 15408), um padrão internacional
voltado para a avaliação da segurança de produtos de TI.
Seguindo a filosofia do Common Criteria, um dos objetivos
do projeto é a criação do Security Target (ST), um documento
que identifica os objetivos e requisitos de segurança
do Target of Evaluation (TOE), o objeto da avaliação de
segurança que, neste caso, é uma aplicação.
A Avaliação de Segurança de Aplicações pode ser realizada
em sistemas que estejam em fase de concepção, construção,
ou mesmo em produção. Se a análise for feita no início
do ciclo de vida da aplicação, o projeto pode ser feito
em conjunto com o levantamento de requisitos do sistema,
incluindo na sua documentação os objetivos de segurança
pretendidos e como implementá-los.
Em sistemas que já tenham sido desenvolvidos, a análise
pode incluir uma inspeção de código para buscar vulnerabilidades
existentes, de acordo com o tipo de sistema.
As vulnerabilidades variam conforme o ambiente e a natureza
das aplicações em análise. Embora elas apareçam em grande
variedade, é possível classificá-las de acordo com as
suas características principais, visando a redução da
complexidade do problema. Por exemplo, no caso de aplicações
Web, que têm presença cada vez mais forte no ambiente
corporativo, podemos classificar as vulnerabilidades em
algumas categorias, de acordo com o seu funcionamento:
Informativas: em geral, relacionadas a respostas por parte do servidor que contêm mais informações que o necessário, que podem ser úteis a usuários maliciosos
Validação de Dados: decorrentes de verificação incorreta dos dados inseridos pelos usuários/aplicações no sistema
Gerência de Sessão: problemas ligados à manipulação do contexto de sessão dos usuários no servidor web
Manipulação de Parâmetros: alteração maliciosa de parâmetros das aplicações buscando explorar algum ponto fraco
Erros de Configuração: permitem a exploração de alguma falha na configuração da aplicação ou do servidor
Principais Benefícios
Identificação/especificação dos objetivos e requisitos de segurança das aplicações
Avaliação da implementação das funções de segurança das aplicações, de acordo com os objetivos e requisitos traçados
Identificação das possíveis ameaças existentes no contexto das informações tratadas pelas aplicações analisadas
Identificação das possíveis vulnerabilidades das aplicações, e suas implicações
Recomendações para prevenir/corrigir as vulnerabilidades apontadas
Redução dos riscos oferecidos pelas ameaças identificadas e maior garantia das informações corporativas relacionadas às aplicações em questão
Premissas
A Avaliação de Segurança de Aplicações assume que a análise da segurança do ambiente relacionado (Sistema Operacional, Web Server, Servidor de Banco de Dados, etc.) foi executada previamente, voltando-se exclusivamente para a avaliação das funções de segurança e de vulnerabilidades existentes nos sistemas em questão. Sendo assim, a execução deste serviço pressupõe que as configurações de segurança do ambiente externo à aplicação foram previamente realizadas.
Voltar
BUSCA