Security Testing

O papel dos testes de segurança na aderência aos padrões de mercado

Padrões de mercado como o PCI Data Security Standard (PCI DSS) estabelecem uma série de requerimentos para que as empresas definam, implementem e mantenham controles no seu Ambiente Informatizado que reduzam a probabilidade de perdas relacionadas a níveis aceitáveis.

Ainda assim, o PCI DSS tem requerimentos para que testes de segurança sejam realizados como forma de assegurar que as proteções desenvolvidas funcionam da maneira esperada. Através de Security Scans e Penetration Tests, as empresas certificadas nestes requisitos passam a contar com um nível de verificação de segurança independente, que permite estabelecer uma melhoria contínua na proteção de seus ativos. Porém os testes de segurança devem ser entendidos não como mais uma ferramenta para garantir a aderência a um padrão, mas sim como um verdadeiro teste para a eficiência das defesas estabelecidas.

Definindo o modelo adequado para cada necessidade

O uso de ferramentas automatizadas para a execução de testes de segurança é um padrão na indústria, porém acreditar que somente este tipo de análise e a crença em relatórios padronizados que determinam o nível de risco de acordo com padrões gerais é um erro que pode gerar resultados desastrosos a curto prazo.

Sem dúvida ferramentas de qualidade devem ser usadas como primeira etapa na busca de vulnerabilidades em uma aplicação, porém o cliente deve entender quais são as limitações deste tipo de abordagem e quais opções adicionais podem ser contratadas de acordo com o investimento disponível e particularidades do projeto em questão.

Uma abordagem adequada para cada cenário

Desenvolvemos uma linha de serviços profissionais onde testamos o nível de segurança de suas aplicações através de uma abordagem que permite a nossos clientes contratarem projetos que façam sentido para suas realidades. Utilizando como base o formato recomendado pelo OWASP Application Security Verification Standard (ASVS), o Conviso Security Testing pode ser empregado em quatro níveis de teste com o uso crescente de técnicas específicas.

  • Nível 1: Testes de segurança automatizados que podem ser utilizados para o mapeamento geral de vulnerabilidades e aderência ao PCI DSS através de Security Scans.
  • Nível 2: Incremento dos testes automatizados com o uso de test cases manuais desenvolvidos pelo Conviso Labs, abordagem largamente utilizada por nossos clientes em penetration tests em modo black box e white box.
  • Nível 3: A análise de determinados processos para a segurança de software são adicionados aos testes do Nível 2, permitindo que esta abordagem seja utilizada em revisões de segurança em código fonte.
  • Nível 4: Testes profundos que utilizam todas as abordagens propostas pelos níveis anteriores e inclui a análise do nível de maturidade na segurança para o processo de desenvolvimento de software. Esta abordagem é adequada para aplicações que sejam continuamente utilizadas em sistemas de missão crítica.

Os testes de segurança propostos pelo OWASP ASVS são suportados pelo uso de guidelines referenciados pelo mercado tais como os publicados pelo NIST ou pelo próprio OWASP e ferramentas automatizadas fornecidas por nossos parceiros e/ou desenvolvidas internamente pelo Conviso Labs, como scripts em diversas linguagens, instrumentos que fazem uso de rainbow tables e coleções de software utilizadas para testes de fuzzing.

Principais Benefícios

Além de permitir conhecer e documentar as vulnerabilidades existentes no seu ambiente e suportar a adequação do nível de proteção em uma forma estruturada, os resultados dos nossos testes apresentam benefícios adicionais que não são alcançados por abordagens tradicionais:

  • Permite o uso da abordagem adequada de acordo com o orçamento disponível para os testes, as necessidades específicas de cada projeto e ainda garante as métricas de acompanhamento para a evolução da segurança das aplicações.
  • Ao desenhar os objetivos e métricas de forma clara e contínua, garante o atendimento às expectativas do cliente em relação ao tipo de resultado apresentado e uso para a melhoria do nível de segurança de suas aplicações.
  • Permite que as empresas conheçam não só o nível de segurança de suas aplicações em comparação com o mercado, como ainda acompanhem a evolução do nível de maturidade adquirido por suas equipes de desenvolvimento e segurança.
  • As vulnerabilidades são reportadas de forma detalhada, onde apresentamos o impacto real da efetivação, recomendações de melhoria específicas e referências para suporte tanto no entendimento do problema como na forma adequada de resolução.
  • Estudamos as causas potenciais das vulnerabilidades e ajudamos nossos clientes a adequarem suas estratégias para tomar ações preventivas que evitem o surgimento de novas falhas como resultado de problemas conhecidos.

Como resultado, realizamos em média 200 testes a cada ano para as empresas líderes em seus mercados que confiam em nossas competências e provam isso através da contratação contínua de nossos serviços para avaliar a segurança de suas aplicações e apresentar recomendações de melhoria que funcionam.

Como conduzimos nossos testes

Os testes são desenvolvidos com o suporte de duas metodologias, a gestão do projeto é realizada com uma estrutura de atividades continuamente monitorada para garantir o nível de qualidade dos produtos entregues; e os testes de segurança seguem padrões internos desenhados para completar cada um dos níveis recomendados pelo OWASP ASVS.

Testes de Segurança Nível 1

São realizados através de scans automatizados com os módulos do Qualys Guard, onde os resultados são entregues em uma reunião de conclusão e comentados por um de nossos especialistas.

Testes de Segurança Nível 2

São realizados scans automatizados e testes manuais desenvolvidos pelo Conviso Labs, onde vulnerabilidades nas camadas de arquitetura, redes de dados e aplicação são identificadas e reportadas para o cliente em um workshop de conclusão.

Neste evento, os resultados são apresentados para o público executivo e explicados para o público técnico, onde mostramos as causas-chave e recomendações de melhoria para curto e longo prazo.

Testes de Segurança Nível 3

Em uma primeira abordagem são realizados scans automatizados e testes manuais desenvolvidos pelo Conviso Labs. Em seguida, nossa equipe trabalha junto com o cliente para avaliar se o nível de proteção esperado é aplicado em outras instâncias.

Este processo pode ser composto pela revisão de segurança do código fonte de uma aplicação, desenvolvimento e análise conjunta da modelagem de ameaças, revisão dos processos operacionais utilizados no suporte à segurança e ainda a análise do nível de capacitação dos técnicos e gestores responsáveis.

Testes de Segurança Nível 4

A abordagem é idêntica a desenvolvida no Nível 3, porém as análises cobrem ainda se a aplicação tem os controles aplicados como esperado durante todo o ciclo de desenvolvimento de software.

É um teste adequado somente para aplicações que estejam em um nível de maturidade elevado, onde a empresa tenha um Secure Development Lifecycle implementado e funcionando.