Serviços

Desenvolvimento Seguro

Gap Analysis - Para iniciar os investimentos em segurança em desenvolvimento devemos sempre buscar o entendimento do que está sendo feito pela organização e quais objetivos a se atingir é realizado um diagnóstico e sugerido qual a melhor abordagem para a sua organização.

Treinamentos - Quando a organização já possui alguma iniciativa, recomendamos que seja estabelecido um programa de capacitação dos envolvidos, que irão envolver desde gestores até programadores e profissionais mais técnicos. Para uma abordagem contínua e alinhada com outras áreas como Recursos Humanos recomendamos o desenvolvimento de um programa de educação desenvolvido de maneira customizado para a necessidade da empresa.

OpenSAMM- O OWASP OpenSAMM é um framework para desenvolvimento seguro que estrutura as práticas e sugere um modelo de maturidade. Então utilizamos o framework para realizar diagnósticos e avaliar o processo de desenvolvimento da empresa e traçar um plano de ação.

Metodologia AppSec Flow

Software Seguro

Gestão de deploys no AppSec Flow

Modelagem de Ameaças - Fornecemos mão de obra especializada e ferramentas de análise e gestão para execução de modelagem de ameaças buscando identificar os riscos associados a solução e os controles que devem ser implementados para sua mitigação.

Requisitos de Segurança - Através de profissionais especialistas em desenvolvimento de software e segurança estabelecemos requisitos de segurança e orientações prescritivas que suportam todos os times envolvidos no desenvolvimento e implementação das aplicações.

Arquitetura de Segurança - Podemos assessorar a definição de segurança e revisão de segurança da arquitetura que compõe a aplicação e o ambiente que a suporta. Possibilitando que os riscos associados a aplicação sejam mitigados através de uma arquitetura bem definida.

SDL - Possuímos forte experiência em implementação e adequação de processos de desenvolvimento de software para inserir atividades de segurança estruturando um Security Development Lifecycle (SDL).

Testes de Segurança

Code Review - É a análise do código-fonte em busca de vulnerabilidades que podem ser corrigidas antes mesmo do software rodar pela primeira vez, reduzindo significativamente a exposição a risco. O code review é, por definição, uma análise manual, pois é a revisão do código feito por um desenvolvedor por outro desenvolvedor (só que este segundo desenvolvedor se especializou em segurança de aplicações). Não pode, portanto, ser automatizada, pois implica no uso da inteligência humana na percepção de falhas de lógica de negócio, além dos erros comuns de codificação que podem ser explorados por atacantes.

SAST/DAST/IAST - São modalidades de ASTs (Application Security Testing), testes que são realizados de forma automatizada por ferramentas especializadas. O SAST (Static Application Security Testing) é a varredura realizada no código-fonte em busca de indícios de código vulnerável. O DAST (Dynamic Application Security Testing) é a análise em busca de condições indicativas de vulnerabilidade realizada com a aplicação rodando, portanto a ferramenta irá “navegar” pela aplicação simulando abordagens de ataque conhecidas. O IAST (Interactive Application Security Testing) é uma abordagem híbrida, que combina técnicas de análise estática e dinâmica por meio de agentes que realizam a instrumentação de sistemas em execução.

Penetration Test - O Pentest ou Teste de Invasão é uma análise de segurança realizada manualmente, onde o analista de segurança irá emular o comportamento de um atacante, buscando identificar vulnerabilidades que possam ser exploradas, de modo a comprometer o ambiente analisado e permitir a violação dos dados ou vazamento de informações.

Gestão das análises no AppSec Flow

Gestão de Vulnerabilidades

Gestão de Vulnerabilidades no AppSec Flow

Workflow de Correção - Muitos gestores de segurança têm dificuldade para rastrear as ações de correção das vulnerabilidade identificadas. Implementar um workflow de correção é o método adequado para controlar o status das vulnerabilidade, atribuir as ações de correção, acompanhar prazos de execução, validar a aplicação das correções, administrar cartas de risco, compartilhar informações, gerar colaboração e manter a alta-administração devidamente informada dos riscos.

Scan de Vulnerabilidades - Gestão de Vulnerabilidades é um processo independente de ferramenta de scan de vulnerabilidade. Para identificação de vulnerabilidades utilizamos o nosso produto AppSec Flow e testes manuais.

WAF - Para correção de vulnerabilidades alteramos o código fonte da aplicação e/ou configurações no ambiente. Para uma estratégia de defesa em profundidade ou virtual patching utilizamos a nossa própria tecnologia de WAF.