segunda-feira, 16 de setembro de 2013

O estado atual da Segurança em Aplicações - E sua empresa, como está?

Foi realizada uma pesquisa bem interessante sobre a maturidade da segurança de aplicações em organizações. Foram entrevistados 642 profissionais da área (executivos e desenvolvedores), com perguntas sobre uso de ferramentas, conhecimento sobre SDL e políticas de segurança no desenvolvimento.

Os idealizadores da pesquisa foram a empresa Security Innovation e o Instituto Ponemon. Um dos grandes pontos que chamou atenção nos resultados foi a diferença da visão real entre executivos e desenvolvedores sobre o processo atual da segurança de aplicações que a empresa se encontra.


Atualmente a camada de aplicação é responsável por 90% das vulnerabilidades de segurança, porém mais de 80% dos orçamentos são gastos na proteção na camada de rede. Aproveito o gancho aqui para uma palestra que nosso CTO Wagner Elias fará no Silver Bullet com o título "Falta Dinheiro" , onde ele focará um pouco na parte de investimentos do orçamento da empresa.

Os 7 pontos chave encontrados na pesquisa foram.
  1. Maioria das organizações não possuem um processo de desenvolvimento de software
  2. Maioria das organizações não estão fazendo testes de segurança das aplicações
  3. Políticas e requerimentos não estão integrados no SDLC
  4. Grande maioria não possui um processo formal de treinamento de segurança em aplicações
  5. Times de desenvolvimentos não são medidos por compliance com regulamentações e padrões
  6. Maioria das organizações não identificam, medem ou entendem os riscos da segurança das aplicações
  7. Grande desconexão entre executivos e desenvolvedores na situação real na maturidade no desenvolvimento seguro.
Abaixo alguns pontos importantes que valem ser destacados:

Um ponto que podemos achar básico, porém analisando a pesquisa notamos que não é tão comum, são as ferramentas automatizadas. Ficou constatado que durante o processo de desenvolvimento apenas 41% das empresas utilizam essas ferramentas e 43% após o lançamento. Esses números são extremamente baixos, visto que uma ferramenta automatizada seria a checagem mais simplificada, sem grande demanda de tempo, que uma empresa poderia adicionar.

Uma das grandes surpresas, conforme citado anteriormente no inicio do post, foi a diferença de visão da situação entre como a equipe de desenvolvimento está em relação a maturidade da segurança das aplicações. Executivos são totalmente otimistas com 67%, porém a parte técnica não está com a mesma visão, onde 73% NÃO acreditam nessa situação. Essa falta de consenso é bem crítica, pois demonstra que a empresa não está alinhada nesse processo de segurança de aplicação e investimentos podem ( e possivelmente devem) estar sendo feito em área erradas ou com menor necessidade.

Entendimento do risco e tomada de decisões baseado nas métricas demonstram o pouco uso dessa importante informação, sendo respectivamente 44% (entendimento do risco) e 42% (ações baseadas em métricas). Ter um contexto e adaptar a métrica ao seu negócio é fundamental para tomada de decisões, o que nos gerou dúvidas de como eles priorizam as correções e esforços, sem ter a métrica e entendimento adequado.


Alguns dados interessantes sobre os pesquisados, o que mostra grande valor da mesma, pois abrangeu diferentes áreas de atuação, assim como tamanho.

Tamanho das empresas


Área de atuação das empresas


Pesquisa e artigo completo podem ser encontrado em https://www.securityinnovation.com/security-lab/our-research/current-state-of-application-security.html

O Conviso Security Compliance (CSC) é a ferramenta que unifica todo o processo de desenvolvimento seguro e gestão das vulnerabilidades em uma única interface, desenvolvida pela Conviso para facilitar a priorização de ações, gerando métricas que possibilitam que a empresa tenha uma visão singular da situação atual da segurança da aplicação, tanto no lado técnico como executivo.

Requisite mais informações e uma demonstração: https://www.conviso.com.br/produtos.php

Postado por às Nenhum comentário:
Marcadores:

terça-feira, 10 de setembro de 2013

Conviso Security Compliance, o primeiro na América Latina compatível com o CWE

A Conviso já figura como primeira empresa da América Latina no SDL Pro Network da Microsoft, um grupo de empresas especializadas em segurança de aplicação que a Microsoft credencia, conforme podemos visualizar na imagem abaixo:


Sempre preocupada com a adequação de seus produtos aos padrões internacionais em Segurança da Informação, a Conviso agora se apresenta como a primeira empresa da América Latina a oferecer um produto 100% nacional compatível com o CWE (Common Weakness Enumeration) e listado na página do MITRE.



Isso demonstra o reconhecimento da comunidade internacional ao plano de investimentos contínuo que a empresa vem realizando em seus produtos. Ainda podemos afirmar que essa conquista é apenas o começo de muitas outras grandes novidades que ainda estão por vir.

Mas o que é o CWE ?

O CWE (Common Weakness Enumeration) é uma lista que corresponde a documentação de fragilidades em softwares criada para dar suporte ao CVE (Common Vulnerabilities and Exposures), que nos dias de hoje é uma lista global de vulnerabilidades identificadas nos mais variados tipos de software.

Essa base de conhecimento é desenvolvida e mantida pelo MITRE com o objetivo de promover colaboração entre desenvolvedores e profissionais de segurança da informação através da padronização de nomenclaturas, procedimentos de correção e prevenção, facilitando assim o processo de gestão em relação a segurança. Além do CWE o MITRE  também mantém diversos outros padrões aplicados as mais diversas áreas de pesquisa como OVAL e o CAPEC.

No Conviso Security Compliance (CSC), o cliente será informado sobre a relação com o CWE ID, facilitando assim a correção e melhorando a priorização das ações. Abaixo algumas telas do Conviso Security Compliance

Combo para pesquisa de vulnerabilidades baseada no CWE-ID


Descrição da vulnerabilidade com Sans TOP (os 25 CWE-ID mais frequentes)


Novas vulnerabilidades podem ser criadas com link para o CWE-ID correspondente


E logicamente métricas baseadas nos CWE-ID em nossos Dashboards

Ficou interessado? Não deixe de conhecer nosso produto: https://trycsc.conviso.com.br/csc/

Postado por às Nenhum comentário:
Marcadores:

segunda-feira, 9 de setembro de 2013

Conviso: Patrocínios, apoio, palestrantes e treinamentos



Nos dias 14 e 15 de setembro, na UNIVAP - Universidade Vale do Paraíba – Urbanova,  irá acontecer a Vale Security Conference (ValeSec) e a Conviso Application Security ® é uma das patrocinadoras do evento. De acordo com o site do evento:
“A Vale Security Conference é uma iniciativa inovadora composta por pesquisadores e profissionais de segurança da informação que visa trazer ao Vale do Paraíba conhecimentos relevantes sobre os problemas relacionados ao uso das tecnologias, sua segurança, bem como o desenvolvimento de ações preventivas, sejam estas para o mundo corporativo, acadêmico ou para a sociedade em geral.” [1]
O Rodrigo Montoro, nosso Gerente de Produtos irá palestrar sobre o Snort com o título: “Snort - Muito além do make install[2], segue abaixo a descrição da palestra:
Detecção de Intrusos está muito além de uma simples ferramenta ou instalação da mesma. Muito vemos no dia a dia, empresas prestando serviços ou até mesmo consultores instalando poderosas ferramentas, mas praticamente com suas configurações padrões, gerando milhares de falsos-positivos e sem contexto algum com a rede e/ou negócio da empresa. Nessa palestra discutiremos o processo completo para implementação de um Sistema de Detecção de Intrusos de acordo com a necessidade da empresa, diferente tipos de ferramentas e nomenclatures (com foco no Snort), configurações avançandas que são ignoradas em mais de 90% das instalações, assim como a parte mais importante e produto final desse processo, a Gestão do Alerta. A ferramenta é apenas reflexo do nosso conhecimento sobre o assunto e necessidade, muitas vezes com pleno conhecimento, uma ferramenta mais simples poderá ter resultados extraordinários e melhores que produtos milionários, caso o profissional que a instala/configura entenda o contexto que esta sendo exposto.



Além da palestra a Conviso estará presente no evento com 3 treinamentos. Um deles será ministrado pelo nosso CTO, Wagner Elias e terá como tema “Segurança em Desenvolvimento de Software segundo o OpenSAMM”. O workshop tem como objetivo apresentar as práticas do OWASP OpenSAMM [3]. Outro treinamento será ministrado por um dos nossos consultores, o Roberto Soares. O título do treinamento será Ruby for Pentesters [4].
“O treinamento introduz uma abordagem prática na criação de ferramentas utilizando a linguagem Ruby e mostrando as vantagens em utilizar esta linguagem. Testes totalmente hands-on, assim os participantes conseguem assimilar as técnicas apresentadas. Será utilizada como alvo uma rede virtual próxima ao real e também será disponibilizado as ferramentas e arquivos criados utilizados na oficina para os participantes também realizarem os testes posteriormente.”

Para completar teremos também o treinamento do Rodrigo Montoro sobre o os conceitos básicos do Snort [5]. Abordando desde a instalação, como funciona, testes básicos, regras, etc.

Nos dias 05 e 06 de Outubro, no Novotel Morumbi em São Paulo, acontence a Hackers to Hackers Conference (H2HC) [6], conhecida como a maior conferência de Segurança da Informação do Brasil. A conferência visa mostrar ao público como os sistemas são atacados, exibindo novas técnicas de ataque, ferramentas e pontos de insegurança de sistemas para que os responsáveis pela segurança saibam também como se defender e prevenir ataques. Dentre os keynotes speakers está Charlie Miller, antigo funcionário da NSA e escritor de vários exploits para produtos da Apple, que irá demonstrar técnicas de car hacking, isto é, diversas técnicas utilizadas para hackear carros, os quais hoje em dia possuem diversos componentes eletrônios e automatizados.




A Conviso Application Security também irá apoiar e ter seu representante no evento em que mais abrange cidades brasileiras na área de segurança em informação, o RoadSec[7]. Um novo evento de Segurança da Informação com um conceito diferente, por ser um evento itinerante e que acontece em várias cidades do país dando assim a oportunidade de conhecermos diversos profissionais de Segurança em diferentes regiões. O evento em Curitiba acontecerá no dia 21 de Setembro, na Universidade Positivo. O nosso CTO, Wagner Elias[8] irá palestrar sobre “Um pouco sobre segurança em desenvolvimento de software” e terá como objetivo mostrar um planejamento baseado no OWASP OpenSAMM para implementar a iniciativa nas organizações.










Wagner Elias, também apresentará a palestra “falta dinheiro” no Silver Bullet 2013, em São Paulo nos dias 27 e 28 de setembro, o qual irá discutir sobre o investimento em segurança da informação, como deve ser feito esse investimento para aumentar o nível de segurança e atender aos interesses da empresa.

Acompanhe todos os eventos que a Conviso Application Security patrocina e apóia em:  https://www.conviso.com.br/eventos.php


[1] http://www.valesecconf.com.br/
[2] http://www.valesecconf.com.br/palestrantes.html#spooker
[3] http://www.valesecconf.com.br/treinamentos.html#welias
[4] http://www.valesecconf.com.br/treinamentos.html#espreto
[5] http://www.valesecconf.com.br/treinamentos.html#spooker
[6] http://h2hc.org.br/h2hc/pt/
[7] http://roadsec.com.br/
[8] http://roadsec.com.br/wagner-elias
[9] http://sbconference.com.br
Postado por às Nenhum comentário:
Marcadores:
Assinar: Comentários (Atom)