Aplicações mal programadas trazem riscos para as empresas. Com a crescente tendência das empresas de desenvolver aplicações para modernizar processos internos e oferecer mais comodidade ao cliente, muitas informações confidenciais dos clientes estão indo parar na camada de aplicação. Porém, se a segurança não fizer parte do ciclo de vida do desenvolvimento de software, o risco associado as aplicações inseguras não compensa o aumento da eficiência e satisfação do cliente.
O pacote completo da solução de Segurança de Aplicações é constituído pelos serviços de Teste de Penetração de Aplicações, Revisão de Código e Treinamento em Desenvolvimento Seguro, de forma a garantir que as suas aplicações sejam minuciosamente testadas e avaliadas, resultando em uma orientação individualizada, aumentando consideravelmente a segurança das aplicações.
Teste de Penetração de Aplicações
O teste de penetração de aplicações simula um ataque a uma aplicação para apurar a eficácia de seus controles de segurança. O teste de penetração feito na aplicação nas mais diversas perspectivas de usuário autenticado e não autenticado é exaustivo e revela riscos decorrentes de brechas de vulnerabilidade que podem ser aproveitadas pelos agentes invasores.
Os testes de penetração de aplicações avaliam a vulnerabilidade de um aplicativo a todas as ameaças conhecidas, que incluem, entre outros:
• Execução de código arbitrário
• Validação de entrada de dados
• Scripts entre sites
• Injeção de SQL
• Estouro de buffer
• Desvio de autenticação
• Adulteração de entrada de dados
• Manipulação de URL
• Manipulação de variáveis ocultas
• Modificação de cookies
A intenção da metodologia usada no teste de penetração de aplicações é demonstrar vulnerabilidades de um aplicativo que possam comprometer dados críticos. Os clientes recebem os resultados em um formato detalhado, que inclui recomendações táticas e estratégicas.
Revisão de Código de Aplicações
Durante a revisão do código de aplicações, é realizada uma inspeção manual de todo o código fonte da aplicação em questão, a fim de identificar deficiências nos controles de segurança e identificar erros de desenvolvimento que infrinjam as práticas recomendadas ou gerem vulnerabilidades. A revisão de código de aplicações examina todos os aspectos da segurança de uma aplicação desde o código-fonte. O serviço inclui ainda a avaliação das ferramentas e aplicações comerciais usadas para criar e executar os serviços front-end e back-end.
A revisão do código culmina em um relatório completo, com detalhes sobre áreas específicas do código da aplicação que precisam de reparo para manter o sistema seguro. Para cada aplicação revisada é fornecido um relatório que contém:
• Aplicação e versão específica testada
• Componentes da revisão feita na aplicação
• Avaliação da eficácia dos controles existentes em termos de projeto e operação
• Documentação dos testes
• Riscos identificados na aplicação
• Recomendações para minimizar os riscos de segurança baseadas nas avaliações
• Avaliação geral do nível de risco da aplicação
• Discussão das atividades de revisão realizadas até chegar à avaliação geral
Treinamento em Desenvolvimento Seguro
É uma sessão de treinamento personalizada aos desenvolvedores de sistemas da organização com base nas práticas recomendadas do setor e nos resultados das análises realizadas. Esse serviço tem demonstrado mais eficácia na prevenção de erros futuros de programação, pois os desenvolvedores são treinados com base em exemplos extraídos de suas próprias aplicações.
O treinamento é realizado nas instalações do cliente e tem duração de um a três dias, para atender especificamente ao ambiente de desenvolvimento de aplicações do cliente. O ideal é usar a sessão de treinamento como sequência do serviço de revisão de código ou do teste de penetração das aplicações, para que os exemplos específicos encontrados nesses serviços possam ser incluídos no treinamento. Dessa forma, a equipe do cliente aprende com problemas de codificação que fazem parte da realidade da empresa e já sai pronta para aplicar os conhecimentos adquiridos.