OWASP: A prova que “trabalho de formiguinha” dá resultado

 

owasp_face

Uma das ideias mais repetidas nos círculos de segurança da informação é a de que os usuários são o elo mais frágil da cadeia, quando falamos da proteção de informações. Isso porque as pessoas podem ser enganadas e cometem erros operacionais que causam violações de segurança.

O raciocínio faz todo o sentido, entretanto há uma outra camada do problema, a do desenvolvimento de software, que possui relevância igual quando falamos de ameaças conduzidas por pessoas. Não existe software seguro, aliás há muito software construído com baixíssimos níveis de proteção. Aqui, outro ator do processo entra em cena: o desenvolvedor de software que também é humano, e por isso, também erra.

Notando que a maioria dos problemas de segurança em software eram mais ou menos os mesmos e que havia a necessidade de criar padrões para o assunto, um conjunto de profissionais das áreas de desenvolvimento e de segurança da informação juntaram esforços para identificar e documentar os problemas mais frequentes, padronizar formas de proteção e elaborar meios para que desenvolvedores do mundo todo pudessem, não só ter acesso a todo esse material, mas também fazer parte de uma comunidade global de pessoas interessadas em tornar os sistemas mais confiáveis. Assim, em 2001 surgiu o Open Web Application Security Project, ou OWASP.

What-are-the-Top-10-Fazcebook-Pages

O OWASP se desenvolveu em um “trabalho de formiguinha” – jargão típico de escritório que indica um esforço que pouco a pouco gera grandes resultados. Como o nome diz, o projeto é aberto desde o código que produz até os dados financeiros da instituição, que não possui fins lucrativos. Ali são elaborados materiais de estudo, metodologias para o processo de desenvolvimento e eventos. Seu produto mais famoso é o OWASP Top 10, uma lista revisada periodicamente que contempla as vulnerabilidades de software mais comuns, e as respectivas formas de correção.

Atento aos novos movimentos da indústria de tecnologia e novas vulnerabilidades de software – que agora podem estar também em geladeiras, carros e outros dispositivos, o OWASP criou um projeto específico para a Internet das Coisas. Desse projeto nasceu o “Internet of Things Top 10”, mais um importante diagnóstico das principais vulnerabilidades presentes em um mercado que tende a gerar 26 bilhões de dispositivos até 2020, segundo o Gartner.

pci-dss

No decorrer dos anos o trabalho do OWASP foi ganhando cada vez mais reconhecimento das comunidades de tecnologia e segurança da informação, e seus materiais se tornaram uma referência para a proteção de aplicações, a ponto de fazer parte dos padrões de segurança reconhecidos pelo mercado; tal como o PCI DSS que estabelece as regras para a proteção de dados de cartões de pagamento.

No requisito 6 do PCI DSS se determina que para se certificar nesse padrão, as empresas precisam seguir metodologias de segurança no desenvolvimento de software como as do OWASP. Além disso, todas as vulnerabilidades presentes no OWASP Top 10 estão listadas como requisitos do padrão. Isso quer dizer que as empresas que se certificam no PCI DSS, um dos padrões mais influentes do mercado, precisam estabelecer estratégias para dar tratamento às falhas mais comuns presentes nos sistemas.

Com toda essa relevância o OWASP acabou estabelecendo uma linguagem comum no mercado quando falamos em proteger sistemas e, gradativamente, as empresas desenvolvedoras de software estão aprendendo a “falar esta língua”.

 

Toda essa relevância acabou estabelecendo uma linguagem comum no mercado e a Clavis possui serviços que “falam esta língua” do OWASP, são eles:

auditoriaaplicacoesweb

Auditoria de Segurança em Aplicações Web

Este trabalho tem como objetivo avaliar as aplicações do cliente em contraste com as vulnerabilidades mais comuns nas listas do OWASP, ou outras que contemplem vulnerabilidades como Cross Site Scripting, falhas de injeção, inclusão remota de arquivos, etc.

 

teste-de-invasao

Teste de Invasão

Popularmente chamada de pentest, esta atividade tem por objetivo simular diversas técnicas de ataque de modo a oferecer uma clara visão de como o sistema se comportaria no caso de um ataque real.

 

Auditoria de Código Fonte

Trata-se de uma análise minuciosa em busca de vulnerabilidades presentes no código da aplicação. O trabalho tem foco nas principais linguagens de programação (Java, .NET, C/C++, ASP, PHP, ColdFusion, Oracle, Struts, Spring, Ruby on Rails, entre outras) e atende ao requisito 6 do PCI DSS.

 

Gerenciamento Contínuo de Vulnerabilidades

Esse é um trabalho perene e gerencial que oferece ao cliente um meio de sempre estar atualizado com relação às vulnerabilidades descobertas no mundo e o quanto elas representam de risco para o seu ambiente, possibilitando planejar correções ou agir de maneira imediata em casos comprovadamente emergenciais.

A atividade usa como base a ferramenta QualysGuard. Um appliance reconhecido pelo mercado com um dos mais eficientes na geração de scans, relatórios de qualidade e alertas em tempo real.

Treinamentos

A Clavis também oferece diversos treinamentos presenciais ou à distância com foco técnico em disciplinas de segurança e compliance. Nossos cursos abordam o que é necessário saber para desenvolver softwares sob as premissas do OWASP e muito mais.