Serviços

Avaliação de Segurança de Aplicações

O serviço tem como objetivo encontrar possíveis vulnerabilidades no desenvolvimento do sistema que possam fornecer informações a usuários maliciosos ou que possibilitem sua exploração para a obtenção de acesso não autorizado à aplicação ou aos recursos do sistema.

A Avaliação de Segurança de Aplicações pode ser realizada em sistemas que estejam em fase de concepção, construção ou mesmo em produção.

Se a análise for feita no início do ciclo de vida da aplicação, o projeto pode ser feito em conjunto com o levantamento de requisitos do sistema, incluindo na sua documentação os objetivos de segurança pretendidos e como implementá-los.

Em sistemas que já tenham sido desenvolvidos, a análise pode incluir uma inspeção do código fonte para buscar vulnerabilidades existentes, de acordo com o tipo de sistema.

Os testes na aplicação são realizados normalmente de duas formas, a saber:

  • Sem credencial de acesso – Nenhuma informação, exceto a URL da aplicação será utilizada, visando o acesso anônimo à aplicação e seus dados
  • Com credencial de acesso – Uma credencial de acesso de usuário comum deverá ser disponibilizada, para avaliações de perfil, tentativas de elevação de privilégios e acesso a informações sem permissão

Principais atividades:

  • Fazer o levantamento/mapeamento da infraestrutura da aplicação em funcionamento
  • Fazer varredura e análise de vulnerabilidades nos ativos que suportam a aplicação
  • Realizar testes automáticos e manuais de penetração
  • Testar todas as funcionalidades da aplicação, caso seja disponibilizada uma ou mais credencial de acesso
  • Identificar falhas de configuração da infraestrutura e softwares utilizados
  • Explorar as possíveis vulnerabilidades
  • Buscar informações sensíveis expostas na Internet
  • Avaliar falsos positivos e/ou negativos
  • Classificar o nível de risco de cada problema encontrado
  • Sugerir ações para mitigação dos riscos e vulnerabilidades encontradas
  • Sugerir melhorias para aumento da segurança da aplicação
  • Mensurar riscos e impactos ao negócio
  • Avaliar conformidade com práticas de mercado como OWASP, WASC, PCI-DSS, HIPAA, ISO/IEC 27002, dentre outras

Principais Benefícios

  • Acompanhamento periódico dos indicadores de melhoria no desenvolvimento das aplicações
  • Redução dos riscos
  • Valorização da aplicação junto aos usuários e gestores
  • Transferência de conhecimento para equipe de desenvolvimento
  • Adequação dos requisitos de segurança aos padrões do mercado
  • Avaliação da implementação dos controles de segurança das aplicações
  • Identificação das vulnerabilidades e ameças às aplicações

Alguns serviços da 3Elos:

 

Alguns produtos da 3Elos


 
 
 Rua São José, 90 - Sala 1301 - Centro
 Rio de Janeiro - RJ - 20010-020
 +55 (21) 2263-8135 / 99305-6056

 Linkedin 3Elos   Facebook 3Elos   Twitter 3Elos

Monitorado pelo WebWatch