Serviços

Avaliação de Segurança de Aplicações

O serviço tem como objetivo encontrar possíveis vulnerabilidades no desenvolvimento do sistema que possam fornecer informações a usuários maliciosos ou que possibilitem sua exploração para a obtenção de acesso não autorizado à aplicação ou aos recursos do sistema.

A Avaliação de Segurança de Aplicações pode ser realizada em sistemas que estejam em fase de concepção, construção ou mesmo em produção.

Se a análise for feita no início do ciclo de vida da aplicação, o projeto pode ser feito em conjunto com o levantamento de requisitos do sistema, incluindo na sua documentação os objetivos de segurança pretendidos e como implementá-los.

Em sistemas que já tenham sido desenvolvidos, a análise pode incluir uma inspeção do código fonte para buscar vulnerabilidades existentes, de acordo com o tipo de sistema.

Os testes na aplicação são realizados normalmente de duas formas, a saber:

Sem credencial de acesso – Nenhuma informação, exceto a URL da aplicação será utilizada, visando o acesso anônimo à aplicação e seus dados
Com credencial de acesso – Uma credencial de acesso de usuário comum deverá ser disponibilizada, para avaliações de perfil, tentativas de elevação de privilégios e acesso a informações sem permissão

Principais atividades:

Fazer o levantamento/mapeamento da infraestrutura da aplicação em funcionamento
Fazer varredura e análise de vulnerabilidades nos ativos que suportam a aplicação
Realizar testes automáticos e manuais de penetração
Testar todas as funcionalidades da aplicação, caso seja disponibilizada uma ou mais credencial de acesso
Identificar falhas de configuração da infraestrutura e softwares utilizados
Explorar as possíveis vulnerabilidades
Buscar informações sensíveis expostas na Internet
Avaliar falsos positivos e/ou negativos
Classificar o nível de risco de cada problema encontrado
Sugerir ações para mitigação dos riscos e vulnerabilidades encontradas
Sugerir melhorias para aumento da segurança da aplicação
Mensurar riscos e impactos ao negócio
Avaliar conformidade com práticas de mercado como OWASP, WASC, PCI-DSS, HIPAA, ISO/IEC 27002, dentre outras

Principais Benefícios

Acompanhamento periódico dos indicadores de melhoria no desenvolvimento das aplicações
Redução dos riscos
Valorização da aplicação junto aos usuários e gestores
Transferência de conhecimento para equipe de desenvolvimento
Adequação dos requisitos de segurança aos padrões do mercado
Avaliação da implementação dos controles de segurança das aplicações
Identificação das vulnerabilidades e ameças às aplicações

Alguns serviços da 3Elos:

SOC & MSS
Teste de Invasão
Avaliação de Segurança de Aplicações
Avaliação de Segurança Cibernética
Rastro Digital
Consultoria em Desenvolvimento de Software Seguro
Campanha de Phishing
Adequação à LGPD
Elaboração/Revisão de política de Segurança
Especificação de Segurança
Hardening de Segurança
Implementação de Controles de Segurança
Planejamento Estratégico

Alguns produtos da 3Elos

trio - inteligência, transformando dados em conhecimento
CTS - Sistema de Ameaças Cibernéticas
WebWatch - Monitoramento de Sites
3BSA - Sistema de Gestão de Riscos e Vulnerabilidades
SAgS - Sistema de Autogerência de Senhas
Criptografia de Email
Verificação de Integridade de Bases de Dados
Verificação de Controles da SOX
Levantamento da Permissão de Compartilhamentos