Problemas enfrentados pelos clientes

• falta de confiança do cliente em fornecer dados pessoais;
• perda de informações confidenciais;
• perda de credibilidade após comprometimento;
• código inseguro, intencionalmente ou não;
• desconhecimento das vulnerabilidades existentes e falta de metodologia para análise da aplicação;
• falta de profissionais com conhecimento de segurança;
• auditorias automatizadas, de ferramentas como Acunectix, Core Impact, Trend Micro SecureSite, ZeroDayScan e etc, que são ineficientes;
• dificuldade em lidar com inúmeras vulnerabilidades diferentes: XSS, CRSF, SQL Injection, PHP Injection.

O que esta solução oferece

• Segurança em todos os processos da aplicação, aumentando a confiança dos clientes;
• resposta a incidentes e solução de vulnerabilidades existentes para manter os dados seguros;
• implementação de armazenamento seguro de dados conforme metodologia OWASP;
• varredura da infraestrutura ao código e respectivas correções com orientação adequada
• orientação e treinamento da equipe interna do cliente, com transferência de know how voltada para as necessidades do negócio
• esqueça ferramentas automatizadas! Nossa equipe analisará cuidadosamente sua aplicação, inclusive com os olhos de um atacante, de acordo com as necessidades do seu negócio
• solução de múltiplas vulnerabilidades

Diferenciais desta solução

• A 4Linux não vai lhe vender nenhum produto, por não estar amarrada à nenhum fabricante. Estamos oferecendo um serviço;
• auditoria voltada ao negócio do cliente;
• metodologia OWASP, internacionalmente reconhecida e constantemente atualizada;
• simulação de tentativas realistas de invasão;
• resposta imediata à incidents de segurança online;
• gerenciamento de web security em sites ecommerce.

Funcionalidades e Benefícios

Retorno Direto

• Relatório completo de todo o processo;
• orientação pós-auditoria, para implementações de segurança;
• resposta a incidentes, para resolver vulnerabilidades rapidamente;
• diminuição de ataques bem sucedidos ao site.

Retorno Indireto

• Maior credibilidade por parte dos clientes;
• maior valorização de seus serviços;
• maior tempo disponível para investir no crescimento de sua aplicação WEB;
• capacitação de mão de obra interna.

Para oferecer esta solução livre a 4Linux utiliza os seguintes softwares livres:

• Metaexploit.

Que são aderentes aos seguintes padrões:

• Metodologia OWASP, internacionalmente reconhecida e constantemente atualizada.

Conheça abaixo o que o mercado está falando desta solução:

• Os criminosos estão agora direcionando seus ataques para os aplicativos Web e os usuários finais. Eles estão usando falhas em aplicativos web para tentar enviar códigos maliciosos para os usuários finais. Breach Security Labs (Jan/2010)

Fonte: Breach Security Labs

• Os atacantes estão concentrando seus esforços em aplicações web – 75% dos “cyber attacks” são lançados contra as aplicações desse nível, revela um estudo do Gartnet Group, de maio/2005.
• "Quando documentadas as falhas de segurança de aplicação e infraestrutura, você pode começar a tomar decisões sobre como eliminar a causa raiz da maioria dos exploits, reduzir os potenciais vetores de ataque e limitar o impacto de um incidente de segurança." Gartner Group (Mai/2005)
• Aumentar a segurança das aplicações que serão utilizadas por clientes e parceiros tem se tornado um prioridade para empresas de todo o mundo. Symantec (Set/2006)
• Como porta de entrada para informações da Internet e redes internas da empresas, as aplicações se tornaram um grande investimento corporativo e, por conseguinte, o objetivo primário de atacantes. Symantec (Set/2006)
• Segurança digital possui um papel importante em um dos maiores problemas que assolam os negócios online, a medida que os consumidores adotam um estilo de vida digital. Symantec (Set/2006)

Referências:

• Breach Security Labs - http://www.breach.com/resources/whitepapers/downloads/WP_Top-10-Web-Incidents-2009.pdf
• Gartner Group. - http://www.gartner.com/DisplayDocument?doc_cd=127481
• Symantec - http://www.symantec.com/about/news/release/article.jsp?prid=20060919_01

Para onde está indo o mercado na área desta solução

Automatizados vs Personalizados

As ferramentas comerciais trabalham de forma automatizada, com testes padrões, que buscam as vulnerabilidades mais comuns existentes e gera relatórios no final de cada varredura e análise.

Com testes personalizados, baseados em ferramentas de software livre e profissionais especializados, todo o processo é personlizado, analisando cada aspecto da aplicação e explorando todas as possibilidade para excluir qualquer risco e margem de erro. Por conseguinte, o relatório também será completamente personalizado, corespondendo as necessidade do cliente e coerente com o contexto da aplicação.

Veja alguns motivos para contratar este serviço com a 4Linux:

• A 4Linux não é vinculada a nenhuma solução específica;
• como empresa de software livre, temos a liberdade de utilizarmos as melhores e mais atualizadas ferramentas do mercado para cada necessidade de diferentes clientes;
• profissionais que trabalham com pesquisas de vulnerabilidades;
• treinamentos para análise de vulnerabilidades;
• testes com ataques reais;
• relatório final com todo o processo de análise realizado, passo a passo, as vulnerabilidades encontradas, como foram exploradas e o nível de risco das mesmas;
• após o relatório final, os profissionais envolvidos na administração e desenvolvimento da aplicação WEB, receberão a devida orientação para as correções e implementações de segurança à serem implementadas no código da aplicação;
• no caso da auditoria ser realizada em aplicação recentemente comprometida por ataques, a 4Linux oferece o suporte a incidentes, seguido pela análise e correção das falhas encontradas.