À medida que crescem as conexões globais, crescem também os riscos de segurança

De acordo com o Relatório de Riscos e Tendências IBM ® X-Force® de Meio de Ano de 2011, 2011 pode ser considerado "O Ano da Violação de Segurança" devido a um número sem precedente de violações de segurança de grande importância relatadas na primeira metade de 2011. Um mundo virtual mais interconectado, inteligente e bem-equipado, de escopo e escala globais, gera riscos e perigos maiores, com ataques de segurança de rede mais sofisticados e mais difíceis de gerenciar contra empresas e infraestruturas.

O relatório mostra que 37% de todas as vulnerabilidades durante a primeira metade de 2011 foram provenientes de vulnerabilidades de aplicativos da web. Um fracasso em tornar os aplicativos da web seguros pode resultar em enormes perdas, tanto financeiras quanto no desempenho dos aplicativos. A maior parte das ameaças baseada na web ocorre por causa de brechas no código fonte, permitindo injeções SQL, cross-site scripting, informações de sessão comprometidas e assim por diante. A segurança de navegador também pode ser contornada facilmente se não houver um forte cumprimento de segurança de garantia de qualidade. Para obter uma visão geral do panorama atual da segurança de aplicativos, é possível fazer o download desse relatório (consulte o link em Recursos).

A família de produtos IBM® Rational® AppScan® automatiza os testes de segurança dinâmicos de vulnerabilidades da web para aplicativos da web (serviços da web, Web 2.0) e aplicativos da Internet ricos (JavaScript, Ajax e Adobe Flash). Essa abordagem de teste de segurança dinâmico abrange desde o desenvolvimento até o teste, varrendo aplicativos, identificando vulnerabilidades e gerando relatórios de brechas, com recomendações de correções antes dos aplicativos serem implementados na web.

As versões do Rational AppScan atendem grupos de desenvolvimento pequenos, médios ou grandes, com uma variedade abrangente de opções:

• Source Edition é direcionada para auxiliar equipes de desenvolvimento, e inclui análise de código fonte ao AppScan Enterprise com static application security testing (SAST).
• Enterprise Edition é uma solução de classe corporativa para teste de segurança de aplicativos e gerenciamento de risco com governança, colaboração e inteligência de segurança.
• AppScan Tester Edition é uma solução de dynamic application security testing (DAST) especificamente projetada para integrar os testes de segurança de aplicativos a um ambiente de QA com o Rational Quality Manager.
• Standard Edition, que é uma ferramenta crítica de teste de segurança de desktop, projetada para automatizar as avaliações de vulnerabilidade da web. Ela gera tanto análises estáticas quanto dinâmicas das vulnerabilidades, com recomendações de correção correspondentes.

Neste artigo, exploramos os recursos do Rational AppScan Standard Edition, Versão 8.5, para executar testes de segurança e vulnerabilidade automatizados de aplicativos de serviço da web e da web. Também exploramos seus recursos de relatório de conformidade regulamentar como parte do teste de segurança e vulnerabilidade automatizado de aplicativos de serviço da web e da web.

Para explorar os recursos do AppScan Standard Edition v8.5, você usará o PlantsByWebSphere v8.0.0.1, Versão Ajax, um aplicativo incluído como amostra junto com o WebSphere Feature Pack para Web 2.0 e Dispositivos Móveis, Versão 1.1.0. A Figura 1 mostra a tela inicial.

Visualização maior da Figura 1.

Observação:
Para obter detalhes sobre este aplicativo, consulte o link na seção Recursos .

PlantsByWebSphere é fornecido pela IBM com o código fonte. O aplicativo de amostra é um candidato ideal para nosso exercício de teste de segurança e vulnerabilidade, pois ele está em conformidade com interfaces de programação de aplicativos (APIs) e não é projetado para ter a segurança robusta como requisito de design. A IBM documenta claramente a renúncia de responsabilidade no código fonte fornecido. Esta amostra pode ser configurada facilmente, e as etapas explicadas neste artigo podem ser facilmente replicadas ao explorar os recursos do AppScan.

Além disso, você fará a varredura do aplicativo de serviço da web HelloWorld JAX-WS mostrado na Figura 2, implementado no tempo de execução do IBM® WebSphere® Application Server v8.0.0.1, para explorar mais os recursos do AppScan Standard Edition v8.5.

O método de negócios do aplicativo HelloWorld JAX-WS, sayHello(), aceita um objeto HelloReq e retorna um HelloResp, enquanto saúda o indivíduo nomeado com uma mensagem de saudação pessoal. Os objetos HelloReq and HelloResp contêm atributos de tipo de cadeia de caractere, nomes e resposta, respectivamente.

Voltar para parte superior

Teste de segurança e vulnerabilidade automatizado de um aplicativo da web

Primeiro, configure uma varredura completa e abrangente do seu aplicativo da web PlantsByWebSphere, usando o Scan Configuration Wizard mostrado na Figura 3. Antes de configurar o perfil de varredura para descobrir vulnerabilidades de segurança desse aplicativo da web, é desejável assegurar que o WebSphere Application Server v8.0.0.1 esteja sendo executado e que o aplicativo PlantsByWebSphere seja implementado no tempo de execução e esteja sendo executado com sucesso, como mostrado na Figura 2 (o status de aplicativo corporativo do pbw-ear esteja mostrando uma seta verde na coluna Application Status).

1. Abra o Rational AppScan Standard Edition v8.5.
2. Selecione File > New.

Esta caixa de diálogo New Scan (Figura 3) descreve a varredura baseada em assistente disponível para uma variedade de modelos predefinidos.

Para este exemplo, uma varredura Comprehensive é selecionada e, como a Tabela 1 mostra, isso é configurado para um aplicativo da web na URL determinada, login automático (com as credenciais necessárias) e uma varredura completa.

3. Abra o Scan Configuration Wizard e especifique as opções relacionadas na Tabela 1.

Observação:
O nome do host, o # da porta e as credenciais do usuário variam dependendo da sua instalação e configuração.

4. Agora, selecione as definições de configuração ambientais relacionadas na tabela 2.

A Figura 4 mostra as definições de ambiente especificadas para a configuração de varredura.

Visualização maior da Figura 4.

Esta é uma configuração do Microsoft Windows. O aplicativo está sendo executado no WebSphere Application Server e está utilizando o banco de dados padrão DB2.

5. Permita que o AppScan execute a varredura de teste abrangente de segurança e vulnerabilidade.

Como mostra a Figura 5, permitir que AppScan conclua a varredura abrangente de segurança e vulnerabilidade resulta em um conjunto de informes de segurança, como o número total problemas (54), alto (12), médio (2), baixo(40) e problemas de segurança de informações (0).

Visualização maior da figura 5.

Os problemas podem ser avaliados em três visualizações diferentes:

• Security Issues
• Remediation Tasks
• Application Data

Observe que os informes podem ser organizados por gravidade (ascendente ou decrescente) e que há um painel para uma representação baseada em gráfico das vulnerabilidades.

6. Clique no botão Report no desktop do AppScan para gerar um relatório abrangente. Explore diversos modelos de relatório fornecidos no aplicativo AppScan.

Vários modelos de relatório customizáveis estão disponíveis nas categorias relacionadas abaixo:

• Security fornece uma lista de problemas encontrados
• Industry Standard fornece informações sobre a conformidade ou falta de conformidade do seu aplicativo
• Regulatory Compliance lida com a conformidade com padrões jurídicos (consulte a nota)
• Delta Analysis contém informações que mudaram entre varreduras individuais diferentes. Este relatório é útil para varreduras regressivas para descobrir vulnerabilidades que foram corrigidas, vulnerabilidades que não foram corrigidas e vulnerabilidades que foram descobertas pela primeira vez em uma nova varredura.
• Template-based , nos quais são utilizados modelos para definir os dados e a formatação do documento em estilos .doc do Microsoft Word.

Observação:
A Regulatory Compliance. Ela vem com cerca de 40 relatórios de conformidade, incluindo o PCI Data Security Standard, Payment Applications Data Security (PA-DSS) [novo], ISO 27001 e ISO 27002 [novo], e Basel II.

A Figura 6 mostra um exemplo de criação de um relatório baseado em modelo (Custom Template) customizável (opções de relatório especificadas do criador de relatório).

Importante:
Consulte Downloads para obter o relatório resumo gerado por esta varredura: AppScanPlantsByWebSphere_Scanned_Summary_Security_Report.pdf

Voltar para parte superior

Teste de segurança e vulnerabilidade automatizado de um aplicativo de serviço da web

Dica:
Será útil explorar o website do Open web Application Security Project (OWASP) para saber mais sobre a segurança da web, obter uma lista altas vulnerabilidades, dicas para correção e assim por diante (consulte o link em Recursos). O site do OWASP também tem uma página dedicada a diferentes categorias de vulnerabilidades, como de autenticação, criptografia, criação de log e gerenciamento de sessões.

Agora você está pronto para configurar uma varredura completa e abrangente do seu aplicativo de serviço da web HelloWorld. Antes de configurar o novo perfil de varredura para descobrir as vulnerabilidades de segurança desse aplicativo da web, certifique-se de que o WebSphere Application Server v8.0.0.1 esteja sendo executado e de que o aplicativo de serviço da web HelloWorld esteja implementado no tempo de execução e esteja sendo executado com sucesso, como mostrado na Figura 2 (o status de aplicativo corporativo HelloWorld_V1EAR mostre uma seta verde na coluna Application Status).

1. Abra o Rational AppScan Standard Edition v8.5.
2. Selecione File > New > Predefined Templates > Comprehensive Scan.

3. Abra o assistente Scan Configuration e especifique as opções relacionadas na Tabela 3. Consulte a Figura 7.

4. Especifique as definições de configuração ambientais relacionadas na Tabela 2.
5. Permita que o AppScan execute a varredura de teste abrangente de vulnerabilidade de segurança.

A Figura 8 mostra o resultado da varredura concluída com sucesso. Depois de concluir uma varredura e identificar problemas, o AppScan classifica os problemas em termos de gravidade alta, média, baixa ou de nível de informação, e apresenta os resultados da varredura em 4 guias. As guias são organizadas como Issue Information, Advisory, Fix Recommendation e Request/Response. Essas guias contêm informações detalhadas sobre o problema que está sendo identificado, a URL que contribuiu para a identificação do problema, o risco apresentado pelo problema identificado, uma recomendação para lidar com o risco apresentado pelo problema ou vulnerabilidade, e as informações brutas da troca de Solicitação/Resposta.

Visualização maior da Figura 8.

Quando uma varredura estiver sendo executada, um painel de progresso indica a fase atual da varredura em tempo real, juntamente com a URL e a % concluída. Uma varredura de várias fases pode ser ativada para varrer URLs contidas dentro da URL principal. Nesse caso, a barra de status fornece o status do número de URLs visitadas, a varredura concluída no número delas e assim por diante. Essas varreduras podem ser configuradas para serem executadas automaticamente uma vez ou periodicamente.

Em seguida, você irá gerar um relatório customizado usando um modelo de relatório customizado com as opções selecionadas que a Figura 5 mostra.

Consulte Downloads para obter o relatório resumo gerado: AppScanHelloWorldWebService_Scanned_Summary_Security_Report.pdf

Voltar para parte superior

Práticas de varredura sugeridas

É possível customizar esses parâmetros de configuração de aplicativo do AppScan para evitar problemas provenientes do uso excessivo de memória do AppScan, que tem o potencial de resultar na perda de todos os dados.

• PerformanceMonitor.RestartOnOutOfMemory
• PerformanceMonitor\minScanTimeDurationForRestart

1. Clique em Tools > Options > Advanced tab.
2. Altere estes dois parâmetros relacionados na coluna Preference Name para estes dois valores:
   1. PerformanceMonitor.RestartOnOutOfMemory=True
   2. PerformanceMonitor\minScanTimeDurationForRestart=30 (minutos)

Esses parâmetros customizados resultam na reinicialização automática do AppScan quando o uso de memória torna-se alto demais ou quando a varredura é encerrada devido à baixa memória virtual. Para obter detalhes, consulte os links na seção Recursos .

Consulte a Figura 9 para obter detalhes.

Visualização maior da figura 9.

Voltar para parte superior

Resumo

Você configurou o Rational AppScan Standard Edition v8.5 com sucesso para executar testes de segurança e vulnerabilidade automáticos do aplicativo da web PlantsByWebSphere web e do aplicativo de serviço da web HelloWorld. Além disso, você gerou com sucesso relatórios de vulnerabilidades e correções detalhados usando modelos de relatório pré-configurados e customizados. Consulte o link em Recursos para obter mais informações sobre o fortalecimento da segurança do ambiente de tempo de execução do WebSphere Application Server.

A sessão Downloads contém um guia de journal de instalação, os relatórios gerados, os documentos de exportação de varredura, a TechNote e o aplicativo de amostra usado neste artigo.

Os autores agradecem a ajuda de Karl Snider, Market Segment Manager, Application Security and Compliance, software IBM Rational. Karl realizou uma revisão técnica cuidadosa deste artigo e ofereceu comentários construtivos e reveladores que ajudaram os autores a melhorar a qualidade e a atualidade deste artigo.

Voltar para parte superior

Downloads

Informações sobre métodos de download          Obtenha o Adobe® Reader®

Recursos

Aprender

• Links para informações mencionadas neste artigo:
  • Faça o download do Relatório de Riscos e Tendências IBM X-Force de Meio de Ano de 2011, Resumo Executivo.
  • Visite o Open Web Application Security Project (OWASP), principalmente a categoria Vulnerabilidade .
  • Visite o Rational AppScan Standard Edition - uma edição do IBM Rational AppScan para varredura de segurança avançada de aplicativos da web - http://www-01.ibm.com/software/awdtools/appscan/standard/
  • Leia esta IBM TechNote se o Rational AppScan for interrompido e exibir a mensagem "AppScan has reached its predefined memory limit".
  • Consulte Getting Started with PlantsByWebSphere, Ajax Version para obter mais informações sobre o aplicativo de amostra usado neste artigo.
  • Leia Fortalecimento de segurança avançada do WebSphere Application Server v7, Parte 1: Visão geral e abordagem do fortalecimento de segurança e a Parte 2: Considerações sobre segurança avançada .
  • Consulte a página AppScan do developerWorks e a página da web da linha do produto AppScan para encontrar as edições que mais o interessam.
  
  
• Explore o Altoro Mutual , que mostra os recursos de varredura de vulnerabilidades de aplicativos do Rational AppScan Standard Edition
  
  
• Visite a área do software Rational no developerWorks para obter recursos técnicos e boas práticas para os produtos do Rational Software Delivery Platform.
  
  
• Fique por dentro dos eventos técnicos e webcasts do developerWorks com ênfase em uma série de produtos da IBM e tópicos do segmento de mercado de TI.
  • Participe de um briefing ao vivo e gratuito do developerWorks para se atualizar rapidamente sobre produtos e ferramentas IBM, bem como tendências do segmento de mercado de TI.
  • Acompanhe as demos on demand do developerWorks, variando de demos de instalação e configuração de produtos para iniciantes a funcionalidades avançadas para desenvolvedores experientes.
  
  
• Melhore suas qualificações. Consulte Treinamento e certificação do Rational que inclui muitos tipos de cursos em uma ampla variedade de tópicos. É possível realizar alguns deles em qualquer local, a qualquer momento, e muitos dos cursos para iniciantes são gratuitos.
  
  

Obter produtos e tecnologias

• Faça o download do Rational AppScan para testá-lo agora.
  
  
• Avalie o software IBM da forma que melhor lhe convier: faça o download para uma versão de testes, experimente-o on-line, use-o em um ambiente de nuvem ou passe algumas horas no SOA Sandbox aprendendo a implementar Arquitetura Orientada a Serviços de forma eficiente.
  
  

Discutir

• Faça parte do fórum do Rational AppScan and AppScan Enterprise e o fórum do Rational AppScan Developer Edition para fazer perguntas e participar de discussões.
  
  
• Classifique ou revise o software Rational. É rápido e fácil. Realmente.
  
  
• Compartilhe seu conhecimento e ajude outros a usar o software Rational, escrevendo um artigo para o developerWorks. Descubra quais são as características de um bom artigo do developerWorks e como realizá-lo.
  
  
• Siga o software Rational no Facebook, Twitter (@ibmrational) e no YouTubee adicione seus comentários e solicitações.
  
  
• Faça e responda perguntas, e aumente seu conhecimento participando dos Fóruns do Rational, cafésée as wikis.
  
  
• Obtenha liderança em pensamento social. Faça parte da comunidade Rational para compartilhar seu conhecimento em software Rational e ficar conectado a seus colegas.
  
  

Sobre os autores

Bhargav Perepa é arquiteto do WebSphere e especialista em TI para o IBM Federal Software Group na região de Washington D.C. Antes disso, ele foi desenvolvedor no WebSphere Development Lab em Austin e ganhou experiência de desenvolvimento em C++ e Smalltalk na IBM em Chicago. Bhargav possui mestrado em ciência da computação do Illinois Institute of Technology, em Chicago, e um MBA da Universidade do Texas em Austin.

Sujatha Perepa é arquiteta de software cliente junto à IBM Federal Sales and Distribution na região metropolitana de Washington D.C. Ela é uma Senior Certified IT Architect e é também a arquiteta líder para as agências de Departamento de Estado e Justiça e Segurança Nacional. Sujatha trata e faz recomendações, de modo rotineiro, de soluções de segurança para agências federais. Ela possui graduações duplas em Eletrônica Aplicada e MBA em Sistemas da Informação (Stuart School of Business – Chicago).

Classificar este artigo

Comentários

Voltar para parte superior

Índice

• As global connections increase, so do security risks
• Automated security and vulnerability testing of a web application
• Automated security and vulnerability testing of a web service application
• Suggested scanning practices
• Summary
• Downloads
• Recursos
• Sobre os autores
• Comentários

Conheça a IBM da sua cidade

A IBM está mais perto do que você imagina!

---

Saiba mais