menu x

APPLICATION SECURITY PROGRAM

Assess your application and SDLC for security improvements, build maturity levels, reduce losses and costly fixes.
Benefits

Agility on application security– Quick-wins

Establish indicators for teams and projects

Continuous security testing

Build maturity and accreditation process

Define security requirements per business context

1. All-aboard: AppSec Awareness

SCOPE:

Raising the awareness of development teams about importance of application security.

CONTENT:

  • Introduction to Information Security (CIA)
  • Top Threats, Risks, and Controls (OWASP Top 10)
  • Demos
  • Questions and Answers
  • DELIVERABLES:

    4-hour workshop

    Up to 15 person per class

    2. SDLC Maturity and Security Review

    SCOPE:

    Review of software development lifecycle, security assessment in application architecture, design and code, based on application criticality.

    EXECUTION:

  • Interviews
  • Threat Modeling
  • Design and architecture review
  • Dynamic tests - DAST
  • Static Tests - SAST
  • DELIVERABLES:

    Application maturity level

    Security flaws and bugs

    Recomendations

    Fix plan

    3. Revisão e construção de metodologia e guias

    ESCOPO:

    Revisão de metodologia e processo de desenvolvimento atual e construção de metodologia de desenvolvimento seguro e guia de melhores práticas.

    EXECUÇÃO:

  • Entrevistas com lider técnico
  • Entendimento do processo
  • Discussão de ações durante o ciclo de desenvolvimento
  • Formalização da metodologia
  • ENTREGÁVEIS:

    Documento de metodologia

    Cartilha de boas práticas por linguagem

    Duração: 20 dias

    ESTIMATIVA:

    Por aplicação

    Por ameaça

    4. Processo gerenciado, teste e suporte à correção

    ESCOPO:

    Testes pontuais a cada release, com suporte à correção e gerenciamento do processo.

    EXECUÇÃO:

  • Notificação de novo release
  • Execução de testes: 1 dia
  • Validação da correção
  • ENTREGÁVEIS:

    Apontamento de fragilidades: GAT e BugTrack

    Discussão técnica de correções

    Melhoria contínua do processo

    ESTIMATIVA:

    Por mês, por aplicação, complexidade da aplicação e metodologia de entrega

    5. Security Pipeline

    ESCOPO:

    Construção de rotina de análise contínua de verificação de segurança do código e aplicação (análise estática e dinâmica).

    EXECUÇÃO:

  • Levantamento de tecnologias utilizadas
  • Identificação das práticas e processos
  • Utilização de informação das fases anteriores
  • ENTREGÁVEIS:

    Desenho do processo de automação de testes de segurança

    Definição dos requisitos

    Sugestão de ferramentas

    Implantação

    ESTIMATIVA:

    Por equipe ou processo (integrações)

    Requer aquisição de ferramenta

    6. Proteção WAF

    ESCOPO:

    Inserir camada adicional de proteção na aplicação, prevenir as falhas conhecidas de serem exploradas e conter novos ataques.

    EXECUÇÃO:

  • Levantamento de tecnologias utilizadas
  • Implantação da solução
  • Suporte especializado
  • ESTIMATIVA:

    Serviço gerenciado

    On-premises ou Cloud

    Proteção anti-DDoS

    Plano standard ou premium

    Proteja suas aplicações

    Avalie a força de sua estratégia de segurança com a IBLISS antes que alguém faça isso por você.