ProdutoSegurança de AplicaçãoSem categoria

AppSec Flow: A plataforma completa de DevSecOps

Em nossa rotina na Conviso, muitos novos clientes chegam até nós com um mesmo problema: já investiram tempo e dinheiro em uma série de ferramentas de cibersegurança, mas ainda sentem que elas não realizam o trabalho de forma completa. Em alguns casos, as ferramentas adquiridas exigem uma usabilidade que destoa de um processo de desenvolvimento eficiente. Há também aqueles que relatam dificuldades em manter um padrão de garantia de qualidade em atividades cotidianas.

Você pode ouvir a nossa versão em áudio deste artigo:

Mas um dos problemas mais frequentes que observamos nestes nossos 12 anos de atuação no mercado de cibersegurança é que, embora adquiram softwares e invistam em profissionais competentes  como forma de ofertar produtos e serviços de qualidade e segurança para seus clientes, muitas empresas deixam de lado a segurança de aplicações. Na grande maioria destes casos, as ferramentas escolhidas são ótimas, mas, sozinhas, não resolvem todos os gargalos de segurança.

Em geral, há dois erros principais que muitas empresas cometem ao definir sua estratégia de cibersegurança:

  1. Investir em ferramentas que não atendem o problema de appsec de forma específica;
  2. Não ter um plataforma que possa centralizar todas as informações que são importantes para a segurança do software.

O que constatamos é que mesmo empresas que apostam em políticas de segurança bem definidas por vezes falham ao não se preocupar com as aplicações desenvolvidas especificamente para suas atividades. Isso é muito comum pois ainda há um equívoco dos gestores em imaginar que somente o que está exposto à Internet deve ser protegido. E essa falha pode ter consequências graves.

O que é segurança de aplicações e por que ela não deve ser subestimada?

A segurança de aplicações é um processo que, por meio das melhores práticas, visa garantir a segurança da aplicação em todo o seu processo de desenvolvimento –  o que leva à entrega de aplicações e sistemas mais confiáveis.  Desta forma, é possível fazer ajustes e correções, e impedir que vulnerabilidades exponham dados e permitam acesso às funcionalidades de sistemas a pessoas mal intencionadas.

O fato é que não existem aplicações completamente invulneráveis. Toda e qualquer aplicação pode ser invadida  – algumas, mais facilmente do que outras – e por isso que  a segurança de aplicações se faz necessária. 

De acordo com as estatísticas do site Breach Level Index, a cada 39 segundos ocorre uma atividade de hackers no mundo. E as aplicações estão entre os maiores vetores de ataques de hackers. Vale lembrar que, além da dor de cabeça e das possíveis perdas financeiras, um ataque a aplicações pode gerar uma crise gigantesca na empresa, com fortes impactos econômicos. A Juniper Research estima que o custo médio de uma ocorrência de violação de segurança de dados para uma grande empresa seria superior a US $ 150 milhões em 2020. 

Uma vez que estejam cientes disso, é obrigação de cada empresa proteger os dados de seus clientes da melhor forma possível. Com a Lei Geral de Proteção de Dados, que entraria em vigência em agosto de 2020 mas foi novamente adiada para maior de 2021, o assunto se torna ainda mais sério e passível a sanções no caso de negligências. Afinal, garantir a segurança de aplicações significa investir não apenas em proteção – mas também na reputação e longevidade da empresa. 

O que é o AppSec Flow?

O AppSec Flow é uma plataforma Software as a Service (SaaS) criada pela Conviso que suporta todo o ciclo de segurança em desenvolvimento de software. Ela foi criada com base no  Software Assurance Maturity Model (SAMM) –  um projeto do portfólio da Open Web Application Security Project (OWASP) que define uma série de práticas com o objetivo de  melhorar a segurança de software. 

Uma curiosidade sobre o AppSec Flow é que ele nasceu para suprir uma demanda interna da Conviso. Ao ser implementado, ele foi tão bem sucedido em seu propósito que vimos nele potencial para otimizar a rotina de outras empresas e decidimos comercializá-lo. 

Por meio de sua API, o AppSec Flow permite a integração com uma série de ferramentas amplamente utilizadas na rotina dos times:

Com o AppSec Flow, é possível criar mecanismos de padronização (Playbooks), de forma a garantir que todas as equipes seguirão uma mesma rotina em suas atividades, como a realização de testes.

Afinal, quando uma empresa não consegue criar mecanismos que possam garantir que suas equipes sigam e mantenham um certo grau de padronização nas suas atividades, fica muito mais difícil garantir que todos os serviços realizados seguirão um mesmo princípio ou uma mesma sequência, comprometendo a qualidade final.

Por isso, um dos benefícios do AppSec Flow é que ele ajuda a centralizar a comunicação dos times de segurança e desenvolvimento, por meio da integração de ferramentas. Ele controla as políticas de risco, agrega o resultados das análises, faz a correlação e gestão das vulnerabilidades, controla o workflow de correção, faz a gestão dos deploys, controla indicadores, entre outras funcionalidades.

Com isso, a segurança deixa de ser gargalo e se torna uma atividade contínua, integrada à todo o ciclo de vida de desenvolvimento de software, com as análises certas rodando no momento certo, dentro das melhores práticas e, acima de tudo, sem reduzir a velocidade do seu negócio. É por isso que dizemos que o Flow é uma plataforma completa de Continuous Application Security!

Quais são os diferenciais do AppSec Flow em relação às outras opções do mercado?

É importante frisar que o AppSec Flow não veio para substituir quaisquer que sejam os softwares de segurança que sua empresa já tenha adquirido. Ele veio para potencializar o uso desses softwares e para otimizar e transformar a rotina de sua equipe. Até porque o mais provável é que nenhum dos softwares que a sua empresa já possua seja focado em todo o ciclo de desenvolvimento, tornando a segurança um processo estruturado e mais eficiente – o Flow é o único com essa definição.

Ele proporciona que as equipes integrem várias de suas ferramentas já existentes, formando assim no Flow um grande hub de informações. Além disso, como é integrado às ferramentas de CI/CD, é uma das ferramentas mais completas para implementar DevSecOps.

Além disso, o AppSec Flow:

  • É a única ferramenta global, mas com DNA brasileiro, que é focada em todo o ciclo de desenvolvimento
  • É excelente para gestão de análises
  • Permite o correlacionamento entre DAST e SAST
  • Está em constante aprimoramento
  • É utilizado e aprovado por grandes empresas brasileiras, de setores variados

Como o AppSec Flow funciona, na prática?

Queremos que você tenha uma ideia melhor de como o nosso produto funciona na prática. Por isso, para poder demonstrar melhor como o AppSec Flow pode transformar a rotina de seu time de segurança, fizemos a alguns clientes a seguinte pergunta: 

O que você usava antes de conhecer o AppSec Flow?

As respostas obtidas contém problemas comuns, que podem estar acontecendo na sua empresa. Confira:

Cliente 1: “Antes, nós utilizávamos uma planilha para gerenciar vulnerabilidades. No entanto, com vários times, essa informação sempre se perdia.”

Não é raro encontrarmos empresas que ainda realizam a gestão de informações e documentem os resultados de teste e os planos de correções por meio de planilhas. Como já explicamos em outro artigo, Isso não é gestão de informações. Nesta situação, o AppSec Flow atua sendo um ponto central de informações e proporcionando que todos tenham uma visão única e estruturada das atividades voltadas para segurança de aplicações. 

Cliente 2: “Antes do AppSec Flow, nós adotávamos uma plataforma desenvolvida internamente, mas era difícil fazer com que todos os desenvolvedores seguissem o mesmo padrão.”

Aqui temos um problema parecido, em que a falta de um padrão pode afetar o resultado final. O Flow permite que sejam criados playbooks – ou seja, materiais que detalham o passo a passo de cada atividade – e que são vinculados às análises e projetos. Isso possibilita manter um padrão de execução e proporciona ao gestor uma visão de progresso do processo.

Cliente 3: “Meu time não tinha a visibilidade de toda a análise, e eu precisava ficar passando as demandas individualmente, o que gerava muito trabalho e discrepância de informações.

Os dashboards disponibilizados pelo Flow possibilitam que todos que estão envolvidos em uma análise visualizem da situação da segurança de aplicações, uma vez que, no dashboard, todas as informações são disponibilizadas de forma clara e intuitiva.  Isso otimiza o tempo e a comunicação entre as equipes, além de garantir resultados mais satisfatórios.

As funcionalidades do AppSec Flow

O AppSec Flow possui muitas funcionalidades, que são atualizadas com frequência, uma vez que nosso produto está em constante aprimoramento. Como as funcionalidades são muitas, e detalhá-las neste artigo deixaria este material muito denso, estamos preparando outros artigos detalhando todas as funcionalidades do AppSec Flow, para que possamos explicar como cada uma delas pode ajudar a resolver problemas comuns no dia a dia dos times de segurança.
Por ora, aproveite para já conhecer algumas delas:

Catálogo de Aplicações

O Flow permite a criação de um inventário de aplicações de cada empresa, definindo níveis de risco, com políticas específicas de segurança.

Esse tipo de controle permite que as empresas classifiquem seus ativos por criticidade focada no negócio –  o que em caso de necessidade de correções de vulnerabilidades, pode permitir uma maior atenção aos ativos mais prioritários ao negócio, sem somente focar na criticidade das vulnerabilidades.

Gestão de Análises

O AppSec Flow é uma plataforma que permite o gerenciamento de análises e projetos dos mais diversos tipos, garantindo que análises como Modelagem de Ameaças, Definição de Requisitos, Code Review sejam acompanhados e mantidos de forma centralizada e organizada. Além destes, podem ser gerenciados testes como SAST, DAST, Pentests ou mesmo testes de SCA – Software Composition Analysis. Tudo de forma organizada e centralizada.

Como a plataforma se propõe a gerir as análises realizadas em software, tanto em código quanto em aplicações já operacionais, a estrutura de relatórios e gestão de conhecimento é mantida à disposição para as equipes de desenvolvimento.  O controle das etapas para o gerenciamento do processo de correção de vulnerabilidades suporta todas as etapas da correção, o que proporciona uma visão geral para o gestor. 

Esta feature permite suportar e gerenciar todo tipo de análise  de segurança e software

Metodologia Playbooks

Nosso produto facilita a padronização e controle da metodologia aplicada à análise, garantindo que todos os passos foram realizados com o registro de evidências. Assim, é mais fácil garantir que o resultado final saia com a qualidade desejada. Os Playbooks podem também ser usados em uma série de práticas, como, por exemplo, de Arquitetura Segura.

Testes de Segurança

O Flow possui módulos de DAST, SAST, Container, Mobile e Cloud. Além disso, permite criar políticas customizadas para todo teste automatizado,  integra todas as ferramentas de segurança e os processos de CI/CD a partir do servidor de integração contínua. O AppSec Flow ainda fornece todos os indicadores no Dashboard e possibilita criar planos de ações com análises e playbooks.

Gestão de Vulnerabilidades

O Flow não apenas detecta – ele possibilita também o gerenciamento das vulnerabilidades identificadas por diversas formas de análise, categorizando-as e classificando-as, para priorizar a correção com base em dados.

Para compreender melhor as funcionalidades de nosso produto, confira outros artigos que já publicamos sobre ele:

AppSec Flow – Processo de Gestão de Vulnerabilidade em um único Dashboard

O uso de Playbooks na Gestão de Vulnerabilidades

Gerenciando o processo de desenvolvimento seguro

Gestão de Vulnerabilidades – Ferramentas de SAST e DAST

Integração com Jira e GitHub, uma visão unificada das vulnerabilidades.

Click me
About author

Articles

Uma equipe de profissionais, altamente conectados com as notícias, técnicas e informações sobre a segurança de aplicações.
Related posts
Sem categoria

A importância das métricas em Segurança de Aplicações

Certa vez o escritor Peter Drucker disse: “Aquilo que não é medido, não é melhorado”. Ele…
Read more
OWASP SAMMSegurança de AplicaçãoTech

Como se comparam os modelos SAMM e BSIMM

A OWASP é uma das melhores fontes de conhecimento para todos os profissionais que desejam trabalhar…
Read more
Sem categoria

Testes de Segurança - aplicando ao pipeline

Na primeira parte de nosso artigo, falamos sobre os conceitos básicos de testes de segurança.
Read more

Deixe um comentário