ProdutoSem categoria

Como funciona a gestão de vulnerabilidades no AppSec Flow

Alguns anos atrás, a equipe da Conviso percebeu que precisava encontrar uma maneira de organizar as atividades realizadas com clientes. Era necessário colocar as análises feitas em projetos de forma a centralizar todas as informações e dar suporte a um processo estruturado de gestão de vulnerabilidades.

Então, em 2008 criamos uma primeira versão do produto que hoje é chamado AppSec Flow. Em sua concepção, ele foi idealizado como uma plataforma focada em DevSecOps Pipeline, e vem evoluindo desde então.

Você pode também ouvir a versão em áudio deste artigo:

Recentemente, para a criação de um de nosso artigos, perguntamos a nossos clientes o que eles usavam antes de aderir ao AppSec Flow. Percebemos, então, que as respostas obtidas eram muito semelhantes ao que nossa equipe já tinha enfrentado no passado. Confira:

Cliente 1: “Antes, nós utilizávamos uma planilha para gerenciar vulnerabilidades. No entanto, com vários times, essa informação sempre se perdia.”

Cliente 2: “Antes do AppSec Flow, nós adotávamos uma plataforma desenvolvida internamente, mas era difícil fazer com que todos os desenvolvedores seguissem o mesmo padrão.”

Acredito que este seja o início de todo o processo de gestão de vulnerabilidades. Mas é preciso ter em mente que é necessário melhorar, buscar tornar o processo gerenciável e com resultados sejam positivos para a eficiência de toda a equipe.

Por isso, em um determinado momento, é comum que as empresas percebam que as planilhas já não são mais um porto seguro. Pelo contrário –  começam a trazer problemas de integridade de informações, perda ou mesmo informações completamente erradas. E isto é bem pior para uma equipe que tem como missão corrigir vulnerabilidades que podem trazer grande prejuízo para a empresa.

Problemas para o gestor

A falta do controle necessário, bem como de uma visão clara sobre tudo que acontece dentro do processo de correção de vulnerabilidade é um problema que tem levado os gestores de desenvolvimento e/ou segurança a sofrer com erros, falhas e informações perdidas.

Este cenário claramente não pode ser negligenciado em empresas que têm o objetivo de ter a segurança tratada de forma correta em sua estrutura de desenvolvimento. Depois de algum tempo, o gestor começa a perceber que o formato atual não é o adequado, e que está trazendo mais problemas que soluções.

Normalmente estes gestores passam, então, a buscar no mercado ferramentas construídas com o objetivo de organizar e melhorar o fluxo de atividades que ajudem na correção das vulnerabilidades encontradas.

Mas ainda temos um problema: muitas dessas ferramentas são feitas e criadas para atuar em vários cenários e em vários modelos de trabalho, o que as torna genéricas. Neste contexto, muitas vezes isso faz com que a empresa acabe se adequando ao processo da ferramenta. No entanto, mesmo assim, muitas vezes o gestor entende que isso é justificável e continua a usar aquela ferramenta –  mesmo ela não sendo a mais adequada, e não trazendo os melhores resultados. 

Efeito bola de neve

O problema só aumenta quando é necessário integrar o resultado de outras ferramentas, resultados e relatórios que alimentarão o processo de gestão de vulnerabilidade. O resultado? caos.

Agora temos várias ferramentas, todas gerando suas informações – e tudo isso centralizado em um plataforma que não foi pensada nisso.

A questão central aqui é que adotamos uma postura de tentar integrar uma série de ferramentas que não foram preparadas para trabalhar juntas, e isso acaba complicando muito mais que ajudando.

Temos ainda que levar em conta o fato de que o desenvolvedor muitas vezes já tem o seu estilo de trabalho, suas formas de interagir e registrar.

Às vezes os gestores esquecem também que o aprendizado adquirido durante o processo de correção é tão importante quanto a própria correção. E isso dificilmente é encontrado em uma ferramenta que não tenha sido pensada para operar como uma plataforma de DevSecOps Pipeline.

E como fica a comunicação entre os times?

Outro ponto que deve ser levando em consideração durante o processo de avaliação de uma plataforma é como ela permite a comunicação eficiente entre os times. Plataformas criadas para organizar estes processos permitem que as informações fluam em todos os sentidos, e que os times possam trocar dados e informações sobre as correções de forma clara e objetiva, e isso acontece naturalmente no AppSec Flow.

É importante que a plataforma venha garantir que todo e qualquer processo de correção de uma vulnerabilidade seja realizado da mesma forma, independentemente de quem esteja executando a correção. Assim, é essencial que exista a possibilidade de padronizar as ações que devem ser executadas, garantindo que, de alguma forma, elas sejam validadas.

A gestão de vulnerabilidades como ponto forte

Na Conviso, também vivenciamos todos estes obstáculos muitos anos atrás. E foi justamente por isso que resolvemos construir uma plataforma que pudesse ajudar a solucionar estes problemas e a tornar a vida dos gestores e desenvolvedores mais fácil e produtiva.

De certa forma, foram nossos próprios desafios que nos mostraram o caminho.  Assim, construímos o AppSec Flow –  uma plataforma SaaS focada em DevSecOps Pipeline, que tem em seu módulo de Gestão de Vulnerabilidades um de seus pontos fortes. É importante frisar que o produto tem muitas outras funcionalidades, mas neste artigo, vamos focar neste módulo.

Como funciona a Gestão de Vulnerabilidades no AppSec Flow

O módulo de Gestão de Vulnerabilidade vem entregar para os envolvidos em descoberta, análise e correção de vulnerabilidade um processo estruturado e que possibilita que tenham acesso a todos os dados de outras ferramentas que já possam utilizar em seu dia a dia. 

O AppSec Flow, por meio de sua API, possibilita a integração com ferramentas que podem entregar a ele informações que farão a diferença durante o processo. 

No entanto, mesmo com todas estas informações sendo enviadas a ele, ele mantém o controle e a organização, entregando a informação no momento que o analista ou mesmo o gestor precisam – e na forma que eles precisam.

Manter-se informado sobre o status de várias análises é muito mais fácil usando o dashboard do AppSec Flow –  e isso permite ao gestor manter o processo organizado.

No módulo de Gestão de Vulnerabilidades, o gestor ou o desenvolvedor terão uma visão geral de tudo que está acontecendo com as suas anaĺises, em uma visão clara e eficiente. 

Mas, mesmo com toda essa facilidade, os cuidados com acessos foram rigorosos, o nosso sistema mantém um controle rigoroso sobre quem pode ou não acessar determinada análise ou vulnerabilidade. Isso nos permite microgerenciar os acessos, que podem inclusive ser garantidos a terceiros.

Nesta tela, podemos ter uma série de informações que farão com que um gestor compreenda o cenário com o qual está lidando, e também entenda como as vulnerabilidades estão sendo tratadas em todo o seu processo. A plataforma fornece boas informações sobre a criticidade das vulnerabilidades encontradas em cada uma das análises, e em qual momento do processo elas estão.

Mas podemos ir mais  a fundo. Podemos detalhar ainda mais as informações, mostrando que o controle e as informações são também o foco da gestão de vulnerabilidades.

Observa-se, na imagem acima, que a quantidade de informações que temos de uma vulnerabilidade nos permite ter uma visão gerencial sobre o que podemos ou não fazer com ela.

Com este tipo de organização, obtemos rapidamente uma linha do tempo da análise, e sabemos, então, quantas vulnerabilidades temos e em que momento temos cada uma das vulnerabilidades.

O controle sobre o histórico é completo, e permite, por exemplo, mostrar em casos de auditoria uma linha de ações que ocorreram no processo de correção da vulnerabilidade.

Reforçando: é importante garantir que o conhecimento não seja perdido, e que este esteja disponível para que seja consultado em outras situações.

Seguindo o mesmo princípio, podemos ter acesso a todas as vulnerabilidades encontradas para esta análise, e de forma clara e fácil, podemos identificar sua criticidade e quantidade de componentes de nosso sistema afetado por essa vulnerabilidade.

Caso exista o desejo de observar cada uma das vulnerabilidades detalhadamente, ou mesmo compreender o que acontece quando uma delas é explorada, é possível acessar cada uma delas para este fim. 

Nesta imagem, podemos ver como é rica a tela, e como as informações nos são apresentadas de forma a tornar mais fácil o nosso entendimento. 

A imagem acima nos mostra uma descrição de uma  vulnerabilidade, sua criticidade e classificação. Mostra, ainda, passos para o desenvolvedor reproduzir a vulnerabilidade e claro as evidências de que a vulnerabilidade realmente existe em seu sistema.

São muitas as funcionalidades que o AppSec Flow tem em seu módulo de Gestão de Vulnerabilidades. Entendemos que o uso da plataforma e de todo o seu potencial é o melhor caminho para o gestor ou o desenvolvedor perceberem que ainda há espaço para melhorar o seu processo de gestão de vulnerabilidades. 

Nós, da Conviso, estamos aqui para entregar uma plataforma pensada e construída para ajudar neste caminho, dando suporte a este processo e muitos outros.

Click me
About author

Articles

Mais de 15 anos de experiência em segurança da informação e aplicações, graduado em processamento de dados, trabalhei como professor universitário e participei ativamente como instrutor de treinamento para mais de 6000 desenvolvedores em equipes de TI. Sou pai de duas meninas e trader nas horas vagas.
Related posts
Sem categoria

A importância das métricas em Segurança de Aplicações

Certa vez o escritor Peter Drucker disse: “Aquilo que não é medido, não é melhorado”. Ele…
Read more
Sem categoria

Testes de Segurança - aplicando ao pipeline

Na primeira parte de nosso artigo, falamos sobre os conceitos básicos de testes de segurança.
Read more
InfraestruturaSem categoria

Arquitetura Imutável em AppSec

Falar sobre infraestrutura imutável requer que voltemos um pouco no tempo e comecemos explicando…
Read more

Deixe um comentário