ProdutoSem categoria

Como funciona a gestão de vulnerabilidades no AppSec Flow

Alguns anos atrás, a equipe da Conviso percebeu que precisava encontrar uma maneira de organizar as atividades realizadas com clientes. Era necessário colocar as análises feitas em projetos de forma a centralizar todas as informações e dar suporte a um processo estruturado de gestão de vulnerabilidades.

Então, em 2008 criamos uma primeira versão do produto que hoje é chamado AppSec Flow. Em sua concepção, ele foi idealizado como uma plataforma focada em DevSecOps Pipeline, e vem evoluindo desde então.

Você pode também ouvir a versão em áudio deste artigo:

Recentemente, para a criação de um de nosso artigos, perguntamos a nossos clientes o que eles usavam antes de aderir ao AppSec Flow. Percebemos, então, que as respostas obtidas eram muito semelhantes ao que nossa equipe já tinha enfrentado no passado. Confira:

Cliente 1: “Antes, nós utilizávamos uma planilha para gerenciar vulnerabilidades. No entanto, com vários times, essa informação sempre se perdia.”

Cliente 2: “Antes do AppSec Flow, nós adotávamos uma plataforma desenvolvida internamente, mas era difícil fazer com que todos os desenvolvedores seguissem o mesmo padrão.”

Acredito que este seja o início de todo o processo de gestão de vulnerabilidades. Mas é preciso ter em mente que é necessário melhorar, buscar tornar o processo gerenciável e com resultados sejam positivos para a eficiência de toda a equipe.

Por isso, em um determinado momento, é comum que as empresas percebam que as planilhas já não são mais um porto seguro. Pelo contrário –  começam a trazer problemas de integridade de informações, perda ou mesmo informações completamente erradas. E isto é bem pior para uma equipe que tem como missão corrigir vulnerabilidades que podem trazer grande prejuízo para a empresa.

Problemas para o gestor

A falta do controle necessário, bem como de uma visão clara sobre tudo que acontece dentro do processo de correção de vulnerabilidade é um problema que tem levado os gestores de desenvolvimento e/ou segurança a sofrer com erros, falhas e informações perdidas.

Este cenário claramente não pode ser negligenciado em empresas que têm o objetivo de ter a segurança tratada de forma correta em sua estrutura de desenvolvimento. Depois de algum tempo, o gestor começa a perceber que o formato atual não é o adequado, e que está trazendo mais problemas que soluções.

Normalmente estes gestores passam, então, a buscar no mercado ferramentas construídas com o objetivo de organizar e melhorar o fluxo de atividades que ajudem na correção das vulnerabilidades encontradas.

Mas ainda temos um problema: muitas dessas ferramentas são feitas e criadas para atuar em vários cenários e em vários modelos de trabalho, o que as torna genéricas. Neste contexto, muitas vezes isso faz com que a empresa acabe se adequando ao processo da ferramenta. No entanto, mesmo assim, muitas vezes o gestor entende que isso é justificável e continua a usar aquela ferramenta –  mesmo ela não sendo a mais adequada, e não trazendo os melhores resultados. 

Efeito bola de neve

O problema só aumenta quando é necessário integrar o resultado de outras ferramentas, resultados e relatórios que alimentarão o processo de gestão de vulnerabilidade. O resultado? caos.

Agora temos várias ferramentas, todas gerando suas informações – e tudo isso centralizado em um plataforma que não foi pensada nisso.

A questão central aqui é que adotamos uma postura de tentar integrar uma série de ferramentas que não foram preparadas para trabalhar juntas, e isso acaba complicando muito mais que ajudando.

Temos ainda que levar em conta o fato de que o desenvolvedor muitas vezes já tem o seu estilo de trabalho, suas formas de interagir e registrar.

Às vezes os gestores esquecem também que o aprendizado adquirido durante o processo de correção é tão importante quanto a própria correção. E isso dificilmente é encontrado em uma ferramenta que não tenha sido pensada para operar como uma plataforma de DevSecOps Pipeline.

E como fica a comunicação entre os times?

Outro ponto que deve ser levando em consideração durante o processo de avaliação de uma plataforma é como ela permite a comunicação eficiente entre os times. Plataformas criadas para organizar estes processos permitem que as informações fluam em todos os sentidos, e que os times possam trocar dados e informações sobre as correções de forma clara e objetiva, e isso acontece naturalmente no AppSec Flow.

É importante que a plataforma venha garantir que todo e qualquer processo de correção de uma vulnerabilidade seja realizado da mesma forma, independentemente de quem esteja executando a correção. Assim, é essencial que exista a possibilidade de padronizar as ações que devem ser executadas, garantindo que, de alguma forma, elas sejam validadas.

A gestão de vulnerabilidades como ponto forte

Na Conviso, também vivenciamos todos estes obstáculos muitos anos atrás. E foi justamente por isso que resolvemos construir uma plataforma que pudesse ajudar a solucionar estes problemas e a tornar a vida dos gestores e desenvolvedores mais fácil e produtiva.

De certa forma, foram nossos próprios desafios que nos mostraram o caminho.  Assim, construímos o AppSec Flow –  uma plataforma SaaS focada em DevSecOps Pipeline, que tem em seu módulo de Gestão de Vulnerabilidades um de seus pontos fortes. É importante frisar que o produto tem muitas outras funcionalidades, mas neste artigo, vamos focar neste módulo.

Como funciona a Gestão de Vulnerabilidades no AppSec Flow

O módulo de Gestão de Vulnerabilidade vem entregar para os envolvidos em descoberta, análise e correção de vulnerabilidade um processo estruturado e que possibilita que tenham acesso a todos os dados de outras ferramentas que já possam utilizar em seu dia a dia. 

O AppSec Flow, por meio de sua API, possibilita a integração com ferramentas que podem entregar a ele informações que farão a diferença durante o processo. 

No entanto, mesmo com todas estas informações sendo enviadas a ele, ele mantém o controle e a organização, entregando a informação no momento que o analista ou mesmo o gestor precisam – e na forma que eles precisam.

Manter-se informado sobre o status de várias análises é muito mais fácil usando o dashboard do AppSec Flow –  e isso permite ao gestor manter o processo organizado.

No módulo de Gestão de Vulnerabilidades, o gestor ou o desenvolvedor terão uma visão geral de tudo que está acontecendo com as suas anaĺises, em uma visão clara e eficiente. 

Mas, mesmo com toda essa facilidade, os cuidados com acessos foram rigorosos, o nosso sistema mantém um controle rigoroso sobre quem pode ou não acessar determinada análise ou vulnerabilidade. Isso nos permite microgerenciar os acessos, que podem inclusive ser garantidos a terceiros.

Nesta tela, podemos ter uma série de informações que farão com que um gestor compreenda o cenário com o qual está lidando, e também entenda como as vulnerabilidades estão sendo tratadas em todo o seu processo. A plataforma fornece boas informações sobre a criticidade das vulnerabilidades encontradas em cada uma das análises, e em qual momento do processo elas estão.

Mas podemos ir mais  a fundo. Podemos detalhar ainda mais as informações, mostrando que o controle e as informações são também o foco da gestão de vulnerabilidades.

Observa-se, na imagem acima, que a quantidade de informações que temos de uma vulnerabilidade nos permite ter uma visão gerencial sobre o que podemos ou não fazer com ela.

Com este tipo de organização, obtemos rapidamente uma linha do tempo da análise, e sabemos, então, quantas vulnerabilidades temos e em que momento temos cada uma das vulnerabilidades.

O controle sobre o histórico é completo, e permite, por exemplo, mostrar em casos de auditoria uma linha de ações que ocorreram no processo de correção da vulnerabilidade.

Reforçando: é importante garantir que o conhecimento não seja perdido, e que este esteja disponível para que seja consultado em outras situações.

Seguindo o mesmo princípio, podemos ter acesso a todas as vulnerabilidades encontradas para esta análise, e de forma clara e fácil, podemos identificar sua criticidade e quantidade de componentes de nosso sistema afetado por essa vulnerabilidade.

Caso exista o desejo de observar cada uma das vulnerabilidades detalhadamente, ou mesmo compreender o que acontece quando uma delas é explorada, é possível acessar cada uma delas para este fim. 

Nesta imagem, podemos ver como é rica a tela, e como as informações nos são apresentadas de forma a tornar mais fácil o nosso entendimento. 

A imagem acima nos mostra uma descrição de uma  vulnerabilidade, sua criticidade e classificação. Mostra, ainda, passos para o desenvolvedor reproduzir a vulnerabilidade e claro as evidências de que a vulnerabilidade realmente existe em seu sistema.

São muitas as funcionalidades que o AppSec Flow tem em seu módulo de Gestão de Vulnerabilidades. Entendemos que o uso da plataforma e de todo o seu potencial é o melhor caminho para o gestor ou o desenvolvedor perceberem que ainda há espaço para melhorar o seu processo de gestão de vulnerabilidades. 

Nós, da Conviso, estamos aqui para entregar uma plataforma pensada e construída para ajudar neste caminho, dando suporte a este processo e muitos outros.

Click me
About author

Articles

Mais de 15 anos de experiência em segurança da informação e aplicações, graduado em processamento de dados, trabalhei como professor universitário e participei ativamente como instrutor de treinamento para mais de 6000 desenvolvedores em equipes de TI. Sou pai de duas meninas e trader nas horas vagas.
Related posts
MobileSegurança de AplicaçãoSem categoria

3 serviços de AppSec que não podem ser negligenciados no fim de ano

2020 tem sido um ano atípico, mas mesmo em anos incomuns, algo é certeiro: na correria de fim de…
Read more
Sem categoria

"Esqueceu sua senha?" - O problema com as perguntas de segurança

Como desenvolvedores, temos como foco pensar em aplicações cada vez mais seguras, cada vez mais…
Read more
Sem categoria

PFS - Perfect Forward Secrecy: o que é e por que é importante

Antes de começarmos a falar sobre Perfect Forward Secrecy (PFS), vamos entender um pouco sobre o…
Read more

Deixe um comentário