Processo de implantação de configuração zero
Processos existentes alavancados no SDLC
Registros detalhados de vulnerabilidade de segurança

Indústria: Tecnologia da Informação
Produtos: HCL AppScan
Região: América do Norte / EUA

Desafios de Negócios

Nosso cliente enfrentou os seguintes desafios de negócios:

  • Melhorar a proteção de segurança de seus produtos sem interromper o processo SDLC atual.
  • Reduzindo a probabilidade de um problema de segurança que poderia atrasar o envio de novas versões.

Solução

Integre o IAST ao processo de QA existente do cliente e aproveite os testes automáticos, manuais e de integridade para estender a cobertura do Application Security Testing (AST) e transformar DevOps em DevSecOps.

Resultados

Cobertura AST aprimorada e processos de correção, devido a registros informativos de problemas de segurança, como pilhas de chamadas completas e exemplos de exploração que são relatados pelo agente IAST.

Ficamos surpresos com o processo de implantação. Esperávamos algo mais complicado do que implantar um arquivo WAR em nosso Tomcat!

Equipe de DevOps do gerente técnico

Caso de negócios para IAST

A empresa já estava utilizando o DAST como parte de seu SDLC, principalmente nos estágios finais. Essa prática comum forneceu bons resultados, mas tinha várias desvantagens:

  • Quando uma vulnerabilidade de segurança significativa foi descoberta, isso causou um atraso no lançamento, uma vez que o DAST foi introduzido como uma das últimas etapas antes que uma nova versão fosse enviada. Os esforços de remediação para vulnerabilidades de segurança foram elevados devido às informações menos detalhadas do scanner DAST.
  • Houve um intervalo de tempo significativo entre a gravação do código e a descoberta de vulnerabilidades.

 

 

Integrando IAST

A empresa possui um amplo processo de Garantia de Qualidade (QA) devido ao tamanho e à complexidade de sua base de código. O processo de controle de qualidade inclui testes automatizados e manuais que variam de cenários de sanidade simples a casos extremos complicados. Cada nova versão também adicionou mais funcionalidade, então mais testes foram introduzidos no processo de controle de qualidade.

A infraestrutura de controle de qualidade é baseada em Docker e orquestrada usando Jenkins. Como a equipe não queria alterar seus contêineres existentes, eles decidiram integrar o IAST usando um script simples que utiliza APIs do AppScan para fazer download e implementar o agente no servidor da web, depois que os aplicativos forem construídos e publicados com sucesso.

 

Efeitos

Um benefício significativo que os desenvolvedores relataram instantaneamente foi a quantidade de informações contidas nas vulnerabilidades de segurança. Ter a linha de código que originou o problema, junto com um exemplo de exploração que o desencadeou, reduziu significativamente os esforços de correção. Como o processo de controle de qualidade é adjacente ao processo de desenvolvimento, as alterações de código que resultaram em novas vulnerabilidades de segurança estão frescas na mente dos desenvolvedores ao se aproximarem para resolver problemas de segurança.

Outro benefício relatado pela equipe de segurança foi a redução de problemas detectados na varredura DAST, uma vez que o processo de controle de qualidade agora ajudava a resolver os problemas mais cedo no SDLC.

Do ponto de vista da manutenção, as equipes de Segurança e DevOps ficaram impressionadas, pois a integração do agente IAST requer apenas um único script simples e o próprio agente é perene (o que significa que ele é atualizado automaticamente). Outra grande coisa é que a equipe de QA pode continuar adicionando novos testes para cada nova funcionalidade que desenvolve, mantendo a cobertura AST atualizada a cada nova versão. O processo continua melhorando como um subproduto do próprio SDLC.

A quantidade de informações que recebo por problema é benéfica para o processo de priorização e correção.

Arquiteto de Sistema

About the Company

Devido à natureza sensível do domínio da segurança cibernética, a empresa solicitou o anonimato neste estudo de caso específico. A empresa é uma empresa de software no mercado de TI e que atende SMBs e grandes empresas.

A pilha de tecnologia usada neste estudo de caso é:

  • Java
  • Tomcat
  • Docker
  • Jenkins

Para saber mais sobre como o IAST pode beneficiar sua organização, leia e compartilhe nosso white paper informativo