Os últimos meses estão sendo de muitas novidades na Real Protect, estamos fechando desde  novas parcerias a lançamento de serviços exclusivos para o período de isolamento social e home office. Nossos pesquisadores do Red Team estão também em constante evolução e formataram nesses últimos meses o Security Pipe Real Protect, uma gestão da segurança dentro do pipeline de desenvolvimento de aplicações, que vamos compartilhar a seguir o que é e para quem é indicado.

Antes de tudo, o que é DevSecOps?

Uma definição simples de DevSecOps é desenvolvimento, segurança e operações. Esse é um mantra usado para manter todos os colaboradores envolvidos no processo responsáveis pela segurança, com o objetivo de implementar na cultura de desenvolvimento a tomada de ações de segurança na mesma escala e velocidade que as decisões e ações relativas ao desenvolvimento da aplicação.

Toda empresa com um framework de DevSecOps deve ter um mindset de trazer indivíduos de diferentes habilidades e proficiências tecnológicas a ter uma nível mínimo de proficiência em segurança. Um framework de DevSecOps deve garantir que a segurança foi pensada na criação das aplicações, ao invés de apenas corrigida (ou mal corrigida) posteriormente.

Garantir que a segurança seja presente nos primeiros estágios do ciclo de desenvolvimento de Software, permite um alto ganho em termos de segurança e perda mínima de tempo quando é utilizado uma metodologia AGILE. 
Atualmente, nas esteiras de desenvolvimento, a segurança entra no último estágio, fazendo com que as correções de segurança fiquem em segundo plano. A consequência é que normalmente as empresas tendem a pagar horas extras aos times para corrigir falhas que poderiam ter sido evitadas no momento de desenvolvimento. Aqui, o framework DevSecOps apresenta ROI para as empresas evitando custos extras de mão-de-obra, e colocando as aplicações mais rapidamente no mercado, oferecendo vantagem competitiva.

Por quê precisamos de DevSecOps?

O cenário de infraestrutura de TI mudou consideravelmente na última década. A mudança para plataformas de computação em nuvem ágeis, dados e storage compartilhados e aplicações dinâmicas trouxeram grandes benefícios para as empresas que souberam se aproveitar das oportunidades oferecidas por esse cenário.

Contudo, ao passo que as equipes de DevOps cresceram e muito sua velocidade, escala e funcionalidades, elas tiveram sérios problemas com relação a robustez da segurança e com compliance. Para resolver esse gap, foi introduzido o DevSecOps no ciclo de desenvolvimento das aplicações, de forma a trazer a segurança para esse novo cenário.

Os hackers e criminosos estão sempre buscando pela melhor forma de explorar essas aplicações. Hoje, é muito comum na cultura de desenvolvimento o compartilhamento de pedaços de código, muitas vezes de funções inteiras, por meio de serviços como o GitHub, por exemplo, de forma que eles conseguem colocar o malware no momento da criação da aplicação. Esse malware só é descoberto posteriormente depois que a aplicação foi distribuída para milhares, algumas vezes milhões de usuários. O dano para o cliente e para a reputação da empresa são grandes nesse caso.

E onde entra o Security Pipe Real Protect?

Assim como outros tipos de framework em cybersecurity, no mundo ideal as empresas colocam em prática todos os conceitos, todos os colaboradores ficam proficientes e o processo se torna azeitado e padrão no dia-a-dia da empresa. Sabemos que no mundo real, não é bem assim que as coisas acontecem. As empresas e gestores precisam lidar com falta de pessoal qualificado, dificuldade de priorização, gestão de tempo e um backlog enorme de tarefas e atividades a serem executadas.

Pensando nisso, a Real Protect desenvolveu o Security Pipe, um serviço que permite às empresas implementarem em seu ambiente o DevSecOps. O Security Pipe, de forma resumida, entrega:

  • Segurança dentro do processo de desenvolvimento ainda na esteira.
  • Automação de testes com ferramenta de SAST/DAST
  • Pentest ao longo do processo de CI/CD
  • Gerenciamento dos riscos de forma integrada entre SAST/DAST/Pentest
  • Correlacionamento de Riscos Cibernéticos X Riscos do Negócio
  • Visão do risco em tempo real via Portal do Cliente

Uma Abordagem Modular

Como diferentes empresas possuem diferentes níveis de maturidade e necessidades em cybersecurity, o Security Pipe da Real Protect é um serviço que funciona de forma modular, sendo possível ser realizado em 3 modalidades diferentes.

SMART

O módulo SMART do Security Pipe fornece a Gestão de Vulnerabilidades no ciclo de desenvolvimento. Essa gestão não se restringe a uma entrega com todas as vulnerabilidades encontradas, mas sim um relatório inteligente, contendo as vulnerabilidades de acordo com a criticidade e uma sugestão de plano de ação.

O SMART também contempla a realização de DAST, um teste dinâmico e automatizado de segurança, e que passa pela validação dos nossos especialistas a fim de demonstrar ao cliente se a vulnerabilidade é explorável e qual o impacto da mesma.

SELECT

O módulo SELECT oferece além do módulo SMART, a realização do SAST de forma integrada ao Pipeline de CI/CD, que é uma modalidade de teste onde se verifica o código fonte da aplicação, melhorando ainda mais o ciclo de desenvolvimento seguro.

PREMIUM

O módulo PREMIUM do Security Pipe oferece além do que é ofertado na modalidade SELECT a realização de Pentest de forma integrada no ciclo de desenvolvimento das aplicações. A realização de pentests nesse momento é feita de forma manual, o que oferece amplo contexto sobre como um hacker poderia atacar e explorar essas vulnerabilidade.

Os pentests são realizados de forma incremental, ou seja, a equipe parte de um Pentest já concluído, permitindo que seja possível analisar em todo ciclo de CI/CD quais foram as alterações nesta aplicação e fazer um teste direcionado para esta parte de código, garantindo um Pentest em todo o ciclo de desenvolvimento desta aplicação.

Conte com a Real Protect

Independente do grau de maturidade de segurança da sua empresa, e se o framework de DevSecOps está ainda no início ou bem desenvolvido, um dos módulos do Security Pipe é ideal para resolver as suas necessidades.
Para saber mais, entre em contato conosco através da nossa página fale conosco.