2. quem sou eu
André Luís Cardoso
especialista de produto na HCL Software
empresa indiana de mais de 45 anos de mercado
mais de 219 mil empregados no mundo
60 países com presença
no Brasil a mais de 10 anos
12.8 bi US$
/in/a190468/ @a190468
3. 4.500+
Employees
45+
Global Presence
in Countries
$1.5B
Enterprise
Software
Business
A Jornada
Até agora…
HCL P&P launched with
15-year partnership
between IBM & HCL.
2016-18
HCL Software formed to
manage HCL’s Enterprise
Software business.
Integrated portfolio with
DRYiCE™, Actian and
Industry Solutions,
converged as HCL
Software+
2019-20
2021-22
4. .
.
4
por que falar sobre
desenvolvimento seguro?
a aplicação é a parte mais fraca
tempo médio de exploração caindo de 42 dias em 2020, 12 dias em 2021 e apenas 7 dias em
2022;
2,29 bilhões de registros foram expostos em 2022 e Brasil lidera ranking de vazamentos;
Brasil ocupa a quarta posição no ranking dos 10 principais alvos do cibercrime;
ataques bloqueados em aplicações web cresceram 88% em 2021;
84% violações de segurança são executadas por meio da camada de aplicação;
1 em 6 código aberto tem um componente que contém uma vulnerabilidade conhecida;
83,9%: porcentagem de vulnerabilidades de software que já tinham uma correção disponível
no dia em que foi divulgado publicamente;
83%: porcentagem de aplicativos com pelo menos uma falha de segurança na verificação
de vulnerabilidade inicial;
novas vulnerabilidades em 2022 são menos aproveitadas do que em 2021;
Link informações
7. .
.
7
lei numero 1:
se houver uma vulnerabilidade, ela será explorada
lei numero 2:
tudo é vulnerável de alguma forma
8. .
.
8
segurança de aplicações
porque é tão difícil de identificar, medir e proteger aplicações?
diferentes linguagens de programação;
diferentes tipos de servidores;
frameworks e arquiteturas de vários tipos;
API, cloud, server less, containers, micro serviços;
cada pessoa e cada empresa desenvolve software de forma
diferente;
não possui acesso ao código;
9. .
.
9
o que é #appsec (segurança de
aplicativos)?
#AppSec é o processo de encontrar, corrigir e prevenir vulnerabilidades de
segurança no nível do aplicativo em processos de hardware, software e
desenvolvimento
inclui orientações sobre medidas para o design e desenvolvimento de
aplicativos e durante todo o ciclo de vida (sdlc), inclusive após o lançamento
do aplicativo
ao seguir as medidas de segurança na construção do aplicativo, você pode
garantir que os pontos fracos e as vulnerabilidades do seu aplicativo de
software sejam identificados e tratados no início do ciclo de
desenvolvimento, antes que se tornem graves violações de segurança
segurança
foi relatado que 84% dos
incidentes de segurança
acontecem na camada do
aplicativo
01
vazamento de dados
evitar que informações e dados
de seus clientes estejam
expostos, assim garantindo
“compliance” com LGPD
02
10. .
.
testes de segurança em aplicações
application security testing (AST) é o processo de tornar os aplicativos mais resilientes a ameaças de
segurança, identificando e corrigindo vulnerabilidades de segurança
Análise Interativa (IAST)
Software Composition Analysis (SCA)
O QUE: Monitorar continuamente o aplicativo
O QUE: Pacotes de código aberto (ASoC)
Análise Dinâmica(DAST)
O QUE: Aplicativos ativos
Análise Estática (SAST)
O QUE: Código fonte
PORQUÊ: Detecção rápida e precoce
PORQUÊ: Identificar vulnerabilidades em 3º
pacotes e componentes para festas
PORQUÊ : Baixos falsos positivos, examine
aplicativo como um pessoa mal intencionada
PORQUÊ : Fácil configuração, amigável ao
desenvolvedor, feedback rápido
11. .
.
como podemos ajudar
AppScan was named a
leader in Gartner’s 2021 &
2022 application security
magic quadrant
DESENVOLVEDORES
Permita que os
desenvolvedores escrevam
código com menos
vulnerabilidades
TIME
Permita que as equipes de
desenvolvimento
colaborem com atividades
de verificação e possam
ser mais produtivos
(retrabalho)
EMPRESA
Fornecer visibilidade para
equipes de segurança e
equipes de
desenvolvimento sobre a
segurança das aplicações
(compliance)
12. .
.
12
Auditoria & Segurança
Idéia Projeto/Ameaça Desenvolvimento SCM BUILD PACKAGE
REPO
Teste QA Produção
Governança
Deploy Deploy Release
IDE Based Scanning
SAST scan on Check-in
Auto Remediation
Open-Source Scanning
License Compliance Check
Auto Remediation
Runtime (RASP)
Security Info & Event (SIEM)
Penetration Testing
Network Scans
DAST Scans
SAST Scans
Manual Tests
Resultados
Policy
Updates
Security
Policy
Audit Results Pen Test Results
Scan Results
IAST
Interactive Security
DAST
Dynamic Functional
Automatização dos Builds
SAST
Static Automation
DAST
Dynamic Automation
Container
Scanning
IaC
Resultados Scans
Métricas & Compliance
Compliance
Security Requirements
Threat Model
Compliance
Security Requirements
Threat Model
Secure Coding
Security Standards
Security Awareness
Security Champions
Value Stream Analysis
segurança contínua
13. .
.
13
§ estabelecer um perfil de risco de segurança de aplicações para identificar possíveis vulnerabilidades e
pontos fracos de segurança
§ identificar e eliminar vulnerabilidades de segurança em seu aplicativo de software
§ identificar e resolver vulnerabilidades de segurança em software de código aberto e de terceiros
§ treinar equipe de desenvolvedores
§ IOT, APIs – não esquecer
considerações importantes
16. .
.
estudos de caso
Estácio de Sá
Educação
Implantação de aplicativos
e Web gerenciados com
segurança
Tendo sofrido ataques
hackers, esta instituição de
ensino superior no Brasil
procurou o time HCL para
reduzir custos de
infraestrutura, habilitar
segurança e aprimorar suas
implantações.
PROD IT
Governo
Scan em aplicativos Web
para identificar
vulnerabilidades
Após alguns ataques sofridos,
esta PROD decidiu investir em
uma aplicação para identificar
vulnerabilidades. Após uma
POC, decidiram adquirir o
AppScan com duas filas para
SAST, DAST, IAST e SCA.
Banco
Finanças
Scan em aplicativos Web
para identificar
vulnerabilidades
Com o AppScan este banco
vermelho conseguiu melhorar
a proteção de seus produtos e
obter registros detalhados de
vulnerabilidades de segurança.
Crédito
Finanças
Scan em aplicativo Java e
microserviços durante o
desenvolvimento
Esta empresa privada que
valida crédito, utiliza o
AppScan para identificar
vulnerabilidades durante o
build (se existir vulnerabilidade
crítica – quebra o build).
Link
20. .
.
Agile and issue
management with
custom workflow
automation
Deploy anything,
anywhere with
continuous delivery
for the enterprise
Secure and manage
development assets
Make work visible,
identify bottlenecks, and
improve DevOps flow
across the organization
with value stream
management
Eclipse-based
development environment
Compose with
your existing
environment
HCL Software DevOps help you
maximize and leverage the
tools you already have, like Jira,
Jenkins, Git and Kubernetes.
Secure, Data-Driven
Business Agility
UI, API, embedded and performance
testing, with service virtualization and
test data fabrication
Identify, understand and remediate
vulnerabilities, and achieve regulatory
compliance
Portfolio da HCL Software em DevSECOps