Você está na página 1de 131
Technical Training M3Corp Training Program © 2017 Veracode, Inc.

Technical Training

M3Corp Training Program

© 2017 Veracode, Inc.

Sobre este treinamento

Este treinamento de duração de aproximadamente 2 dias

A dinâmica do treinamento consiste em explanações teóricas e demonstrações práticas

Serão aplicados testes ao final dos módulos

É importante não perder estes testes, pois a avaliação é sobre estes testes!

Será emitido certificado para os que atingirem 80% nos testes

2

© 2017 Veracode, Inc.

é sobre estes testes! • Será emitido certificado para os que atingirem 80% nos testes 2

Objetivos do treinamento

Ao completar este treinamento você será capaz de:

ü Compreender e identificar os riscos de aplicações desenvolvidas sem testes de segurança

ü Compreender o fluxo de desenvolvimento de aplicações

ü Identificar em quais fases de desenvolvimento, deve-se utilizar cada tipo de Scan

ü Extrair relatórios de Scans, e identificar através destes, as vulnerabilidades das aplicações

ü Compreender as propostas de remediação de acordo com as vulnerabilidades encontradas por cada tipo de Scan

3

© 2017 Veracode, Inc.

propostas de remediação de acordo com as vulnerabilidades encontradas por cada tipo de Scan 3 ©

Sumário

Introdução

Desenvolvimento

AppSec

Veracode

 

Gartner & Competitors

 

Por que testar aplicações?

Overview

Plataforma Veracode

 

Help center

Produtos

SAST

 
 

Plataforma

IDE

SDLC

 

Greenlight

DAST

 

Plataforma

API

VSA

4

Gerencial

Relatórios

Políticas

Mitigação

Falhas

Roles

Usuários

Serviços

Suporte

Manual Penetration Test (MPT)

VAST

Dev Coaching

Licenciamento

Overview

Recomendações de uso

Ambiente demo

© 2017 Veracode, Inc.

• Dev Coaching • Licenciamento • Overview • Recomendações de uso • Ambiente demo © 2017
Introdução - DEV © 2017 Veracode, Inc.

Introdução - DEV

© 2017 Veracode, Inc.

Abordagem: Waterfall (tradicional)

Após desenvolvido, a versão é "jogada por cima da parede" para equipes de testes & operações

Novas versões de levam muito tempo para serem disponibilizadas

de testes & operações • Novas versões de levam muito tempo para serem disponibilizadas 6 ©

6

© 2017 Veracode, Inc.

de testes & operações • Novas versões de levam muito tempo para serem disponibilizadas 6 ©

Abordagem: Agile

Grandes melhorias em qualidade e produtividade em relação ao Waterfall

Desenvolvimento e QA trabalham juntos como uma única unidade, sob a direção de um Scrum master e gerente de produtos

juntos como uma única unidade, sob a direção de um Scrum master e gerente de produtos

7

© 2017 Veracode, Inc.

juntos como uma única unidade, sob a direção de um Scrum master e gerente de produtos

Abordagem: DEVOPS

Fundamentalmente, o DevOps é uma extensão do Agile e suas equipes multifuncionais, incluindo as operações.

Os desenvolvedores devem entender como as coisas serão executadas na produção, a partir de muito mais cedo no ciclo de vida.

como as coisas serão executadas na produção, a partir de muito mais cedo no ciclo de

8

© 2017 Veracode, Inc.

como as coisas serão executadas na produção, a partir de muito mais cedo no ciclo de

CI & CD

Automatização reflete em redução de tempo e erros humanos

Isto pode ser alcançado através de ferramentas específicas com uma vasta gama de plugins

• Isto pode ser alcançado através de ferramentas específicas com uma vasta gama de plugins 9
• Isto pode ser alcançado através de ferramentas específicas com uma vasta gama de plugins 9

9

© 2017 Veracode, Inc.

• Isto pode ser alcançado através de ferramentas específicas com uma vasta gama de plugins 9

Microservices

Microservices são arquitetadas de forma stand-alone, fornecendo funcionalidades especificas - por exemplo, autenticação, acesso a mídias

Permitem que os desenvolvedores enviem atualizações com maior certeza de que nenhum engano de código desconhecido fará com que a atualização falhe.

certeza de que nenhum engano de código desconhecido fará com que a atualização falhe. 1 0

10

© 2017 Veracode, Inc.

certeza de que nenhum engano de código desconhecido fará com que a atualização falhe. 1 0

Microservices

Gerenciar inúmeros de microservices sendo atualizado com frequência e ativando constantemente novos recursos demanda visibilidade operacional completa no estado do aplicativo implantado.

O monitoramento permite que a equipe de desenvolvimento / operações combinada identifique falhas iminentes e responda rapidamente.

desenvolvimento / operações combinada identifique falhas iminentes e responda rapidamente. 1 1 © 2017 Veracode, Inc.

11

© 2017 Veracode, Inc.

desenvolvimento / operações combinada identifique falhas iminentes e responda rapidamente. 1 1 © 2017 Veracode, Inc.
Teste de conhecimento: 1

Teste de conhecimento: 1

Teste de conhecimento: 1
Introdução - SecApp © 2017 Veracode, Inc.

Introdução - SecApp

© 2017 Veracode, Inc.

Aplicações são inseguras

14

40%
40%
61%
61%
97%
97%

dos ataques são através de aplicações Web

das aplicações são reprovados pela OWASP na primeira avaliação

das aplicações Java contém vulnerabilidades conhecidas em componentes de terceiros

Sources::

Verizon Data Breech and Incident Report 2016 Veracode State of Software Security 2016

© 2017 Veracode, Inc.

Sources:: Verizon Data Breech and Incident Report 2016 Veracode State of Software Security 2016 © 2017

As empresas não estão prontas para lidar com isso

15

0
0
11%
11%
4:3
4:3

0 das 10 melhores universidades de ciência da computação exigem que os alunos façam uma aula de segurança cibernética para obter

o grau de ciências da computação

dos desenvolvedores responderam corretamente

o que ajuda a proteger contra cross-site scripting

em uma pesquisa recente

É a relação de profissionais de InfoSec

empregados para novos cargos de InfoSec no

LinkedIn

Sources::

Dark Reading

Denim Group

© 2017 Veracode, Inc.

de InfoSec empregados para novos cargos de InfoSec no LinkedIn Sources:: Dark Reading Denim Group ©

Onde são originados os riscos? As aplicações web lideram o vetor de Riscos

16

riscos? As aplicações web lideram o vetor de Riscos 1 6 © 2017 Veracode, Inc. 1/3

© 2017 Veracode, Inc.

1/3

das violações são devido a aplicações Web vulneráveis

(Information Week, Aug. 2015)

Violações evidenciadas na camada de aplicação

T-Mobile

JPMC Challenge

Office of Personnel Management (OPM)

Ashley Madison

Target

US Army

Sony

• JPMC Challenge • Office of Personnel Management (OPM) • Ashley Madison • Target • US
Atualmente os Hackers entram da mesma maneira que todos entram… … Através das aplicações Customer
Atualmente os Hackers entram da mesma maneira
que todos entram…
… Através das aplicações
Customer Records
Applications
Intellectual
Property
Money
Brand
Reputation
Employee
Records

17

© 2017 Veracode, Inc.

Records Applications Intellectual Property Money Brand Reputation Employee Records 1 7 © 2017 Veracode, Inc.

SQL Injection

Explorar uma vulnerabilidade, pode ser tão fácil quanto fazer login Usuário: fulano Senha: 12345 select
Explorar uma vulnerabilidade, pode ser tão fácil quanto fazer login
Usuário:
fulano
Senha:
12345
select * from accounts where name = ‘fulano’ and password = ‘12345’;
Usuário: ‘ OR 1=1; /* Senha: */-- select * from accounts where name = ‘’
Usuário:
‘ OR 1=1; /*
Senha:
*/--
select * from accounts where name = ‘’ OR 1=1; /*’ and password = ‘*/--’;

18

© 2017 Veracode, Inc.

*/-- select * from accounts where name = ‘’ OR 1=1; /*’ and password = ‘*/--’;

SQL Injection

Explorar uma vulnerabilidade, pode ser tão fácil quanto fazer login

19

Camada da aplicação

Legacy Systems

Human Resrcs

Web Services

Directories

Databases

Billing

APPLICATION ATTACK
APPLICATION
ATTACK
Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions
Custom Code
Accounts
Finance
Administration
Transactions
Communication
Knowledge Mgmt
E-Commerce
Bus. Functions

SQL

Knowledge Mgmt E-Commerce Bus. Functions SQL query Camada de rede Firewall Firewall App Server
Knowledge Mgmt E-Commerce Bus. Functions SQL query Camada de rede Firewall Firewall App Server
Knowledge Mgmt E-Commerce Bus. Functions SQL query Camada de rede Firewall Firewall App Server
Knowledge Mgmt E-Commerce Bus. Functions SQL query Camada de rede Firewall Firewall App Server
Knowledge Mgmt E-Commerce Bus. Functions SQL query Camada de rede Firewall Firewall App Server
query
query

Camada de rede

Firewall

Firewall

Camada de rede Firewall Firewall App Server Web Server Hardened OS M

App Server

Web Server

Hardened

OS

M

Imagem adaptada: OWASP Top-10 2013

© 2017 Veracode, Inc.

Firewall App Server Web Server Hardened OS M Imagem adaptada: OWASP Top-10 2013 © 2017 Veracode,

Devemos olhar não só o que é "nosso"

20

Devemos olhar não só o que é "nosso" 2 0 34% de Web Apps 41% Apps
Devemos olhar não só o que é "nosso" 2 0 34% de Web Apps 41% Apps
Devemos olhar não só o que é "nosso" 2 0 34% de Web Apps 41% Apps

34% de Web Apps

41% Apps empresariais

1 em cada 450 Sites

de Web Apps 41% Apps empresariais 1 em cada 450 Sites Encontre rapidamente vulnerabilidades recentemente

Encontre rapidamente vulnerabilidades recentemente descobertas em aplicativos de produção

© 2017 Veracode, Inc.

Sites Encontre rapidamente vulnerabilidades recentemente descobertas em aplicativos de produção © 2017 Veracode, Inc.

Apache Axis Spring Security Tapestry Wicket Lift Apache Santuario BouncyCastle Tiles Hibernate Apache Shiro Java Server Faces AntiSamy

GWT Apache Xerces Spring MVC Struts 1.x Apache CXF

Struts2

Como está a composição de seu software?

100,000,000

10,000,000

1,000,000

100,000

10,000

1,000

100

10

1

Libraries 31 Library Versions 1 ,261 Organizations 61 ,807 Downloads 113 ,939 ,358
Libraries
31
Library Versions 1 ,261
Organizations
61 ,807
Downloads
113 ,939 ,358
Vulnerable Download 26% Safe Download 74%
Vulnerable
Download
26%
Safe
Download
74%

https://www.aspectsecurity.com/news/press/the-unfortunate-reality-of-insecure-libraries

21

© 2017 Veracode, Inc.

74% https://www.aspectsecurity.com/news/press/the-unfortunate-reality-of-insecure-libraries 2 1 © 2017 Veracode, Inc.

Uma Abordagem no Ciclo de Vida Reduz Custos, Riscos

$ $ $ $
$
$
$
$

22

Application Lifecycle
Application Lifecycle

© 2017 Veracode, Inc.

Uma Abordagem no Ciclo de Vida Reduz Custos, Riscos $ $ $ $ 2 2 Application

OWASP TOP 10

Rank

Name

A1

Injection

A2

Broken Authentication and Session Management

A3

Cross- Site Scripting (XSS)

A4

Insecure Direct Object References

A5

Security Misconfiguration

A6

Sensitive Data Exposure

A7

Missing Function Level Access Control

A8

Cross Site Request Forgery (CSRF)

A9

Using Known Vulnerable Components

A10

Unvalidated Redirects and Forwards

23

© 2017 Veracode, Inc.

A9 Using Known Vulnerable Components A10 Unvalidated Redirects and Forwards 2 3 © 2017 Veracode, Inc.

CWE/SANS Top 25

Rank

Name

[1]

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

[2]

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

[3]

Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')

[4]

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

[5]

Missing Authentication for Critical Function

[6]

Missing Authorization

[7]

Use of Hard-coded Credentials

[8]

Missing Encryption of Sensitive Data

[9]

Unrestricted Upload of File with Dangerous Type

[10]

Reliance on Untrusted Inputs in a Security Decision

[11]

Execution with Unnecessary Privileges

[12]

Cross-Site Request Forgery (CSRF)

[13]

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

Rank

Name

[13]

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

[14]

Download of Code Without Integrity Check

[15]

Incorrect Authorization

[16]

Inclusion of Functionality from Untrusted Control Sphere

[17]

Incorrect Permission Assignment for Critical Resource

[18]

Use of Potentially Dangerous Function

[19]

Use of a Broken or Risky Cryptographic Algorithm

[20]

Incorrect Calculation of Buffer Size

[21]

Improper Restriction of Excessive Authentication Attempts

[22]

URL Redirection to Untrusted Site ('Open Redirect')

[23]

Uncontrolled Format String

[24]

Integer Overflow or Wraparound

[25]

Use of a One-Way Hash without a Salt

24

© 2017 Veracode, Inc.

[24] Integer Overflow or Wraparound [25] Use of a One-Way Hash without a Salt 2 4

Necessidades do mercado de AppSec

BUILD OR BUY

TEST

OPERATE

Segurança

garantida

Integração e testes contínuos •
Integração e testes
contínuos

Para desenvolvedores, escaneamento em fase inicial do SLDC

Verificação e proteção contínuas •
Verificação e
proteção contínuas

Gerenciamento de Vulnerabilidades, monitoramento operacional e proteção

Security driven, caso de uso histórico, particularmente uma preocupação com a segurança da Cadeia de fornecedores

25

© 2017 Veracode, Inc.

uso histórico, particularmente uma preocupação com a segurança da Cadeia de fornecedores 2 5 © 2017
Teste de conhecimento: 2

Teste de conhecimento: 2

Teste de conhecimento: 2
Overview © 2017 Veracode, Inc.

Overview

© 2017 Veracode, Inc.

ABORDAGEM DA SEGURANÇA DE APLICAÇÃO

BINARY STATIC ANALYSIS (SAST)

DA SEGURANÇA DE APLICAÇÃO BINARY STATIC ANALYSIS (SAST) Realizar "MRI para Vulnerabilidades" Sem Necessidade

Realizar "MRI para Vulnerabilidades" Sem Necessidade de Código Fonte

SOFTWARE COMPOSITION ANALYSIS

Necessidade de Código Fonte SOFTWARE COMPOSITION ANALYSIS "Lista de Materiais" para Identificar Componentes

"Lista de Materiais" para Identificar Componentes Open Source e de Terceiros com Vulnerabilidades Publicadas

VENDOR APPLICATION SECURITY TESTING (VAST)

Publicadas VENDOR APPLICATION SECURITY TESTING (VAST) Elimine Links Fracos de Software Comercial de Terceiros

Elimine Links Fracos de Software Comercial de Terceiros

DYNAMIC ANALYSIS (DAST)

de Software Comercial de Terceiros DYNAMIC ANALYSIS (DAST) Explore vulnerabilidades, emulando técnicas de cyber

Explore vulnerabilidades, emulando técnicas de cyber ataques

WEB APPLICATION PERIMETER MONITORING

de cyber ataques WEB APPLICATION PERIMETER MONITORING Descubra e avalie rapidamente o risco de todas as

Descubra e avalie rapidamente o risco de todas as aplicações Web externas

28

© 2017 Veracode, Inc.

MONITORING Descubra e avalie rapidamente o risco de todas as aplicações Web externas 2 8 ©

Diferença entre SAST, DAST e MPT

Diferença entre SAST, DAST e MPT 2 9 © 2017 Veracode, Inc.

29

© 2017 Veracode, Inc.

Diferença entre SAST, DAST e MPT 2 9 © 2017 Veracode, Inc.

VERACODE SECURITY EXPERTS HELP YOU REMEDIATE FASTER & MANAGE YOUR GLOBAL PROGRAM

HELP YOU REMEDIATE FASTER & MANAGE YOUR GLOBAL PROGRAM Remediation Coaching 3 0 eLearning Security Program

Remediation Coaching

& MANAGE YOUR GLOBAL PROGRAM Remediation Coaching 3 0 eLearning Security Program Management “ Veracode

30

eLearning

Security Program Management “ Veracode receives high marks from customers for its service and support,
Security Program
Management
“ Veracode receives high
marks from customers for
its service and support, as
well as its customer
success program.”
GARTNER

Manual Penetration Testing

© 2017 Veracode, Inc.

and support, as well as its customer success program.” GARTNER Manual Penetration Testing © 2017 Veracode,

Plataforma Veracode

Plataforma Cloud Based

Administração RBAC (Role based)

Gerenciamento centralizado de:

Equipes

Usuários

Scans

Aplicações

Relatórios

Policies

etc

31

© 2017 Veracode, Inc.

Equipes • Usuários • Scans • Aplicações • Relatórios • Policies • etc 3 1 ©
Equipes • Usuários • Scans • Aplicações • Relatórios • Policies • etc 3 1 ©

Plataforma Veracode – Help Center

Sistema de “Self-help” integrado à plataforam

Aborda todos os principais tópicos de utilização da plataforma

Disponibiliza “Quick start guides”, que fornecem uma visão geral de diversas funcionalidades configuráveis através da plataforma

Videos com demonstrações de funcionalidades da plataforma

através da plataforma • Videos com demonstrações de funcionalidades da plataforma 3 2 © 2017 Veracode,

32

© 2017 Veracode, Inc.

através da plataforma • Videos com demonstrações de funcionalidades da plataforma 3 2 © 2017 Veracode,

Visão geral

Visão geral I D E B a s e d CI/CD Based API & command line
Visão geral I D E B a s e d CI/CD Based API & command line
Visão geral I D E B a s e d CI/CD Based API & command line

IDE Based

Visão geral I D E B a s e d CI/CD Based API & command line

CI/CD Based

Visão geral I D E B a s e d CI/CD Based API & command line

API & command line

geral I D E B a s e d CI/CD Based API & command line Browser

Browser Based

geral I D E B a s e d CI/CD Based API & command line Browser
geral I D E B a s e d CI/CD Based API & command line Browser

Bug Tracking

33

© 2017 Veracode, Inc.

geral I D E B a s e d CI/CD Based API & command line Browser
Demonstração – Platform Walkthrough • Acesso a página inicial da plataforma •

Demonstração – Platform Walkthrough

Acesso a página inicial da plataforma

https://analysiscenter.veracode.com/

Visão geral da interface Web

Help center

inicial da plataforma • https://analysiscenter.veracode.com/ • Visão geral da interface Web • Help center
Teste de conhecimento: 3

Teste de conhecimento: 3

Teste de conhecimento: 3
SAST – Static Code Analysis © 2017 Veracode, Inc.

SAST – Static Code Analysis

© 2017 Veracode, Inc.

Produtos – SAST

SAST – Static Code Analysis

Análise de software realizada sem executar o programa

Cobertura completa de toda a fonte ou processo binário e de sua construção

Ter pleno conhecimento de aplicação pode revelar uma ampla gama de bugs e vulnerabilidades do que uma análise dinâmica

Identificar vulnerabilidades com base nas configurações do sistema e serviços é realizado pelo DAST

vulnerabilidades com base nas configurações do sistema e serviços é realizado pelo DAST 3 7 ©

37

© 2017 Veracode, Inc.

vulnerabilidades com base nas configurações do sistema e serviços é realizado pelo DAST 3 7 ©

Produtos – SAST

Benefícios da análise binária

A

análise binária com 100% de cobertura

Você analisa o que está sendo entregue/implementado

Backdoor inserido na fonte, compilado e, em seguida, removido da fonte ainda será encontrado

Falhas no nível binário, como otimizações de código que removem

a

limpeza da memória de chaves criptográficas, podem ser

detectadas

O código é sempre analisado em seu contexto de execução

A análise de “pedaços/partes" de programas leva a taxas mais elevadas de falsos positivos

Permitindo identificar problemas em otimização de código e ofuscação de código

Detectar falhas em bibliotecas de terceiros

38

© 2017 Veracode, Inc.

de código e ofuscação de código • Detectar falhas em bibliotecas de terceiros 3 8 ©

Produtos – SAST

Veracode Binary Static Analysis

Apoiado por patente (s):

Http://www.google.com/patents/US7051322

Número da patente: 7051322

Data de apresentação: 6 de dezembro de 2002

Data de publicação: 23 de maio de 2006

O portfólio de patentes da Veracode inclui outras patentes

Não requer o código fonte*

Binários com informações de depuração (executáveis, bibliotecas, etc.)

Plataforma "Guard Rails“

Não faz engenharia reversa do código fonte

Ênfase em testes de segurança definidos pela Veracode

39

© 2017 Veracode, Inc.

reversa do código fonte • Ênfase em testes de segurança definidos pela Veracode 3 9 ©

Produtos – SAST

SAST – Static Code Analysis

Produtos – SAST SAST – Static Code Analysis 4 0 © 2017 Veracode, Inc.

40

© 2017 Veracode, Inc.

Produtos – SAST SAST – Static Code Analysis 4 0 © 2017 Veracode, Inc.

Produtos – SAST

SAST – Static Code Analysis Obtenha uma análise de código estático mais precisa e econômica com o Veracode

Veracode Static Analysis suporta os idiomas amplamente utilizados para aplicações de desktop, web e mobile, incluindo:

Java (Java SE, Java EE, JSP)

.NET (C#, ASP.NET, VB.NET)

Web Platforms: JavaScript (incluindo Angular JS, Node.js e jQuery), Python, PHP, Ruby on Rails, ColdFusion and ASP Clássico

Mobile Platforms: iOS (Objective-C e Swift), Android (Java), PhoneGap, Cordova, Titanium, Xamarin

C/C++

Legacy Business Applications (COBOL, Visual Basic 6, RPG)

41

© 2017 Veracode, Inc.

4 1 © 2017 Veracode, Inc.
Demonstração – SAST Via Plataforma web • Existem três passos para iniciar um “Static Scan”:

Demonstração – SAST Via Plataforma web

Existem três passos para iniciar um “Static Scan”:

Fornecer um “Application Profile” e solicitar o Scan

Fazer o upload dos binários

Selecionar os módulos e iniciar o Scan

Pode-se executar um Satic Scan atrvés da página de appliacções, para uma aplicação já existente

OBS 1 : Os resultados deste scan serão verificados em outro módulo.

OBS 2 : Esta é apenas outra forma de realizar o scan (falaremos da integração com o SDL/SDLC em outro módulo)

OBS 2 : Esta é apenas outra forma de realizar o scan (falaremos da integração com
Teste de conhecimento: 4

Teste de conhecimento: 4

Teste de conhecimento: 4
SAST via plugins © 2017 Veracode, Inc.

SAST via plugins

© 2017 Veracode, Inc.

Produtos – SAST

Via IDE Integrando e automatizando

A Veracode oferece diversas formas de integração dos testes de segurança, ao fluxo de desenvolvimento, bem como o acesso aos testes através de outras aplicações

O programa de APIs da Veracode permitem a automatização das ações envolvendo os testes de aplicações, enquanto os plugins permitem que você extenda as análises da Veracode ao seu fluxo de desenvolvimento

Esta é apenas outra forma de realizar o scan SAST (falaremos da integração com o SDL/SDLC em outro módulo)

45

© 2017 Veracode, Inc.

forma de realizar o scan SAST (falaremos da integração com o SDL/SDLC em outro módulo) 4

Produtos – SAST

Via IDE

Plugins

Visual Studio Plugin

Eclipse Plugin

IntelliJ Plugin

Veracode Greenlight

• Visual Studio Plugin • Eclipse Plugin • IntelliJ Plugin • Veracode Greenlight 4 6 ©

46

• Visual Studio Plugin • Eclipse Plugin • IntelliJ Plugin • Veracode Greenlight 4 6 ©

© 2017 Veracode, Inc.

• Visual Studio Plugin • Eclipse Plugin • IntelliJ Plugin • Veracode Greenlight 4 6 ©
• Visual Studio Plugin • Eclipse Plugin • IntelliJ Plugin • Veracode Greenlight 4 6 ©

Produtos – SAST

Via IDE

Plugins

Fazer o upload de binários

Executar o pré-scan em arquivos

Realizar Policy Scan & Sandbox Scan

Obter os resultados da plataforma Veracode

Trabalhar em torno dos resultados obtidos (mitigar)

Obs: Permissões de usuários podem ser aplicadas para limitar as ações

obtidos (mitigar) Obs: Permissões de usuários podem ser aplicadas para limitar as ações 4 7 ©
obtidos (mitigar) Obs: Permissões de usuários podem ser aplicadas para limitar as ações 4 7 ©
obtidos (mitigar) Obs: Permissões de usuários podem ser aplicadas para limitar as ações 4 7 ©

47

© 2017 Veracode, Inc.

obtidos (mitigar) Obs: Permissões de usuários podem ser aplicadas para limitar as ações 4 7 ©

Produtos – SAST

Via IDE Autenticação

Produtos – SAST Via IDE Autenticação 4 8 © 2017 Veracode, Inc.

48

© 2017 Veracode, Inc.

Produtos – SAST Via IDE Autenticação 4 8 © 2017 Veracode, Inc.

Produtos – SAST

Via IDE Criação de aplicativos

49

Produtos – SAST Via IDE Criação de aplicativos 4 9 © 2017 Veracode, Inc.

© 2017 Veracode, Inc.

Produtos – SAST Via IDE Criação de aplicativos 4 9 © 2017 Veracode, Inc.

Produtos – SAST

Via IDE Envio de binários para scan

Produtos – SAST Via IDE Envio de binários para scan 5 0 © 2017 Veracode, Inc.

50

© 2017 Veracode, Inc.

Produtos – SAST Via IDE Envio de binários para scan 5 0 © 2017 Veracode, Inc.

Produtos – SAST

Via IDE Revisão de dependências

Produtos – SAST Via IDE Revisão de dependências 5 1 © 2017 Veracode, Inc.

51

© 2017 Veracode, Inc.

Produtos – SAST Via IDE Revisão de dependências 5 1 © 2017 Veracode, Inc.

Produtos – SAST

Via IDE Acesso aos resultados

Produtos – SAST Via IDE Acesso aos resultados 5 2 © 2017 Veracode, Inc.

52

© 2017 Veracode, Inc.

Produtos – SAST Via IDE Acesso aos resultados 5 2 © 2017 Veracode, Inc.
Veracode Greenlight © 2017 Veracode, Inc.

Veracode Greenlight

© 2017 Veracode, Inc.

Produtos – Greenlight

Via IDE Greenlight

O Plugin Veracode Greenlight identifica as falhas de segurança em poucos segundos, assim você pode corrigi-las diretamente na IDE

O Greenlight faz o scan em arquivos (classes) ou em pequenos pacotes, e informa rapidamente o resultado

Adicionalmente, o Greenlight fornece retorno positivo aos desenvolvedores, informando melhores práticas de desenvolvimento para evitar problemas de segurança

54

© 2017 Veracode, Inc.

informando melhores práticas de desenvolvimento para evitar problemas de segurança 5 4 © 2017 Veracode, Inc.

Produtos – Greenlight

Via IDE Greenlight

O Veracode Greenlight escaneia apenas Java, compilados

corretamente

Antes de iniciar a utilização do plugin, verifique se seu

ambiente atende aos seguintes requisitos:

Eclipse IDE 4.4.2 ou superior

IBM Rational Application Developer (RAD) 9.5.0.2 ou superior

O código foi compilado com sucesso

Seu IDE está conectado à internet

Sua solicitação de scan não seja superior a 1 MB

55

© 2017 Veracode, Inc.

Seu IDE está conectado à internet • Sua solicitação de scan não seja superior a 1

Produtos – Greenlight

Via IDE Scan with Greenlight

Abra o projeto e selecione o arquivo Java a ser escaneado

Vá ao menu Veracode Greenlight > Scan with Greenlight

Após o scan, revise as falhas encontradas na guia Veracode Greenlight

Os resultados do Greenlight são organizados em uma nova guia. Para cada falha encontrada, serão exibidas as melhores práticas para correção.

Faça duplo no alerta para localizar o problema na linha específica do codigo Java

Faça clique com o botão direito do mouse para conferir as ações possíveis

56

© 2017 Veracode, Inc.

Java • Faça clique com o botão direito do mouse para conferir as ações possíveis 5

Produtos – Greenlight

Via IDE Revisando os resultados

Produtos – Greenlight Via IDE Revisando os resultados 5 7 © 2017 Veracode, Inc.

57

© 2017 Veracode, Inc.

Produtos – Greenlight Via IDE Revisando os resultados 5 7 © 2017 Veracode, Inc.

Produtos – Greenlight

Via IDE Greenlight best Practices

Produtos – Greenlight Via IDE Greenlight best Practices 5 8 © 2017 Veracode, Inc.

58

© 2017 Veracode, Inc.

Produtos – Greenlight Via IDE Greenlight best Practices 5 8 © 2017 Veracode, Inc.
Demonstração – SAST & Greenlight ( usando os plugins)

Demonstração – SAST & Greenlight (usando os plugins)

Demonstração – SAST & Greenlight ( usando os plugins)
SAST via Plugin – Resumo • Utilizando o plugin do Eclipse • Criação de aplicativo

SAST via Plugin – Resumo

Utilizando o plugin do Eclipse

Criação de aplicativo

Upload

Acesso aos resultados

Utilizando o Greenlight

Envio do scan

Acesso aos resultados

• Upload • Acesso aos resultados • Utilizando o Greenlight • Envio do scan • Acesso
Teste de conhecimento: 5

Teste de conhecimento: 5

Teste de conhecimento: 5
SAST – Integrado ao SDL/SDLC © 2017 Veracode, Inc.

SAST – Integrado ao SDL/SDLC

© 2017 Veracode, Inc.

Produtos – SAST

SDLC – Systems Development Lifecycle Benefícios do processo de SDLC

O objetivo de um processo de SDLC é ajudar a produzir um produto que teha bom custo-benefício, seja eficiente de de alta qualidade

A Veracode permite integrar testes de segurança automatizados no processo SDLC através do uso de sua plataforma baseada em nuvem

segurança automatizados no processo SDLC através do uso de sua plataforma baseada em nuvem 6 3

63

© 2017 Veracode, Inc.

segurança automatizados no processo SDLC através do uso de sua plataforma baseada em nuvem 6 3

Produtos – SAST

SDLC – Systems Development Lifecycle Fases do SDLC Plan Code Build Test Stage Deploy Monitor
SDLC – Systems Development Lifecycle
Fases do SDLC
Plan
Code
Build
Test
Stage
Deploy
Monitor
Agile
CI/CD
DevOps

Developer Training

Developer Sandbox Developer Remediation Coaching

Static Analysis & Software Composition Analysis

Web Application Scanning

Runtime Protection

Veracode APIs for Tool Chain Integration

IDEs

Protection Veracode APIs for Tool Chain Integration IDEs Code Repositories Bug Tracking CI/CD Systems GRCs SIEMs
Protection Veracode APIs for Tool Chain Integration IDEs Code Repositories Bug Tracking CI/CD Systems GRCs SIEMs
Protection Veracode APIs for Tool Chain Integration IDEs Code Repositories Bug Tracking CI/CD Systems GRCs SIEMs

Code Repositories

Bug Tracking

Protection Veracode APIs for Tool Chain Integration IDEs Code Repositories Bug Tracking CI/CD Systems GRCs SIEMs

CI/CD Systems

Protection Veracode APIs for Tool Chain Integration IDEs Code Repositories Bug Tracking CI/CD Systems GRCs SIEMs

GRCs

Protection Veracode APIs for Tool Chain Integration IDEs Code Repositories Bug Tracking CI/CD Systems GRCs SIEMs

SIEMsRuntime Protection Veracode APIs for Tool Chain Integration IDEs Code Repositories Bug Tracking CI/CD Systems GRCs

Protection Veracode APIs for Tool Chain Integration IDEs Code Repositories Bug Tracking CI/CD Systems GRCs SIEMs
Protection Veracode APIs for Tool Chain Integration IDEs Code Repositories Bug Tracking CI/CD Systems GRCs SIEMs
Protection Veracode APIs for Tool Chain Integration IDEs Code Repositories Bug Tracking CI/CD Systems GRCs SIEMs

WAFs

Protection Veracode APIs for Tool Chain Integration IDEs Code Repositories Bug Tracking CI/CD Systems GRCs SIEMs

64

© 2017 Veracode, Inc.

Integration IDEs Code Repositories Bug Tracking CI/CD Systems GRCs SIEMs WAFs 6 4 © 2017 Veracode,

Microservices

65

© 2017 Veracode, Inc.

Microservices 6 5 © 2017 Veracode, Inc.

Security

Team

Developme

nt Teams

Produtos – SAST

SDLC – Systems Development Lifecycle Funções e responsabilidades do programa

Create Users & App Profiles Define Policies
Create Users &
App Profiles
Define Policies
No Need Review Report Expertise Remediate ? Yes
No
Need
Review Report
Expertise
Remediate
?
Yes
Request Application Analysis Compliance
Request
Application
Analysis
Compliance
Remediation No Coaching Scan Met Rescan Policy Application Application ? Yes
Remediation
No
Coaching
Scan
Met
Rescan
Policy
Application
Application
?
Yes

66

© 2017 Veracode, Inc.

Remediation No Coaching Scan Met Rescan Policy Application Application ? Yes 6 6 © 2017 Veracode,

Security

Team

Developme

nt Teams

Produtos – SAST

SDLC – Systems Development Lifecycle Funções e responsabilidades da Integração

Automation Create Users & App Profiles Define Policies
Automation
Create Users &
App Profiles
Define Policies
plugins No Need Expertise Remediate Review Report ? Yes Remediation No Coaching Met Rescan Policy
plugins
No
Need
Expertise
Remediate
Review Report
?
Yes
Remediation
No
Coaching
Met
Rescan
Policy
Application
?
Yes
Application Request Compliance Analysis
Application
Request
Compliance
Analysis
Scan Application
Scan
Application

67

© 2017 Veracode, Inc.

Policy Application ? Yes Application Request Compliance Analysis Scan Application 6 7 © 2017 Veracode, Inc.

Produtos – SAST

SDLC – Systems Development Lifecycle Integração – Visão geral

68

9
9
8 Policy Scan 5 Veracode Cloud- Sandbox Based Scan Platform
8
Policy
Scan
5
Veracode
Cloud-
Sandbox
Based
Scan
Platform
Import
Import
4
4
Mid to late Dev
Mid to late
Dev
Sandbox Based Scan Platform Import 4 Mid to late Dev 7 Build 1 Develop 2 3
Sandbox Based Scan Platform Import 4 Mid to late Dev 7 Build 1 Develop 2 3
7
7
Build
Build
Based Scan Platform Import 4 Mid to late Dev 7 Build 1 Develop 2 3 Greenlight
1 Develop
1
Develop
2
2
Platform Import 4 Mid to late Dev 7 Build 1 Develop 2 3 Greenlight Scan Early
3
3
Greenlight Scan
Greenlight
Scan
Greenlight Scan
Early Dev
Early Dev
late Dev 7 Build 1 Develop 2 3 Greenlight Scan Early Dev Automated Veracode Plugin 6

Automated4 Mid to late Dev 7 Build 1 Develop 2 3 Greenlight Scan Early Dev Veracode

Veracode PluginImport 4 Mid to late Dev 7 Build 1 Develop 2 3 Greenlight Scan Early Dev

6 Check In
6
Check In
late Dev 7 Build 1 Develop 2 3 Greenlight Scan Early Dev Automated Veracode Plugin 6

© 2017 Veracode, Inc.

late Dev 7 Build 1 Develop 2 3 Greenlight Scan Early Dev Automated Veracode Plugin 6
Demonstração – SAST via SDLC

Demonstração – SAST via SDLC

Demonstração – SAST via SDLC
SAST via SDLC – Resumo • Integração com sistema CI/CD • Integração com Bug tracker

SAST via SDLC – Resumo

Integração com sistema CI/CD

Integração com Bug tracker

SAST via SDLC – Resumo • Integração com sistema CI/CD • Integração com Bug tracker
Teste de conhecimento: 6

Teste de conhecimento: 6

Teste de conhecimento: 6
Produtos - DAST © 2017 Veracode, Inc.

Produtos - DAST

© 2017 Veracode, Inc.

Produtos – DAST

DAST – Dynamic Analysis Teste de análise dinâmica

Um teste de análise dinâmica comunica-se com uma aplicação web através de seu Front-end, a fim de identificar potenciais vulnerabilidades de segurança

Ao contrário dos scanners de código-fonte, um programa de análise dinâmica não tem acesso ao código-fonte e, portanto, detecta vulnerabilidades ao executar ataques

73

não tem acesso ao código-fonte e, portanto, detecta vulnerabilidades ao executar ataques 7 3 © 2017

© 2017 Veracode, Inc.

não tem acesso ao código-fonte e, portanto, detecta vulnerabilidades ao executar ataques 7 3 © 2017

Produtos – DAST

DAST – Dynamic Analysis Teste de análise dinâmica

Os scanners de análise dinâmica podem procurar uma grande variedade de vulnerabilidades, incluindo:

Validação de entrada / saída: (Cross-Site Scripting, SQL Injection, etc.)

Problemas específicos de aplicação

Erros de configuração do servidor

etc

74

© 2017 Veracode, Inc.

• Problemas específicos de aplicação • Erros de configuração do servidor • etc 7 4 ©

Produtos – DAST

DAST – Dynamic Analysis Integração completa com análise estática

Ao contrário dos scanners web "autônomos", a Veracode é o único provedor de análise dinâmica a incorporar testes estáticos e dinâmicos como uma única ferramenta

O teste dinâmico de aplicativos da web da Veracode é integrado à nossa análise binária estática patenteada, que permite às empresas testar completamente suas aplicações usando vários métodos de avaliação para fornecer um único conjunto de resultados convergentes, classificações e relatórios.

75

© 2017 Veracode, Inc.

para fornecer um único conjunto de resultados convergentes, classificações e relatórios. 7 5 © 2017 Veracode,

Produtos – DAST

DAST – Dynamic Analysis

Identificação de vulnerabilidades em aplicações web em

Identifica pontos fracos na arquitetura e vulnerabilidades nas aplicações em execução

Testa aplicações web em ambiente de pré-produção e também após a publicação

Identifica vulnerabilidades altamente exploráveis, como SQL injection e Cross-Site Scripting

Inspeciona os aplicativos da mesma forma que um hacker os atacaria, fornecendo detecção de vulnerabilidade mais precisa

76

mesma forma que um hacker os atacaria, fornecendo detecção de vulnerabilidade mais precisa 7 6 ©
mesma forma que um hacker os atacaria, fornecendo detecção de vulnerabilidade mais precisa 7 6 ©

© 2017 Veracode, Inc.

mesma forma que um hacker os atacaria, fornecendo detecção de vulnerabilidade mais precisa 7 6 ©
Demonstração – DAST via Plataforma

Demonstração – DAST via Plataforma

Demonstração – DAST via Plataforma
Produtos – VSA © 2017 Veracode, Inc.

Produtos – VSA

© 2017 Veracode, Inc.

Produtos - VSA

VSA – Virtual Scan Appliance

Aplicações web internas não disponíveis na internet podem ser verificadas através do Virtual Scan Appliance (VSA).

O VSA é um appliance virtual pré-configurado que implementa o nosso mecanismo DynamicDS (Deep Scan) para analisar os aplicativos da Web atrás do firewall

79

© 2017 Veracode, Inc.

nosso mecanismo DynamicDS (Deep Scan) para analisar os aplicativos da Web atrás do firewall 7 9
nosso mecanismo DynamicDS (Deep Scan) para analisar os aplicativos da Web atrás do firewall 7 9

Produtos - VSA

VSA – Virtual Scan Appliance Arquitetura

Produtos - VSA VSA – Virtual Scan Appliance Arquitetura 8 0 © 2017 Veracode, Inc.

80

© 2017 Veracode, Inc.

Produtos - VSA VSA – Virtual Scan Appliance Arquitetura 8 0 © 2017 Veracode, Inc.
DAST via Plataforma – Resumo • A requisição de um Sca Dinâmico, necessita dos seguitnes

DAST via Plataforma – Resumo

A requisição de um Sca Dinâmico, necessita dos seguitnes passos:

Criação de um perfil de aplicação

Configuração dos parâmetros de Scan dinâmico

Fornecer as informações de login

Fornecer instruções de rastreamento opcionais

Configurar as opções avançadas

Selecionar a engine de scan dinâmico

Executar o pré-scan

Agendar o scan e submeter a tarefa

• Selecionar a engine de scan dinâmico • Executar o pré- scan • Agendar o scan
Teste de conhecimento: 7

Teste de conhecimento: 7

Teste de conhecimento: 7
Gerencial © 2017 Veracode, Inc.

Gerencial

© 2017 Veracode, Inc.

Gerencial - Políticas

Entendendo as políticas

A plataforma Veracode permite que uma organização defina e aplique uma política uniforme de segurança de aplicativos em todas as aplicações em seu portfólio. Os elementos de uma diretiva de segurança do aplicativo incluem:

Definição do “Veracode Level”

Tipos de falhas

Pontuação mínima de segurança Veracode

Tipos de scans necessários e frequências

Período para correção (grace period)

84

© 2017 Veracode, Inc.

• Tipos de scans necessários e frequências • Período para correção (grace period) 8 4 ©
• Tipos de scans necessários e frequências • Período para correção (grace period) 8 4 ©

Gerencial - Políticas

Veracode Level

O Veracode Level (VL) obtido por uma aplicação é determinado pelo tipo de teste que a Veracode executa na aplicação, gravidade e os tipos de falhas detectados. Um score de segurança mínimo (definido abaixo) é necessário para cada nível.

Critérios para atingir um determinado Veracode Level

abaixo) é necessário para cada nível. Critérios para atingir um determinado Veracode Level 8 5 ©

85

© 2017 Veracode, Inc.

abaixo) é necessário para cada nível. Critérios para atingir um determinado Veracode Level 8 5 ©
Demonstração – Políticas

Demonstração – Políticas

Demonstração – Políticas
Políticas – Resumo • Veracode Level • Personalização das regras de segurança • Omitir CWE

Políticas – Resumo

Veracode Level

Personalização das regras de segurança

Omitir CWE

Conformidade com padrões de segurança (ex: PCI, CERT, OWASP, SANS)

Categorias de falhas

Severidades

Score

Frequência

Tempo para remediação

OWASP, SANS) • Categorias de falhas • Severidades • Score • Frequência • Tempo para remediação

Gerencial – Mitigação

Mitigação de falhas

Após a conclusão da verificação, o próximo passo no fluxo de trabalho é revisar detalhadamente todas as vulnerabilidades descobertas

Classificação das falhas

Mitigação de falhas através da modificação de recursos

Aprovação das mitigações (Mitigation Approver)

Exclusão das falhas mitigadas dos relatórios estaísticos

(Mitigation Approver) • Exclusão das falhas mitigadas dos relatórios estaísticos 8 8 © 2017 Veracode, Inc.

88

© 2017 Veracode, Inc.

(Mitigation Approver) • Exclusão das falhas mitigadas dos relatórios estaísticos 8 8 © 2017 Veracode, Inc.

Gerencial – Flaws (falhas)

Static Flaws

A Triagem de Falhas estáticas permite aos desenvolvedores revisar as falhas estáticas no contexto de sua cópia local do código-fonte para o aplicativo

De um modo geral, estes se dividem em duas categorias:

89

Vulnerabilidades

Potenciais vulnerabilidades (quando não são acessíveis pelo conjunto analisado)

• Potenciais vulnerabilidades (quando não são acessíveis pelo conjunto analisado) © 2017 Veracode, Inc.

© 2017 Veracode, Inc.

• Potenciais vulnerabilidades (quando não são acessíveis pelo conjunto analisado) © 2017 Veracode, Inc.

Gerencial – Flaws (falhas)

DynamicDS Flaws

A página de Triagem Falhas dinâmicas apresenta as falhas do DynamicDS, de forma diferente das falhas estáticas

As verificações DynamicDS detectam dois tipos principais de vulnerabilidades:

Falhas de aplicativo

Falhas de configuração

Expemplos de falhas de aplicativo: Cross-site script, injeção SQL, injeção de comandos, etc.

Exemplos de falhas de configuração: exposição do código-fonte, listagens de diretórios, métodos desnecessários de HTTP habilitados, etc.

90

© 2017 Veracode, Inc.

código-fonte, listagens de diretórios, métodos desnecessários de HTTP habilitados, etc. 9 0 © 2017 Veracode, Inc.
código-fonte, listagens de diretórios, métodos desnecessários de HTTP habilitados, etc. 9 0 © 2017 Veracode, Inc.
Demonstração – Falhas e Mitigação

Demonstração – Falhas e Mitigação

Demonstração – Falhas e Mitigação
Mitigação– Resumo • Revisão do sumário dos resultados • Triagem de falhas • Estática •

Mitigação– Resumo

Revisão do sumário dos resultados

Triagem de falhas

Estática

Dinâmica

Mitigação– Resumo • Revisão do sumário dos resultados • Triagem de falhas • Estática • Dinâmica
Teste de conhecimento: 8

Teste de conhecimento: 8

Teste de conhecimento: 8

Gerencial – Relatórios

Relatórios – Tipos

A Veracode permite a extração de relatórios analíticos ou customizados

Analytics: Apresenta um relatório gerencial de todas as aplicações de seu portfólio, com informações detalhadas sobre falhas, remediações, mitigações, etc

Custom: Permite que você faça a customização das informações e do layout do relatório a ser exibido. A customização é simples, orientada a objetos, no esitlo “Drag and Drop”

Export data: Permite que você faça a exportação de todos os resultados obtidos nos relatórios, para fins de análise/comprovação

94

© 2017 Veracode, Inc.

de todos os resultados obtidos nos relatórios, para fins de análise/comprovação 9 4 © 2017 Veracode,
Demonstração – Relatórios

Demonstração – Relatórios

Demonstração – Relatórios
Relatórios – Resumo • Relatórios analíticos • Personalizados

Relatórios – Resumo

Relatórios analíticos

Personalizados

Relatórios – Resumo • Relatórios analíticos • Personalizados

Gerencial – Roles

Role-Based Access Control Máxima flexibilidade com controle granular

Controle de acesso baseado em “Roles”

“Roles” com funções pré-definidas, como por exemplo:

Policy Administrators - podem editar políticas e regras de notificação

Submitters - podem submeter scans e revisar os resultados de suas respectivas equipes

Security Leads - podem acessar dados analíticos e falhas para todas as aplicações

Mitigation Approvers - podem aprovar mitigações para falhas

Executives - podem visualizar painéis analíticos para todas as suas aplicações

• Executives - podem visualizar painéis analíticos para todas as suas aplicações 9 7 © 2017

97

© 2017 Veracode, Inc.

• Executives - podem visualizar painéis analíticos para todas as suas aplicações 9 7 © 2017
Demonstração – Roles & Users

Demonstração – Roles & Users

Demonstração – Roles & Users
Roles & Users – Resumo • Usuários • Times/equipes • Roles/papeis • Unidades de negócios

Roles & Users – Resumo

Usuários

Times/equipes

Roles/papeis

Unidades de negócios

Roles & Users – Resumo • Usuários • Times/equipes • Roles/papeis • Unidades de negócios
Serviços © 2017 Veracode, Inc.

Serviços

© 2017 Veracode, Inc.

Serviços – Suporte

Como ajudamos nossos clientes

A equipe de Serviços incluirá recursos de 3 funções diferentes:

Program Management - seu principal contato e consultor de confiança

Consultor preferencial

Ajuda para sua equipe definir políticas

Acompanhamento aos seus desenvolvedores

Estruturação do programa com base nos seus objetivos

101

Application Security Consultants

Desenvolvedores experientes que podem falar o mesmo “idioma” que seus desenvolvedores

Peritos certificados em segurança

Conhecimento em todas as entradas e saídas da plataforma

Conhecimento em todas as entradas e saídas da plataforma • Customer Support • Suporte telefônico sempre

Customer Support

Suporte telefônico sempre que precisar

© 2017 Veracode, Inc.

e saídas da plataforma • Customer Support • Suporte telefônico sempre que precisar © 2017 Veracode,

Serviços – Manual Penetration Test (MPT)

Penetration Testing

Manual Penetration Test

A tecnologia das ferramentas aliada ao conhecimento humano

Abordagem prática e ampla, utilizando as mesmas técnicas que um harcker utilizaria

• Abordagem prática e ampla, utilizando as mesmas técnicas que um harcker utilizaria 1 0 2

102

© 2017 Veracode, Inc.

• Abordagem prática e ampla, utilizando as mesmas técnicas que um harcker utilizaria 1 0 2

Serviços – VAST

VAST – Vendor Application Security Test

Gerencie avaliações de segurança em toda a sua cadeia de fornecedores

A avaliação de software de terceiros é ainda mais desafiadora quando os fornecedores têm de fornecer acesso ao seu código-fonte, que muitos consideram como propriedade intelectual confidencial.

ao seu código-fonte, que muitos consideram como propriedade intelectual confidencial. 1 0 3 © 2017 Veracode,

103

© 2017 Veracode, Inc.

ao seu código-fonte, que muitos consideram como propriedade intelectual confidencial. 1 0 3 © 2017 Veracode,

Serviços – Dev Coaching

Veracode technical support

Obtenha treinamento de correção de outros desenvolvedores com experiência AppSec

Agende sessões de coaching individuais para conversar com nossos consultores de segurança de aplicativos, que têm experiência em desenvolvimento e que o ajudam a focar na sua vulnerabilidade específica

As empresas que utilizam esses serviços corrigem 2.5x mais falhas - isso é progresso real. Ainda melhor, você usará esse aprendizado para escrever código mais seguro mais rapidamente no futuro

Os consultores de segurança de aplicativos da Veracode também trabalham com você para priorizar os esforços de remediação e fornecer contexto em torno de correções, para que você possa facilmente ver quais aplicativos atendem aos seus requisitos, quais não, e o porquê

104

© 2017 Veracode, Inc.

possa facilmente ver quais aplicativos atendem aos seus requisitos, quais não, e o porquê 1 0
Teste de conhecimento: 9

Teste de conhecimento: 9

Teste de conhecimento: 9
Veracode & security © 2017 Veracode, Inc.

Veracode & security

© 2017 Veracode, Inc.

Sério sobre a proteção da propriedade intelectual

Veracode Third-Party Assessment Agreement (TPAA)

Proteção em nível da analise

As técnicas são projetadas especificamente para testar binários de aplicativos sem exigir qualquer exposição de seu código-fonte

Proteção em nível dos dados

Detalhes sobre falhas específicas, onde eles ocorrem e como eles podem ser explorados não são revelados a ninguém, além de você. sem divulgação pública.

Proteção de armazenamento e destruição de binários

Todos os binários em trânsito para ou armazenados no serviço Veracode são criptografados com uma chave exclusiva por aplicativo, usando a criptografia AES de 256 bits e nunca são descriptografados para o disco. O Veracode destrói o binário fornecido de forma segura, segura e atempada, com base nos padrões de segurança C2 / Military

107

© 2017 Veracode, Inc.

de forma segura, segura e atempada, com base nos padrões de segurança C2 / Military 1

VERACODE Information Security Exhibit (VISE)

Governança da Segurança da Informação

Avaliação e Tratamento de Riscos

Política de segurança

Organização da Segurança da Informação

Gestão de ativos

Segurança de Recursos Humanos

Segurança Física e Ambiental

Gestão de Comunicações e Operações

Controle de acesso

Física e Ambiental • Gestão de Comunicações e Operações • Controle de acesso 1 0 8

108

© 2017 Veracode, Inc.

Física e Ambiental • Gestão de Comunicações e Operações • Controle de acesso 1 0 8

COMO O VERACODE MANTÉM A SEGURANÇA DOS DADOS DO CLIENTE

COMO O VERACODE MANTÉM A SEGURANÇA DOS DADOS DO CLIENTE Os arquivos são criptografados com uma
Os arquivos são criptografados com uma chave única por varredura usando criptografia AES 256 bits

Os arquivos são criptografados com uma chave única por varredura usando criptografia AES 256 bits

única por varredura usando criptografia AES 256 bits Binários, credenciais ou dados em trânsito para Veracode

Binários, credenciais ou dados em trânsito para Veracode são protegidos por metodologias de criptografia (TLS, certificados digitais)

metodologias de criptografia (TLS, certificados digitais) Deste ponto em diante, os arquivos nunca são decifrados
Deste ponto em diante, os arquivos nunca são decifrados para o disco; A descodificação para
Deste ponto em diante, os arquivos nunca são decifrados
para o disco; A descodificação para fins de análise é
realizada apenas na memória pelo processo de
digitalização.
O Veracode elimina automaticamente os binários
criptografados de nossos dispositivos de armazenamento
dentro de 90 dias após a entrega dos resultados da
verificação da aplicação.

Desenvolvedor interno ou externo do cliente conectadono Veracode Platform (Web)

Scan Engines: Java; .NET , Android, iOS etc.

Platform (Web) Scan Engines: Java; .NET , Android, iOS etc. Os arquivos são excluídos de maneira

Os arquivos são excluídos de maneira criptográficamente segura, excluindo os arquivos e, em seguida, destruindo a chave apropriada por meio do KMS. Desta forma, mesmo se os arquivos fossem recuperados, eles não poderiam ser descriptografados como a chave é irrevogavelmente destruída.

109

© 2017 Veracode, Inc.

eles não poderiam ser descriptografados como a chave é irrevogavelmente destruída. 1 0 9 © 2017

COMO O VERACODE MANTÉM A SEGURANÇA DOS DADOS DO CLIENTE

COMO O VERACODE MANTÉM A SEGURANÇA DOS DADOS DO CLIENTE Proteção no nível da aplicação Protecção

Proteção no nível da aplicação

DOS DADOS DO CLIENTE Proteção no nível da aplicação Protecção ao nível das instalações (facilities)

Protecção ao nível das instalações (facilities)

Monitoramento e vigilância 24/7/365 e segurança local (protegido por um rigoroso controle de acesso, incluindo cartões de criptografia de dois fatores, sistemas biométricos e mantraps).

A operação contínua do datacenter é assegurada por Alimentação de energia, dispositivos UPS e geradores de backup.

de energia, dispositivos UPS e geradores de backup. Protecção ao nível da rede A rede de
de energia, dispositivos UPS e geradores de backup. Protecção ao nível da rede A rede de

Protecção ao nível da rede

A rede de serviços da Veracode é protegida por vários sistemas de segurança para oferecer proteção em camadas. Uma combinação de firewalls externos, firewalls internos e sistemas de detecção de intrusão monitoram a atividade da rede.

Avaliações periódicas de vulnerabilidade da rede também são realizadas usando ferramentas de avaliação de terceiros e as vulnerabilidades identificadas são corrigidas. A Veracode implementou padrões industriais para monitoramento proativo, registro e análise de eventos de segurança.

A Veracode usa o controle de acesso baseado em função (RBAC) para fornecer um modelo de segurança robusto e flexível para controlar o acesso ao conteúdo dos clientes. O controle de acesso de grão fino fornece um poderoso modelo de menor privilégio para garantir que os usuários tenham acesso aos dados necessários para executar suas funções de trabalho necessárias. A Veracode oferece autenticação de dois fatores para oferecer aos clientes um maior grau de autenticação e controle.

aos clientes um maior grau de autenticação e controle. Auditoria de segurança em todos os níveis
aos clientes um maior grau de autenticação e controle. Auditoria de segurança em todos os níveis

Auditoria de segurança em todos os níveis

A plataforma Veracode é hospedada em um datacenter muito seguro que é certificado anualmente com SSAE 16 Type II SOC I Auditoria independente anual da Veracode pela Ernst & Young para a certificação SOC 2 e SOC 3 SysTrust

110

© 2017 Veracode, Inc.

anual da Veracode pela Ernst & Young para a certificação SOC 2 e SOC 3 SysTrust
Licenciamento © 2017 Veracode, Inc.

Licenciamento

© 2017 Veracode, Inc.

Licenciamento - Scans

Dynamic Anlysis GL-DEV INT-APP-Static • Unlimited assessments • Unlimited 1 customer APP INT-APP-WAS • Per
Dynamic Anlysis
GL-DEV
INT-APP-Static
• Unlimited
assessments
Unlimited 1 customer
APP
INT-APP-WAS
• Per user
subscription
• 1 customer app
Up to 50 MB APP
• Unlimited
Accessments
SCA
• Assessments of third-party
components
INT-APP
1 customer
• Scans JAVA and .NET
found in software
application
Unlimited
assessments
INT-AST-WAS
• Single assessment
INT-AST-Static
• Single 1 customer static
assessment
• Difined as a single URL
(scheme, host and port)
• No remediation assessments
• Up to 50 MB App
INT-APP-MICRO
• 1 customer
• Unlimited assessments
• Application microservice
Static Analysis

112

© 2017 Veracode, Inc.

• 1 customer • Unlimited assessments • Application microservice Static Analysis 1 1 2 © 2017

Licenciamento – E-learn

Equipes de TI e DEV precisam de conhecimento em codificação segura para poderem inovar rápido e com segurança

Compliance: Demonstrar formação contínua em técnicas de codificação seguras com foco na segurança, com base nas melhores práticas da indústria

Governance: Monitorar o uso e avaliar o conhecimento dos funcionários

Education: Cursos de Segurança de Aplicações individuais escritos por desenvolvedores para desenvolvedores, testadores e time de Segurança

Coverage: Forma rentável de treinar e monitorar equipes geograficamente distribuídas, terceiros e equipes de desenvolvimento offshore

113

Automated provisioning

de desenvolvimento offshore 1 1 3 Automated provisioning Security Awareness Application Security Activity

Security

Awareness

Application

Security

Activity reporting

Transcripts for student CPE

Application Security Activity reporting Transcripts for student CPE Cloud-based platform © 2017 Veracode, Inc.

Cloud-based platform

© 2017 Veracode, Inc.

Application Security Activity reporting Transcripts for student CPE Cloud-based platform © 2017 Veracode, Inc.
*AST Market © 2017 Veracode, Inc.

*AST Market

© 2017 Veracode, Inc.

The analyst view: Gartner

The analyst view: Gartner Description Veracode is a U.S.-based, well-established and rapidly growing provider of SAST

Description

Veracode is a U.S.-based, well-established and rapidly growing provider of SAST and DAST cloud services, software supply chain testing and mobile AST. For SAST, Veracode has been a pioneer in the analysis of binary code, not requiring the source code for

testing. Its 2012 acquisition of Marvin security accelerated its mobile AST capabilities where it was also an early innovator. In 2014, Veracode added integrated software composition analysis capabilities into its AST services for the identification of vulnerable open source components. Veracode's AST services will meet the requirements of organizations looking for a broad set of AST services — SAST, DAST and mobile AST — that want to delegate their AST and SCA to a third-party expert with a

and

strong

demonstrated innovation in application security.

reputation

for

the

quality

of

its

services

115

© 2017 Veracode, Inc.

innovation in application security . reputation for the quality of its services 1 1 5 ©
 

Veracode

Micro Focus

IBM

Checkmarx

Qualys

Synopsis,

Sonar-

Open

 

(Fortify)

Cigital,

Qube

Source

 

SecureAssist

(Various)

Static Analysis – Finding unknown vulnerabilities in your own code

˜

˜

º

˜

™

˜

º

º

Secure DevOps – Reduce cost & development disruption, increase predictability of releases

˜

º

™

˜

™

˜

™

™

Software Composition Analysis – Finding known vulnerabilities in open source components in your software

˜

º

º

º

™

˜

™

™

Dynamic Analysis – Finding vulnerabilities in web applications

˜

º

˜

™

˜

˜

™

º

Runtime Application Self Protection (RASP) – Block attacks on application in real time

˜

˜

™

™

™

˜

™

™

Manual Penetration Testing – Get an expert to ethically hack your application

˜

˜

˜

™

™

™

™

™

Developer Training – Educating developers on secure development

˜

™

™

º

™

º

™

™

Developer Coaching – One-on-one calls with developers to help them fix vulnerabilities

˜

™

™

™

™

™

™

™

Application Security Consulting – Get qualified advice on remediation and mitigation

˜

˜

˜

™

™

™

™

™

Security Program Management – Get help to build and run a successful AppSec program

˜

º

™

™

™

˜

™

™

Accuracy – Low false

positive rate

˜

º

º

º

º

º

™

™

Langugage Support – breadth of programming languages

˜

˜

˜

˜

™

˜

˜

™

Integrations - IDEs, build systems, GRCs, ticketing systems

˜

˜

º

˜

˜

˜

˜

™

116

© 2017 Veracode, Inc.

build systems, GRCs, ticketing systems ˜ ˜ º ˜ ˜ ˜ ˜ ™ 1 1 6
COMPETITORS: STATIC 117

COMPETITORS:

STATIC

117
117

Buying Criteria

Criterion

Micro Focus FoD

Checkmarx

IBM AppScan

Veracode

Price

No per-MB limit

Cheaper for smaller orgs

Complex licensing

Easy model, $$$ for smaller orgs

Coverage

Actionable Results

Some remediation consulting

Automated

 

Remediation consulting & automated guidance

guidance

Low Noise/Low FP

Noise filter

Noisy (but

Noisy

tunable)

Fit with centralized appsec program

Centralized,

Minimal

Hard to distribute to developers

Centralized, dashboards, policy, metrics

dashboards,

dashboards

 

“policy”

 

Scalable (ease of use / time to start)

Hard to maintain

Complex to set up and maintain

Fit with developer process

Some integrations, APIs

Integrations, faster

Integrations

Integrations, APIs, Sandbox

Access to services

Poor quality

None

Via Cigital

Speed

“1 day SLO”; really

?

60% 1 hr; 80% 4 hrs

2–3

118

© 2017 Veracode, Inc.

✓ Speed “1 day SLO”; really ✓ ? 60% 1 hr; 80% 4 hrs 2–3 1

Static Capabilities

Feature

Micro Focus FoD

Checkmarx

IBM

Veracode

Code scanning technology

Source or bytecode

Source

Source

Binary/bytecode, source for some languages

On premise

Yes (separate

Yes

Yes

No

product)

Cloud

Yes

Claimed

Yes (new)

Yes

FP reduction

Yes (requires source)

No

No

Yes, plus auto-publish

Policy engine

Yes (limited)

No

No

Yes

Analytics dashboards

Yes (limited)

No

Yes (limited)

Yes

Analytics ad hoc

No

No

No

Yes

Build integration

Limited – custom

Jenkins, Bamboo, Team City, TFS, Anthill Pro

No

Jenkins, Maven, Ant, TFS

IDE integration

Eclipse, VS

Eclipse, IntelliJ, VS

Eclipse++, VS

Eclipse, IntelliJ, VS

Ticketing integration

HPE Quality Center

Jira

ClearQuest, HPQC,TFS

Jira, Bugzilla

Remediation

Automated

Automated

Automated

Automated

guidance

Remediation

Limited, via support

No

No

Included

consulting

119

© 2017 Veracode, Inc.

guidance Remediation Limited, via support No No Included consulting 1 1 9 © 2017 Veracode, Inc.
COMPETITORS: DYNAMIC 120

COMPETITORS:

DYNAMIC

120
120

Buying Criteria

Criterion

WhiteHat

IBM AppScan

Micro Focus FoD

Veracode

Price

Most common package very expensive

Complex licensing model

Easy model

Easy model

Coverage

Affected by speed

Actionable Results

Remediation

consulting

Low Noise/Low FP

Fit with centralized appsec program

Centralized

No policy

Centralized dashboards, “policy”

Centralized, dashboards, policy, metrics

dashboards

Scalable (ease of use / time to start)

Long onboarding times for apps

Complex setup, requires expert user

Cloud based, manually run scans

Cloud based, automated scans

Fit with developer process

Appliance

Tool, fast scans

VPN tunnel

APIs, VSA

Access to services

Some, via partners

Via Cigital

Poor quality

Speed

Acceptable

Quicker scans

Three week

Slower (now with multithreading)

turnaround

121

© 2017 Veracode, Inc.

Quicker scans Three week Slower (now with multithreading) turnaround 1 2 1 © 2017 Veracode, Inc.

Dynamic Capabilities

Feature

WhiteHat

IBM AppScan

Micro Focus FoD

Veracode

Deployment model

Cloud

On Premise/Cloud

Cloud (also tool)

Cloud

Automated or manual

Automated, A + manual

By operator

Automated, A + manual

Automated, A + manual

Scan public web facing apps

Yes

Yes

Yes

Yes

Scan internal web apps

Yes, via appliance

Yes, by operator

Yes, via hole in firewall

Yes, via VSA

FP reduction

Yes

By operator

Yes

Yes, plus autopublish

Scanner runtime model

Production safe

Manually configured

Manually configured by HPE

Production safe OR multithreaded

Live scan status

Yes

Yes

No

Yes

Live scan control (pause, stop, restart)

Yes

By operator

No

Yes

Continuous scanning

Yes, with limited control

No

No

Yes, via DynamicMP

APIs

No

Yes

Limited

Yes

Remediation guidance

Automated

Automated

Automated

Automated

Remediation consulting

Extra cost, via partner

No

Poor

Included

122

© 2017 Veracode, Inc.

Automated Remediation consulting Extra cost, via partner No Poor Included 1 2 2 © 2017 Veracode,
KEY COMPETITORS 123

KEY

COMPETITORS

123
123

Micro Focus FoD

1. Micro Focus spin merge with HPE Software throws Fortify’s future into doubt

2. Fortify On Demand Fortify on premise

3. You can’t beat FoD with messaging alone

4. You can’t beat Veracode on program capabilities or our track record

5. There are holes in the Fortify On Demand offering that can serve as anti-Fortify landmines—if you set the trap properly

1. FP rate

2. Poor dynamic support

3. Poor remediation coaching

4. Turnaround time

124

© 2017 Veracode, Inc.

1. FP rate 2. Poor dynamic support 3. Poor remediation coaching 4. Turnaround time 1 2

Checkmarx

Key Takeaways:

Strengths: Price, time to initial results