.png)
Alguns anos atrás, a equipe da Conviso percebeu que precisava encontrar uma maneira de organizar as atividades realizadas com clientes. Era necessário colocar as análises feitas em projetos de forma a centralizar todas as informações e dar suporte a um processo estruturado de gestão de vulnerabilidades.
Então, em 2008 criamos uma primeira versão do produto que hoje é chamada Conviso Platform. Em sua concepção, ele foi idealizado como uma plataforma focada em DevSecOps Pipeline, e vem evoluindo desde então.
Recentemente, para a criação de um de nosso artigos, perguntamos a nossos clientes o que eles usavam antes de aderir a Conviso Platform. Percebemos, então, que as respostas obtidas eram muito semelhantes ao que nossa equipe já tinha enfrentado no passado. Confira:
Cliente 1: “Antes, nós utilizávamos uma planilha para gerenciar vulnerabilidades. No entanto, com vários times, essa informação sempre se perdia.”
Cliente 2: “Antes da Conviso Platform, nós adotávamos uma plataforma desenvolvida internamente, mas era difícil fazer com que todos os desenvolvedores seguissem o mesmo padrão.”
Acredito que este seja o início de todo o processo de gestão de vulnerabilidades. Mas é preciso ter em mente que é necessário melhorar, buscar tornar o processo gerenciável e com resultados sejam positivos para a eficiência de toda a equipe.
Por isso, em um determinado momento, é comum que as empresas percebam que as planilhas já não são mais um porto seguro. Pelo contrário - começam a trazer problemas de integridade de informações, perda ou mesmo informações completamente erradas. E isto é bem pior para uma equipe que tem como missão corrigir vulnerabilidades que podem trazer grande prejuízo para a empresa.
Problemas para o gestor
A falta do controle necessário, bem como de uma visão clara sobre tudo que acontece dentro do processo de correção de vulnerabilidade é um problema que tem levado os gestores de desenvolvimento e/ou segurança a sofrer com erros, falhas e informações perdidas.
Este cenário claramente não pode ser negligenciado em empresas que têm o objetivo de ter a segurança tratada de forma correta em sua estrutura de desenvolvimento. Depois de algum tempo, o gestor começa a perceber que o formato atual não é o adequado, e que está trazendo mais problemas que soluções.
Normalmente estes gestores passam, então, a buscar no mercado ferramentas construídas com o objetivo de organizar e melhorar o fluxo de atividades que ajudem na correção das vulnerabilidades encontradas.
Mas ainda temos um problema: muitas dessas ferramentas são feitas e criadas para atuar em vários cenários e em vários modelos de trabalho, o que as torna genéricas. Neste contexto, muitas vezes isso faz com que a empresa acabe se adequando ao processo da ferramenta. No entanto, mesmo assim, muitas vezes o gestor entende que isso é justificável e continua a usar aquela ferramenta - mesmo ela não sendo a mais adequada, e não trazendo os melhores resultados.
Efeito bola de neve
O problema só aumenta quando é necessário integrar o resultado de outras ferramentas, resultados e relatórios que alimentarão o processo de gestão de vulnerabilidade. O resultado? caos.
Agora temos várias ferramentas, todas gerando suas informações - e tudo isso centralizado em um plataforma que não foi pensada nisso.
A questão central aqui é que adotamos uma postura de tentar integrar uma série de ferramentas que não foram preparadas para trabalhar juntas, e isso acaba complicando muito mais que ajudando.
Temos ainda que levar em conta o fato de que o desenvolvedor muitas vezes já tem o seu estilo de trabalho, suas formas de interagir e registrar.
Às vezes os gestores esquecem também que o aprendizado adquirido durante o processo de correção é tão importante quanto a própria correção. E isso dificilmente é encontrado em uma ferramenta que não tenha sido pensada para operar como uma plataforma de DevSecOps Pipeline.
E como fica a comunicação entre os times?
Outro ponto que deve ser levando em consideração durante o processo de avaliação de uma plataforma é como ela permite a comunicação eficiente entre os times. Plataformas criadas para organizar estes processos permitem que as informações fluam em todos os sentidos, e que os times possam trocar dados e informações sobre as correções de forma clara e objetiva, e isso acontece naturalmente na Conviso Platform.
É importante que a plataforma venha garantir que todo e qualquer processo de correção de uma vulnerabilidade seja realizado da mesma forma, independentemente de quem esteja executando a correção. Assim, é essencial que exista a possibilidade de padronizar as ações que devem ser executadas, garantindo que, de alguma forma, elas sejam validadas.
A gestão de vulnerabilidades como ponto forte
Na Conviso, também vivenciamos todos estes obstáculos muitos anos atrás. E foi justamente por isso que resolvemos construir uma plataforma que pudesse ajudar a solucionar estes problemas e a tornar a vida dos gestores e desenvolvedores mais fácil e produtiva.
De certa forma, foram nossos próprios desafios que nos mostraram o caminho. Assim, construímos a Conviso Platform - uma plataforma SaaS focada em DevSecOps Pipeline, que tem em seu módulo de Gestão de Vulnerabilidades um de seus pontos fortes. É importante frisar que o produto tem muitas outras funcionalidades, mas neste artigo, vamos focar neste módulo.
Como funciona a Gestão de Vulnerabilidades na Conviso Platform
O módulo de Gestão de Vulnerabilidade vem entregar para os envolvidos em descoberta, análise e correção de vulnerabilidade um processo estruturado e que possibilita que tenham acesso a todos os dados de outras ferramentas que já possam utilizar em seu dia a dia.
A Conviso Platform, por meio de sua API, possibilita a integração com ferramentas que podem entregar a ele informações que farão a diferença durante o processo.
No entanto, mesmo com todas estas informações sendo enviadas a ele, ele mantém o controle e a organização, entregando a informação no momento que o analista ou mesmo o gestor precisam - e na forma que eles precisam.
Manter-se informado sobre o status de várias análises é muito mais fácil usando o dashboard da Conviso Platform - e isso permite ao gestor manter o processo organizado.
No módulo de Gestão de Vulnerabilidades, o gestor ou o desenvolvedor terão uma visão geral de tudo que está acontecendo com as suas anaĺises, em uma visão clara e eficiente.
Mas, mesmo com toda essa facilidade, os cuidados com acessos foram rigorosos, o nosso sistema mantém um controle rigoroso sobre quem pode ou não acessar determinada análise ou vulnerabilidade. Isso nos permite microgerenciar os acessos, que podem inclusive ser garantidos a terceiros.
Nesta tela, podemos ter uma série de informações que farão com que um gestor compreenda o cenário com o qual está lidando, e também entenda como as vulnerabilidades estão sendo tratadas em todo o seu processo. A plataforma fornece boas informações sobre a criticidade das vulnerabilidades encontradas em cada uma das análises, e em qual momento do processo elas estão.
Mas podemos ir mais a fundo. Podemos detalhar ainda mais as informações, mostrando que o controle e as informações são também o foco da gestão de vulnerabilidades.
Observa-se, na imagem acima, que a quantidade de informações que temos de uma vulnerabilidade nos permite ter uma visão gerencial sobre o que podemos ou não fazer com ela.
Com este tipo de organização, obtemos rapidamente uma linha do tempo da análise, e sabemos, então, quantas vulnerabilidades temos e em que momento temos cada uma das vulnerabilidades.
O controle sobre o histórico é completo, e permite, por exemplo, mostrar em casos de auditoria uma linha de ações que ocorreram no processo de correção da vulnerabilidade.
Reforçando: é importante garantir que o conhecimento não seja perdido, e que este esteja disponível para que seja consultado em outras situações.
Seguindo o mesmo princípio, podemos ter acesso a todas as vulnerabilidades encontradas para esta análise, e de forma clara e fácil, podemos identificar sua criticidade e quantidade de componentes de nosso sistema afetado por essa vulnerabilidade.
Caso exista o desejo de observar cada uma das vulnerabilidades detalhadamente, ou mesmo compreender o que acontece quando uma delas é explorada, é possível acessar cada uma delas para este fim.
Nesta imagem, podemos ver como é rica a tela, e como as informações nos são apresentadas de forma a tornar mais fácil o nosso entendimento.
A imagem acima nos mostra uma descrição de uma vulnerabilidade, sua criticidade e classificação. Mostra, ainda, passos para o desenvolvedor reproduzir a vulnerabilidade e claro as evidências de que a vulnerabilidade realmente existe em seu sistema.
São muitas as funcionalidades que a Conviso Platform tem em seu módulo de Gestão de Vulnerabilidades. Entendemos que o uso da plataforma e de todo o seu potencial é o melhor caminho para o gestor ou o desenvolvedor perceberem que ainda há espaço para melhorar o seu processo de gestão de vulnerabilidades.
Nós, da Conviso, estamos aqui para entregar uma plataforma pensada e construída para ajudar neste caminho, dando suporte a este processo e muitos outros.
