fbpx
Segurança de Aplicações com OWASP ASVS

AppSec: Gestão de Segurança de Aplicações com OWASP ASVS

Tempo de leitura: 6 minutos

Existem duas principais razões pelas quais a sua empresa deve tornar a cibersegurança sua prioridade. A primeira delas é considerar as penalidades que a empresa poderá sofrer se ocorrer um vazamento de dados, causando uma infração legal ou não conformidade com as certificações existentes. Pense nas principais normas que envolvem o manuseio de dados, como a GDPR, a LGPD e o PCI-DSS. Não estar em conformidade com qualquer uma dessas certificações pode custar muito, e não apenas em termos financeiros.

A segunda razão são os danos à reputação da empresa e continuidade do negócio. Você provavelmente não confiaria em uma empresa ou em um aplicativo conhecido por suas falhas de segurança, e a maior parte das pessoas também não confiam. É conhecido que a maior parte dos problemas de segurança de uma empresa estão nas vulnerabilidades de sistemas desenvolvidos internamente ou delegados para fábricas de software. 

Em um cenário tão complexo como esse, como as empresas podem fazer uma gestão de segurança de aplicações sem renunciar a agilidade?

Uma das recomendações da gestão de segurança de aplicações é incluir os requisitos de segurança da informação o mais cedo possível no ciclo de desenvolvimento do software, como explicamos em detalhes neste guia completo para implementação do Security by Design. Neste contexto, o OWASP ASVS é uma das ferramentas que permite estabelecer critérios de segurança para as aplicações da organização com base em sua função e criticidade para o negócio.

Este artigo explica como os controles apresentados pelo OWASP ASVS podem ser implementados dentro de uma gestão de segurança de aplicações e quais benefícios essa combinação pode trazer para o seu negócio.

Siga a leitura e baixe nosso checklist da OWASP ASVS para verificar se os requisitos de segurança de sua aplicação estão aderentes à função de negócio que desempenha.

O que é OWASP ASVS?

O OWASP ASVS (Application Security Verification Standard) é um padrão desenvolvido pela OWASP que contempla uma lista de requisitos e controles de segurança de aplicações a fim de garantir que os controles tenham sido implementados durante o ciclo de desenvolvimento. 

O OWASP ASVS pode ser utilizado por arquitetos, desenvolvedores, times de appsec, security champions, pentesters e fornecedores de software para definir, criar, testar e verificar os aplicações seguras como parte de uma estratégia de gestão de segurança de aplicações. A versão atual do padrão é 4.01 atualizada em março de 2019. O projeto OWASP ASVS está em execução há mais de 10 anos e é mantido ativamente pela comunidade. 

O padrão funciona como uma diretriz durante todo o ciclo de vida da aplicação, onde ajuda a definir os requisitos de segurança antecipadamente, integrá-los a um SDLC (Software Development Lifecycle) e verificar se os mesmos estão sendo atendidos adequadamente. Também pode ser usado para avaliar e verificar a segurança de uma aplicação já existente.

O ASVS possui três níveis de requisitos que são sugeridos conforme a criticidade do sistema para o negócio:

  • Nível 1: é o nível mais básico e que toda aplicação não-transacional deveria utilizar, como sites e blogs. Pode ser validado por meio de um pentest.
  • Nível 2: recomendado para aplicações e sistemas que contêm dados pessoais e é o nível recomendado para a maior parte das aplicações.
  • Nível 3: recomendado para aplicações críticas e transacionais, que contém dados pessoais sensíveis, como registros médicos, dados financeiros ou qualquer outra aplicação que requeira um alto nível de confiabilidade.
Níveis de requisitos da ASVS

Quais os benefícios e resultados de uma boa postura em AppSec

Os benefícios da inclusão da segurança da aplicação no início do SDLC não se limitam a entregar um software mais seguro. O custo de corrigir um defeito de segurança durante a fase de integração do sistema é de 15 à 90 vezes maior do que realizar a correção durante a fase de design ou codificação. 

Custo de correção gráfico 1
Custo relativo de correção em diferentes estágios do SDLC

Os principais resultados obtidos pelo uso dos controles OWASP ASVS são:

  • Estabelecer níveis de controles de segurança com base na criticidade dos sistemas e aplicações.
  • Adotar um processo de acreditação de segurança de software.
  • Reduzir o custo com a segurança de aplicações e despesas operacionais.
  • Estabelecer requisitos de segurança para o desenvolvimento seguro de software por terceiros e fábricas de software.
  • Atendimento de normativos, como a Seção 6.5 (desenvolvimento seguro) do PCI-DSS 3.2.1 e SOX.

A documentação do ASVS define vários requisitos e verificações necessárias para cada etapa de segurança da aplicação. As empresas costumam possuir dificuldades em quais itens devem ser priorizados e como acompanhar a evolução da segurança durante o desenvolvimento da aplicação.

Com as planilhas, é muito mais difícil coordenar as etapas necessárias de identificação, análise, priorização, mitigação e correção de cada requisito, além de manter a rastreabilidade em todo seu ciclo de vida. A utilização do OWASP ASVS dentro de um processo de gestão de segurança de aplicações precisa ser feita com agilidade.

Como iniciar a Gestão de Segurança de Aplicação utilizando ASVS com GAT

Com a plataforma GAT é possível realizar a gestão de segurança de aplicações com base no OWASP ASVS 4.01, estabelecer padrões de desenvolvimento seguro e mensurar o atendimento aos requisitos de segurança para os sistemas, garantido uma gestão de segurança de aplicações colaborativa

Com isso, é possível comparar a conformidade aos requisitos de segurança entre os sistemas de mesma criticidade, priorizar ações de acompanhamento e validar se os times ou fábricas de software estão adotando os controles necessários nas aplicações.

A seguir, apresentamos um passo-a-passo de como realizar uma gestão de segurança das suas aplicações utilizando a plataforma GAT para conformidade com o checklist OWASP ASVS 4.01 com agilidade, automação e visibilidade.

Checklist de Controles OWASP ASVS

O checklist de controles do OWASP ASVS 4.01 foi traduzido pela nossa equipe e disponibilizado em nossa base de conhecimento onde também disponibilizamos outros checklists como PCI-DSS, ISO 27.001, ISO 27.701 e avaliação de fornecedores.

Com o GAT, você pode acompanhar o ciclo de vida da aplicação, desde a concepção do projeto, desenvolvimento, produção e manutenção, sem utilizar planilhas.

Criando um projeto

Para iniciar a avaliação de uma aplicação com base no checklist OWASP ASVS é necessário criar  um projeto e associar esse checklist ao ativo do tipo aplicação que irá ser avaliado. Nossa documentação descreve esse processo em mais detalhes, mas mostramos isso na prática no vídeo abaixo:

Uma vez criado, o analista de segurança ou security champion utiliza sua conta para acessar o projeto dentro do GAT e responder ao checklist.

Também é possível disponibilizar o ASVS em um formato de questionário online, de forma que pessoas sem acesso ao GAT possam responder o atendimento ao controles do ASVS, como no caso de uma fábrica de software.

Questionario-OWASP-ASVS

 A medida que o questionário é respondido, o GAT armazena as respostas e evidências em tempo real. Esse recurso contribui para um processo ágil e transparente, criando um histórico de relacionamento entre a empresa e prestadores de serviços e servindo como evidências reais para auditorias e rastreabilidade.

Ao organizar as iniciativas de segurança de aplicações por produto ou por aplicação em projetos, fica mais fácil fazer o acompanhamento do nível de segurança de cada aplicação e priorizar as atividades mais importantes.

Métricas e indicadores

Uma vez que o questionário estiver preenchido, é possível estabelecer métricas e indicadores personalizados por equipes, squads, aplicação, produto, de acordo com sua necessidade. 

Conforme os controles vão sendo implementados, é possível atualizar seu estado no GAT que atualiza as métricas continuamente, trazendo confiança para a tomada de decisão pela liderança e rápido conhecimento sobre a gestão de segurança das aplicações da empresa.

Conclusão

Atualmente, existem muitas diretrizes de cibersegurança disponíveis, e provavelmente sempre será uma boa ideia seguir alguma, mas elas podem se tornam inúteis se você não introduzir os processos e tecnologias corretas em sua empresa. Em especial, as empresas de desenvolvimento de software precisam priorizar a segurança por conta do aumento de regulamentações e leis que exigem um nível maior de controles, bem como antecipar os riscos de vazamento de dados e continuidade do negócio. 

Isso significa que os desenvolvedores precisam estar conscientes de questões de segurança, mas também precisam ser treinados continuamente em práticas e tecnologias modernas.

O OWASP ASVS é considerada uma das melhores documentações existentes atualmente. Os requisitos de segurança estabelecidos fazem uso de uma linguagem compreensível pelos desenvolvedores, trazendo conceitos fundamentais de segurança independentemente da escolha da tecnologia, além disso a documentação está em constante atualização pela comunidade.

Ainda é necessário garantir que a empresa possua processos e tecnologias para impor e auditar a gestão de segurança das aplicações, caso contrário, todo o esforço pode ser desperdiçado. Agende agora mesmo uma demo da plataforma GAT e faça da segurança da informação uma aliada aos negócios.

Você também pode curtir isso:

+55 11 4450 0996

Copyright © 2019-2020

Newsletter