Mais de 183 mil vulnerabilidades auditadas!

No universo da saúde, a segurança da informação é crucial. A Dasa, uma das maiores redes de saúde integrada do Brasil, com mais de 20 milhões de pacientes atendidos anualmente, entende profundamente essa responsabilidade.

No entanto, ao embarcar na missão de disponibilizar um número cada vez maior de aplicações digitais, a empresa se deparou com desafios no ciclo de vida de desenvolvimento de software, especialmente no que tange à segurança cibernética. Entendendo o cenário, firmamos uma parceira estratégica para auxiliar a Dasa nessa jornada. Juntas, trilhamos um caminho inspirador, dividido em três etapas, com o objetivo de implementar um processo robusto e eficiente de segurança no desenvolvimento de softwares.

Confira a metodologia e as tecnologias que utilizamos durante cada etapa do processo, permitindo a auditoria de mais de 183 mil vulnerabilidades.

Etapa 1 - Security Enablement:

Reforço da Segurança com Ferramentas Robustas

A etapa inicial deste projeto foi crucial para estabelecer uma base sólida de proteção contra vulnerabilidades. Através da implementação estratégica de ferramentas de última geração como: OpenText Fortify e Debricked, equipamos a equipe com recursos poderosos para identificar e prevenir falhas de segurança. 

1.1 – OpenText Fortify: O analisador de código estático da OpenText:

O OpenText Fortify é uma ferramenta poderosa que automatiza a análise de código estático (SCA) para identificar e corrigir vulnerabilidades de aplicações em diversas linguagens de programação, incluindo Java, C/C++, C#, Python, JavaScript e PHP. Ele auxilia no desenvolvimento de softwares mais seguros e confiáveis, reduzindo o risco de ataques cibernéticos e falhas de segurança.

Principais Recursos do OpenText Fortify:

  • Análise Profunda de Código:
    Identifica uma ampla gama de vulnerabilidades de software, como injeção de SQL, cross-site scripting (XSS), buffer overflow e uso indevido de APIs.
  • Suporte a Diversas Linguagens:
    Suporta uma variedade de linguagens de programação, permitindo a análise de diversos tipos de software.
  • Integração com IDEs e Ferramentas de Desenvolvimento:
    Integra-se com IDEs populares, como Eclipse e IntelliJ IDEA, e ferramentas de desenvolvimento contínuo (CI/CD), facilitando a integração da SCA no processo de desenvolvimento.
  • Detecção Precisa de Vulnerabilidades: Utiliza técnicas avançadas de análise estática para identificar vulnerabilidades com alta precisão, minimizando falsos positivos.
  • Relatórios Detalhados: Gera relatórios detalhados que fornecem informações sobre as vulnerabilidades identificadas, incluindo a localização, a gravidade e o impacto potencial.
  • Suporte a Testes de Penetração:
    Integra-se com ferramentas de testes de penetração, permitindo a validação da efetividade da correção das vulnerabilidades.

Benefícios da ferramenta:

O Fortify oferece inúmeros benefícios para o desenvolvimento de aplicações seguras e confiáveis. A ferramenta reduz significativamente o risco de ataques cibernéticos ao identificar e corrigir vulnerabilidades antes que possam ser exploradas por hackers, garantindo a segurança e a integridade dos dados. Além disso, melhora a qualidade das aplicações ao detectar e corrigir bugs de código que poderiam causar instabilidade ou falhas. Isso resulta em aplicações mais robustas e confiáveis.

A conformidade com regulamentações de segurança da informação, como PCI DSS e HIPAA, é facilitada pelo Fortify, que ajuda as empresas a atenderem aos requisitos legais e normativos. A produtividade dos desenvolvedores também é aumentada, já que a análise automatizada de código libera tempo para que os profissionais se concentrem em tarefas mais criativas e estratégicas, em vez de se dedicarem a revisões manuais demoradas. Por fim, a ferramenta contribui para a redução dos custos de desenvolvimento, diminuindo a necessidade de correções após a implantação do software, economizando tempo e recursos valiosos.

Casos de Uso:
O Fortify é uma ferramenta versátil que pode ser integrada de várias maneiras no processo de desenvolvimento de software de uma empresa. Durante o desenvolvimento, o Fortify pode ser incorporado nas primeiras etapas para identificar e corrigir vulnerabilidades desde o início, garantindo que o código seja seguro e conforme com os padrões de segurança ao longo de todo o ciclo de desenvolvimento. 

Para empresas que já possuem outras ferramentas de teste de segurança, o Fortify auxilia na identificação e correção de vulnerabilidades, proporcionando uma camada adicional de segurança e ajudando a manter a integridade e a confiabilidade do software. Além de se integrar perfeitamente com outras ferramentas, permitindo validar a efetividade das correções das vulnerabilidades e garantindo que as medidas de segurança implementadas sejam eficazes. 

No que diz respeito à conformidade com regulamentações de segurança da informação, o Fortify é uma ferramenta indispensável. Ele demonstra a conformidade com diversas regulamentações, ajudando as empresas a evitar multas e penalidades associadas à não conformidade e a proteger os dados sensíveis de seus clientes. Em resumo, o Fortify é uma solução abrangente que pode ser utilizada de várias formas para melhorar a segurança e a qualidade do software, tornando-o uma adição valiosa para qualquer empresa.

1.2 – Debricked: Automação da Remediação de Vulnerabilidades:

O Debricked da OpenText é uma plataforma abrangente de segurança para código aberto que ajuda empresas a gerenciar vulnerabilidades de segurança em seus projetos de software. Através da análise automática de código aberto, a ferramenta identifica vulnerabilidades de segurança conhecidas, priorizando-as com base em seu impacto potencial e na facilidade de correção. As recomendações detalhadas de correção fornecidas pelo Debricked garantem que as vulnerabilidades sejam tratadas de maneira eficaz. Além disso, a plataforma monitora continuamente os projetos de software em busca de novas vulnerabilidades, oferecendo uma camada extra de segurança.

O Debricked integra-se perfeitamente com ferramentas de desenvolvimento populares, como IDEs e ferramentas de CI/CD, facilitando a incorporação da análise de segurança no fluxo de trabalho diário dos desenvolvedores. A geração de relatórios detalhados sobre as vulnerabilidades identificadas, o status da correção e o histórico de segurança do código aberto fornece insights valiosos para a gestão da segurança do software.

Os benefícios de utilizar o Debricked são múltiplos. A plataforma reduz significativamente o risco de ataques cibernéticos ao identificar e corrigir vulnerabilidades antes que possam ser exploradas por hackers, protegendo assim os dados e a integridade dos sistemas da empresa. A qualidade do software é aprimorada pela detecção e correção de bugs antes que possam causar problemas, resultando em aplicações mais estáveis e confiáveis. A automação da análise de código aberto aumenta a produtividade dos desenvolvedores, permitindo que eles se concentrem em tarefas mais criativas e estratégicas. Além disso, a redução dos custos de desenvolvimento é um benefício notável, já que a identificação e correção de vulnerabilidades antes da implantação do software economiza tempo e recursos. A conformidade com regulamentações de segurança da informação, como PCI DSS e HIPAA, é facilitada pela capacidade do Debricked de demonstrar a conformidade com essas normas.

No contexto do desenvolvimento de software, o Debricked se integra ao processo desde as primeiras etapas, identificando e corrigindo vulnerabilidades de forma proativa. Para softwares já existentes, a plataforma auxilia na identificação e correção de vulnerabilidades, garantindo a manutenção da segurança ao longo do tempo. O Debricked também se integra com ferramentas de teste de segurança para validar a efetividade das correções das vulnerabilidades, proporcionando uma camada adicional de garantia.

Em resumo, esta é uma ferramenta indispensável para empresas que desejam desenvolver aplicações seguras e confiáveis com código aberto, reduzindo o risco de ataques cibernéticos e atendendo às exigências de conformidade.

Etapa 2 - Secure Code Reviewing

Com as ferramentas de segurança implementadas na fase inicial, avançamos para a segunda etapa do processo, denominada Secure Code Reviewing. Esta etapa é crucial para garantir que todas as vulnerabilidades identificadas sejam devidamente examinadas, priorizadas e remediadas de maneira eficaz, assegurando a integridade e a segurança das aplicações desenvolvidas pela Dasa. Este processo é realizado em várias etapas, que incluem a triagem, a priorização, a análise detalhada e a remediação das vulnerabilidades detectadas.

  1. Triagem de Vulnerabilidades:

    A primeira fase da análise de código seguro consiste na triagem das vulnerabilidades identificadas pelas ferramentas de segurança. Durante esta fase, cada vulnerabilidade é categorizada com base em critérios como tipo de vulnerabilidade, linguagem de programação e parte do código afetada. Esta categorização ajuda a estruturar o processo de revisão e a garantir que nenhuma vulnerabilidade seja negligenciada.

  2. Priorização de Vulnerabilidades:

    Após a triagem, as vulnerabilidades são priorizadas de acordo com o nível de risco que representam para a Dasa. A Evernow utiliza uma abordagem baseada em risco, que considera fatores como a severidade da vulnerabilidade, a probabilidade de exploração e o impacto potencial no negócio. Ferramentas como o Fortify fornecem uma classificação de severidade automática, que é então ajustada conforme necessário pelos analistas de segurança.

  3. Análise Detalhada:

    A análise detalhada é a fase em que cada vulnerabilidade priorizada é examinada minuciosamente. Nossos especialistas realizam uma revisão manual do código, complementando os resultados das ferramentas automatizadas. Esta fase pode envolver técnicas avançadas, como análise de fluxo de dados e análise de controle de fluxo, para entender melhor como a vulnerabilidade pode ser explorada e quais são os seus possíveis impactos. Além disso, a análise detalhada pode incluir uma revisão do design do software para identificar padrões arquiteturais que possam introduzir riscos de segurança.

  4. Remediação de Vulnerabilidades:

    Uma vez que a análise detalhada está concluída, a próxima etapa é a remediação das vulnerabilidades. Aqui trabalhamos em estreita colaboração com a equipe de desenvolvimento da Dasa para implementar as correções necessárias. Ferramentas como o Debricked fornecem recomendações específicas para a remediação, incluindo patches, soluções alternativas e atualizações de componentes. Durante esta fase, a integração contínua e os testes automatizados garantem que as correções não introduzam novos problemas e que o software continue a funcionar conforme o esperado.

  5. Verificação Pós-Remediação:

    Após a implementação das correções, uma verificação pós-remediação é realizada para assegurar que as vulnerabilidades foram completamente resolvidas e que não restam falhas de segurança. Esta verificação envolve a reanálise do código com as ferramentas automatizadas e uma revisão manual final. A integração com ferramentas de teste de segurança pode validar a efetividade das correções.

Um componente essencial da etapa Secure Code Reviewing é a documentação abrangente e a geração de relatórios detalhados. Para cada vulnerabilidade tratada, são documentados:
 
  • Descrição da Vulnerabilidade:
    Detalhes sobre a natureza da vulnerabilidade e seu impacto potencial.
  • Localização no Código: Informações precisas sobre onde a vulnerabilidade foi encontrada no código-fonte.
  • Métodos de Exploração: Descrição de como a vulnerabilidade poderia ser explorada por um atacante.
  • Ações de Remediação: Detalhes sobre as correções implementadas e a justificativa para as soluções escolhidas.
  • Verificação de Correção: Resultados dos testes pós-remediação para confirmar a resolução da vulnerabilidade.
Esses relatórios são essenciais para a comunicação interna e para a documentação de conformidade com regulamentações de segurança, como PCI DSS e HIPAA.

Etapa 3 - Security Observability

Na terceira e última fase do projeto, o foco se volta para a categorização aprofundada e a análise enriquecida das vulnerabilidades identificadas nas fases anteriores. Esta etapa é crucial para proporcionar uma visão holística e detalhada das ameaças potenciais enfrentadas pelos sistemas da Dasa, permitindo decisões estratégicas informadas e ações de mitigação eficazes.

Durante o processo de categorização e análise, todas as vulnerabilidades identificadas na fase de Secure Code Reviewing são categorizadas com base em critérios como gravidade, potencial de exploração e impacto nos ativos e operações da Dasa. Esta categorização é essencial para priorizar as ações de mitigação e garantir que os recursos sejam alocados de maneira eficiente para resolver as ameaças mais críticas primeiro. Após a categorização inicial, as informações sobre cada vulnerabilidade são enriquecidas com dados adicionais relevantes. Isso pode incluir contextos operacionais, detalhes técnicos específicos sobre como a vulnerabilidade pode ser explorada e análises de tendências de ataques recentes relacionados. O objetivo é proporcionar uma compreensão completa das implicações potenciais de cada vulnerabilidade. As descobertas categorizadas e enriquecidas são então preparadas para apresentação à diretoria da Dasa. Esta comunicação é conduzida de maneira transparente e detalhada, utilizando relatórios e visualizações que destacam não apenas as vulnerabilidades em si, mas também seu impacto potencial nos negócios e as estratégias recomendadas para mitigação.

Com base nas informações fornecidas pela terceira etapa do projeto, a diretoria da Dasa pode realizar uma análise de riscos mais precisa. Isso permite que eles priorizem investimentos em segurança de acordo com as vulnerabilidades identificadas e seus potenciais impactos financeiros e reputacionais. As recomendações derivadas da análise de Security Observability orientam a implementação de medidas proativas para mitigar os riscos. Isso pode incluir desde a aplicação de patches críticos e atualizações de segurança até ajustes nas políticas de segurança e investimentos em tecnologias de defesa cibernética adicionais. A etapa de Security Observability não se encerra com a apresentação inicial. Ela estabelece um ciclo contínuo de revisão e ajuste, onde as decisões são constantemente reavaliadas à luz das mudanças nas ameaças cibernéticas e nos ambientes operacionais da Dasa. Isso garante uma adaptação contínua das estratégias de segurança às novas realidades e desafios enfrentados pela organização.

A implementação eficaz da etapa de Security Observability fortalece significativamente a postura de segurança da Dasa, proporcionando uma compreensão clara das ameaças enfrentadas e das medidas necessárias para proteger os ativos críticos da organização. Além disso, decisões informadas, baseadas em dados concretos e análises rigorosas, facilitam a alocação de recursos e a definição de prioridades. O reforço contínuo das defesas contra ameaças emergentes garante a continuidade operacional e a proteção dos dados sensíveis. 

A etapa de Security Observability não apenas fortalece a defesa cibernética da Dasa, mas também promove uma cultura organizacional centrada na segurança, onde a proteção proativa dos sistemas de software é vista como uma prioridade estratégica e contínua.

Parceria de Sucesso!

Esta colaboração entre a Dasa, uma das maiores redes de saúde integrada do Brasil e a Evernow geraram resultados expressivos e transformadores. A implementação das soluções sugeridas por nós e a revisão meticulosa realizada pela equipe da Dasa permitiram identificar e corrigir proativamente falhas de segurança, resultando em uma redução significativa do número de vulnerabilidades. Essa abordagem não só minimizou o risco de ataques cibernéticos, mas também elevou a qualidade das aplicações, tornando-as mais estáveis, confiáveis e robustas.

Além disso, a automatização da análise e remediação de vulnerabilidades liberou tempo valioso para a equipe de desenvolvimento da Dasa, permitindo que os desenvolvedores se concentrassem em tarefas mais estratégicas e criativas, como a criação de novas funcionalidades. A iniciativa também fortaleceu a cultura de segurança dentro da empresa, conscientizando toda a equipe sobre a importância da segurança em todas as etapas do ciclo de desenvolvimento de software (SDLC).

O caso de sucesso da Dasa e Evernow demonstra claramente como a implementação de um processo robusto de segurança no SDLC pode trazer diversos benefícios para as empresas, incluindo a redução de riscos, a otimização da qualidade das aplicações e o aumento da produtividade da equipe.

Quer entender ainda mais sobre a aplicação de metodologias consolidadas e ver como ela é aplicada em diversos mercados para identificar e eliminar ameaças?

Clique no botão abaixo, leia o nosso whitepaper e explore a integração de soluções de última geração para o Ciclo de Vida do Desenvolvimento (SLDC) em parceria com os principais líderes classificados pelo Gartner*