A lista 'sem rodeios' de acrônimos de segurança

O que significam todos os acrônimos de segurança?

Você provavelmente está aqui porque está inundado (e farto!) com a quantidade de acrônimos relacionados a ferramentas, plataformas e processos de segurança. Todo provedor de software quer se diferenciar em um espaço concorrido com novas capacidades, deixando desenvolvedores e profissionais de segurança exaustos.
‍
Então, aqui está nossa lista direta de acrônimos de segurança para ajudar você a entender o que é o quê. 

CVE: Common Vulnerabilities and Exposures

• O que significa para desenvolvedores de aplicativos?
  ‍CVE é o catálogo público de vulnerabilidades conhecidas operado pela MITRE Corporation, uma organização sem fins lucrativos. Desde seu lançamento em 1999, tornou-se o padrão para relatar problemas de cibersegurança e serve de base para a maioria das plataformas de AppSec que escaneiam seus aplicativos em busca de problemas.
  O termo CVE pode ser um pouco confuso porque muitos profissionais e empresas de segurança usam “CVEs” para se referir às próprias vulnerabilidades, e não ao catálogo público. Quando o site de uma empresa diz: “Nosso ASPM protege você contra CVEs graves”, significa que sua plataforma escaneia seu código, dependências e configurações de Cloud em busca de correspondências com uma ou mais vulnerabilidades específicas reconhecidas no catálogo CVE.‍
• Você precisa se importar? 👍
  O CVE como sistema, e os CVEs como vulnerabilidades ou exposições individuais, desempenham um papel crítico na segurança. O segredo é garantir que você tenha uma plataforma que possa informá-lo sobre eles e oferecer um caminho tranquilo para a correção.

SAST: Testes de segurança de aplicações estáticas

• também conhecido como análise estática
• ‍O que significa para desenvolvedores de aplicativos?
  ‍As ferramentas de SAST verificam efetivamente o código-fonte em busca de vulnerabilidades. Pense nisso como uma forma de garantir a segurança no início do processo de desenvolvimento, bem como ao longo de todo o ciclo de vida de desenvolvimento de software (SDLC, sim, outro acrônimo), mas apenas para o código. Não se concentra na funcionalidade do seu aplicativo ou em como ele será implantado. 
• ‍Você precisa se importar? 👍
  As ferramentas de SAST são como um corretor ortográfico para AppSec: uma parte focada, mas essencial, do seu conjunto de ferramentas. Idealmente, sua ferramenta SAST operará o mais cedo possível no desenvolvimento – em sua IDE, como um hook Git de pré-commit ou em seu pipeline de CI – ajudando você a identificar problemas mais cedo, o que reduzirá seu impacto em termos de mitigação e recursos.

Obtenha uma plataforma que cubra
todos os seus acrônimos

Comece Gratuitamente

Não é necessário cc

DAST: Testes Dinâmicos de Segurança de Aplicações (ou Testes de Segurança em Tempo de Execução)

• O que significa para desenvolvedores de aplicativos? 
  Pense no DAST como a versão “viva” do SAST. As ferramentas DAST testam seu aplicativo com ataques simulados enquanto ele é executado em um ambiente similar ao de produção. Dessa forma, você pode fechar brechas de segurança antes que os atacantes as encontrem. As ferramentas DAST não se importam com a finalidade do seu aplicativo, apenas se ele é vulnerável a ataques conhecidos de nível crítico.‍
• Você precisa se importar? 👍
  Um sim suave no curto prazo, um sim firme no longo prazo. Tradicionalmente, o DAST era o domínio de engenheiros de DevOps ou SecOps, mas à medida que mais organizações deslocam as responsabilidades de AppSec para a esquerda, para os desenvolvedores, superiores e pessoal de operações inevitavelmente pedirão que você integre e interaja com essas ferramentas mais cedo ou mais tarde. 

IAST: testes interativos de segurança de aplicações

• ou: RASP (veja abaixo!)‍
• O que significa para desenvolvedores de aplicativos?
  IAST é como o filho do amor entre SAST e DAST, combinando ambas as abordagens em sua IDE e como parte de seu pipeline de CI/CD. Ao contrário das outras duas abordagens, o IAST usa um agente embarcado em seu aplicativo que se conecta aos seus testes funcionais existentes para procurar problemas como credenciais hardcoded e entrada de usuário não sanitizada.‍
• Você precisa se importar? 🤷
  Se você já usa ferramentas SAST e DAST em seu ciclo de vida de desenvolvimento, talvez ganhe pouco ao adicionar uma alternativa específica de IAST ao seu conjunto de ferramentas. No entanto, se você é novo em testes de AppSec e tivesse que escolher uma única ferramenta para ter uma cobertura completa, você poderia apreciar a combinação única de abrangência e velocidade dos resultados.

ASPM: gerenciamento da postura de segurança de aplicações

• O que significa para desenvolvedores de aplicativos?
  As plataformas ASPM operam como observabilidade de segurança para seus aplicativos. Você pode ingerir dados de múltiplas fontes, verificar correlações e priorizar problemas em vários aplicativos com insights contextuais e ajuda na correção. Elas também podem ser muito úteis para avaliação e priorização de riscos, especialmente em setores com padrões de conformidade mais rigorosos.
  
• Você precisa se importar? 👍
  De uma perspectiva operacional ou de manutenção, provavelmente não, mas os ASPMs estão se tornando a norma para organizações de todos os tamanhos – a ideia é reduzir o número de soluções pontuais de segurança e usar uma plataforma AppSec abrangente que possa englobar SAST, DAST e outras funcionalidades. Portanto, com toda a probabilidade, você encontrará ASPMs em algum momento. 

CSPM: gerenciamento da postura de segurança na Cloud

• O que significa para desenvolvedores de aplicativos?
  ‍CSPM é a observabilidade de segurança para suas implantações na Cloud. Essas ferramentas ajudam você a identificar ou visualizar riscos em sua infraestrutura de Cloud e recomendam a melhor forma de corrigir configurações incorretas, como controles de acesso para contas de serviço, que poderiam causar problemas no futuro.
• As plataformas CSPM dependem de práticas de Infraestrutura como Código (IaC), escaneando seus arquivos de configuração antes da implantação e entregando alertas antes de você entrar em produção.
  
• Você precisa se preocupar? 🤷
  Depende da equipe com a qual você trabalha. Se você é um desenvolvedor de aplicativos também responsável por configurar ambientes de produção com um provedor de Cloud, então o CSPM pode estar no seu radar. Se você está focado principalmente na lógica de negócios, enquanto outros cuidam do lado operacional, você talvez nunca interaja com um CSPM. 

DSPM: gerenciamento da postura de segurança de dados

• também conhecido como: segurança “data first”
• ‍O que isso significa para desenvolvedores de aplicativos?
  Semelhante às outras categorias de “gerenciamento de postura”, as ferramentas DSPM fornecem visibilidade sobre o armazenamento e uso de dados da sua organização. Elas localizam informações sensíveis, calculam o risco envolvido em onde e como você as armazenou e oferecem caminhos para melhorar sua postura de segurança.
• Os DSPMs podem até automatizar a classificação de dados, influenciando como você lida e armazena informações em seus aplicativos, particularmente se elas fluem entre múltiplos aplicativos ou APIs baseadas em microsserviços dentro da sua infraestrutura.‍
• Você precisa se preocupar? 👎
  Geralmente, não. Os DSPMs estão bastante aprofundados no território da cibersegurança — ideais para equipes de segurança dedicadas em nível de grandes empresas ou corporações, não para equipes menores de desenvolvimento de aplicativos em startups ou pequenas e médias empresas.

VM: gerenciamento de vulnerabilidades

• também conhecido como: sistema de gerenciamento de vulnerabilidades (VMS), gerenciamento de ameaças e vulnerabilidades (TVM), avaliação de vulnerabilidades, varredura de vulnerabilidades, gerenciamento técnico de vulnerabilidades
• ‍O que isso significa para desenvolvedores de aplicativos?
  O gerenciamento de vulnerabilidades é uma abordagem holística para identificar e remediar vulnerabilidades em seu código, configurações e implantações na Cloud, muitas vezes agregando dados de varredura de ferramentas AppSec adicionais representadas por muitos desses mesmos acrônimos.
  Essas plataformas ajudam você a implementar um ciclo de melhoria contínua em torno da segurança, classificando as vulnerabilidades descobertas de acordo com o Common Vulnerability Scoring System (CVSS). Isso ajuda você a priorizar aquelas que devem ser atacadas imediatamente e aquelas que podem ser deixadas para o próximo sprint... ou para o próximo trimestre.
  
• Você precisa se preocupar? 🤷
  Isso realmente depende da plataforma de gerenciamento de vulnerabilidades que sua organização está validando ou já utilizando.
  As plataformas tradicionais de gerenciamento de vulnerabilidades são, na maioria das vezes, território de equipes de segurança/operações de TI, profissionais de conformidade e gerenciamento de riscos, engenheiros DevOps e até mesmo testadores de penetração — pessoas com muito mais experiência em segurança e com muito em jogo se o código for para produção em um estado inseguro. Dito isso, algumas plataformas AppSec são projetadas para ajudar desenvolvedores a gerenciar suas vulnerabilidades técnicas com menos falsos positivos e remediações instantaneamente relevantes.

SCA: análise de composição de software

• também conhecido como: análise de componentes
• O que isso significa para desenvolvedores de aplicativos?
  Lembra de todos aqueles pacotes que você adicionou ao seu aplicativo com npm, go get, pip e assim por diante? Cada uma dessas dependências se ramifica em dezenas de outras, e todas elas trazem novos riscos de vulnerabilidades de código e configuração. A disponibilidade de pacotes de código aberto é um benefício para a produtividade, mas que acarreta um custo significativo para a segurança.
  As ferramentas SCA escaneiam sua cadeia de suprimentos de código aberto em busca de vulnerabilidades ou possíveis problemas relacionados ao licenciamento de código aberto, e algumas até oferecem atualizações imediatas
  
• Você precisa se preocupar? 👍👍
  As ferramentas SCA permitem que você construa com segurança sobre todos os maravilhosos frameworks, projetos e bibliotecas de código aberto, proporcionando toda aquela velocidade tão necessária sem sacrificar a segurança. Um item essencial para desenvolvedores de aplicativos que buscam uma base de garantias AppSec.

RASP: autoproteção de aplicativos em tempo de execução

• também conhecido como: proteção in-app, firewall incorporado no aplicativo, segurança de aplicativo embarcada, segurança em tempo de execução, IAST
• O que isso significa para desenvolvedores de aplicativos?
  As ferramentas RASP são incorporadas diretamente em um aplicativo para detectar e bloquear ataques sem a necessidade de infraestrutura externa, como WAFs (veja abaixo). Os insights de segurança em tempo real e a abordagem “hands off” são atraentes para alguns, mas como operam dentro do seu aplicativo, você precisará analisar qualquer degradação de desempenho e ponderar esse impacto em relação à tranquilidade que você obtém da proteção contra  ataques comuns, como injeção (No)SQL, path traversal, shell injection e outros.
  
• Você precisa se preocupar? 👍
  Se você tem poucos recursos em talentos de desenvolvimento e segurança, as ferramentas RASP podem ser um atalho fantástico para proteger seu aplicativo e dados de usuário contra ataques automatizados. Elas são certamente muito mais fáceis de implantar e gerenciar do que seu “primo” em rede, os WAFs, o que as torna uma ótima escolha para desenvolvedores de aplicativos que não querem o custo e a complexidade de mais infraestrutura.
  Você também deve se preocupar por causa do nosso projeto de Firewall de código aberto para aplicativos Node.js. Nós mesmos não amamos o termo RASP — você não o verá em nenhum lugar do nosso repositório GitHub — o Firewall funciona de forma muito semelhante para detectar e bloquear todas as vulnerabilidades críticas sem que você precise alterar uma única linha de código.

WAF: firewall de aplicação web

• também conhecido como: WAAP (proteção de aplicações web e APIs)
  
• O que isso significa para desenvolvedores de aplicativos?
  Essa implantação on-premises ou baseada em Cloud fica na extremidade da sua infraestrutura, como o primeiro ponto de contato entre um usuário (ou atacante) e seu aplicativo, “interceptando” o tráfego destinado ao seu aplicativo via DNS. Eles executam centenas de correspondências de padrões regex contra os primeiros kilobites da requisição de entrada, e bloqueiam qualquer um que contenha código potencialmente malicioso.
  O resultado é quase idêntico às ferramentas RASP, mas os WAFs se preocupam ainda menos com o funcionamento do seu aplicativo ou com o que ele deveria fazer.
  
• Você precisa se preocupar? 👎
  Em nossa humilde opinião, não. Você deve saber o que são e sua função pretendida, mas como desenvolvedor de aplicativos, há muitas outras estratégias AppSec que você pode implementar, com muito mais facilidade, do que se aventurar no território dos WAFs. Eles são notórios por falsos positivos e degradação de desempenho, o que inevitavelmente afetará a experiência de seus usuários finais legítimos.
  

Também não amamos chamar o Aikido Firewall de WAF, mas ele executa todas as mesmas funções com muito mais precisão e eficiência.

O que vem a seguir?

Parabéns por completar sua jornada rápida pelos acrônimos de AppSec!

Seja você compelido a continuar com esta lista dolorosamente longa de acrônimos para se aprofundar, ou queira se esconder de tudo relacionado à segurança no conforto do seu IDE em modo escuro, lembre-se que o objetivo não é se tornar um dicionário AppSec ambulante. Ninguém ficará impressionado se você conseguir elaborar por dez minutos sobre as diferenças entre ASPM, CSPM, DSPM e todos os outros — eles ficarão impressionados se você puder recomendar rapidamente a ferramenta AppSec certa para a situação exata deles.