Bem-vindo ao nosso blogue.

Porque é que estão aqui?

Não vamos perder tempo. Está aqui porque está a construir uma funcionalidade de webhook na sua aplicação. Infelizmente, existem algumas coisas que podem dar errado do ponto de vista da segurança. Este artigo tem como objetivo garantir que você não esteja cometendo nenhum erro bem conhecido ao criar webhooks.

Como é que os webhooks funcionam?

Para recapitular rapidamente, os webhooks são pedidos HTTP(S) a terceiros para os informar sobre algo que aconteceu na sua aplicação. Por exemplo, se oferecer uma aplicação que gera facturas, pode oferecer aos seus clientes a oportunidade de configurar uma funcionalidade de webhook que é acionada quando é criada uma nova fatura. Isto significa que, quando a fatura é criada, a sua aplicação envia um pedido HTTP(S) para uma localização que é determinada pelo utilizador. O utilizador pode utilizar isto para configurar os seus próprios fluxos de trabalho personalizados que são acionados pelo webhook, tais como o agendamento de e-mails de lembrete ou o envio de uma mensagem ao cliente no Slack.

Lista de controlo: garantir a segurança das implementações de webhooks

1. Derrotar os ataques do tipo SSRF

Neste tipo de ataque, o atacante tenta obter informações (por exemplo, metadados de instância numa nuvem) explorando a funcionalidade webhook. Para o contrariar, deve tomar as seguintes medidas.

Validar a entrada do utilizador

• Básico: Efectua uma validação simples do URL.
• Melhor: Garantir que o URL começa com "https://", não permitir "file://" e outros esquemas não HTTPS.

Restringir endereços locais

• Bloquear IPs locais típicos: 127.0.x, 192.168.x, 172.x.
• Proibir "localhost" e "http://"

Limite de exposição logarítmica

• Mostrar apenas os códigos de estado HTTP nos registos virados para o utilizador.
• Evite apresentar cabeçalhos ou conteúdos do corpo.

✅ Avançado: Validação de URL melhorada

• Exigir um cabeçalho de resposta específico para pedidos POST, exclusivo para o cliente.
• Manter esta verificação continuamente, mesmo após a configuração inicial, para contrariar as alterações de DNS...

2. Permitir que os seus utilizadores verifiquem a autenticidade dos dados

O consumidor do webhook tem de ter uma forma de saber que os dados provêm realmente da sua aplicação. Pode utilizar qualquer um dos seguintes métodos.

Verificação de mensagens de teste

Em primeiro lugar, permitir que os utilizadores accionem uma mensagem de teste para testar os mecanismos de segurança.

Hash de verificação HMAC

Um dos mecanismos de segurança mais eficazes para as funcionalidades dos webhooks é a implementação do HMAC para a integridade e autenticidade dos dados.

O processo básico pode ser resumido da seguinte forma:

• Gerar um hash da carga útil utilizando SHA-256 e uma chave secreta.
• Enviar o HMAC com a carga útil.
• Os destinatários recriam o hash para verificar a autenticidade e a integridade da carga útil.

✅ Inclusão de carimbo de data/hora

Esta é mais uma mitigação de segurança avançada. Adicionar um carimbo de data/hora à carga útil para evitar ataques de repetição. Garante que as mensagens não sejam reutilizadas ou alteradas.

Certificados TLS do lado do cliente

Autenticar chamadas HTTP com certificados TLS do lado do cliente. Isto é particularmente atrativo para os consumidores a nível empresarial.

3. Limitar a taxa e evitar a sobre-exposição de dados

Para a segurança do webhook, enviar muito poucos dados é mais seguro do que anexar demasiados. Embora as chamadas de retorno do webhook devam ser encriptadas utilizando HTTPS, nunca se sabe quem poderá controlar um nome de domínio após alguns anos.

Minimizar a exposição de dados

• Evite enviar informações de identificação pessoal (PII) ou dados sensíveis.
• Em vez de enviar vários pontos de dados (como contact_id, email, nome), envie apenas o contact_id. Permita que os utilizadores obtenham dados adicionais através da sua API pública, se necessário.

Comunicação da política de repetição

• Comunicar claramente a política de repetição e os limites de taxa aos utilizadores.
• Informe-os de que, devido a novas tentativas, as mensagens podem chegar fora de ordem.
• Defina que qualquer resposta 2xx é um sucesso; outras respostas devem despoletar uma nova tentativa.

Utilizar um sistema de filas de espera para a entrega

Implemente um sistema de filas para gerenciar a entrega de webhooks e limitar a saída. Esta abordagem ajuda a evitar a sobrecarga acidental dos servidores dos seus utilizadores em casos extremos, como uma grande importação de CSV que desencadeia chamadas e tentativas excessivas de webhook.

4. Bónus: Alerta de anomalias

Isto é mais para conveniência do programador do que para segurança, mas é uma boa coisa a implementar de qualquer forma.

• Alertar os utilizadores quando são encontradas respostas 4xx e 5xx
• Enviar notificações para informar os utilizadores de quaisquer falhas

Esta adição aumenta a transparência e a capacidade de resposta do seu sistema de webhook.

Conclusão

E aí está! Cobrimos algumas etapas para tornar seus webhooks não apenas funcionais, mas também seguros e fáceis de usar. A implementação destes passos irá proteger a sua aplicação e também melhorar a experiência geral do utilizador. Feliz codificação! 🚀🔒👨‍💻

Aikido Security é uma plataforma de segurança de software centrada no programador. Ajudamos a manter o seu produto seguro, para que se possa concentrar em escrever código.Não precisa de falar com uma equipa de vendas - basta basta ligar a sua conta GitHub, GitLab, Bitbucket ou Azure DevOps para começar a analisar os seus repositórios gratuitamente.

A maioria das ferramentas de segurança desperdiça o tempo dos programadores. Estamos numa missão para corrigir isto.

Os programadores de aplicações não são pagos para se preocuparem com a segurança. O seu desempenho é medido pela velocidade a que conseguem acrescentar valor à empresa através de novas funcionalidades ou melhorias.

Isto torna as ferramentas de segurança tradicionais um obstáculo, uma vez que não foram concebidas para os programadores - além disso, não foram concebidas para serem úteis. A sua função é simplesmente mostrar uma lista enorme de alertas de segurança, deixando ao programador a tarefa de descobrir o resto.

Na Aikido, a nossa missão é tornar a segurança das aplicações tão rápida e indolor quanto possível, e uma das formas mais importantes de o fazer é reduzindo o ruído e os falsos positivos que fazem perder tempo aos programadores e causam atrasos no envio de correcções de segurança.

Este post irá mostrar-lhe o que o Aikido faz para oferecer uma cura para os Desenvolvedores que sofrem de Síndrome de Fadiga de Alerta.

Reduzir o ruído

Na sua famosa canção, "The Gambler", Kenny Rogers captou-o muito bem:

"O segredo para sobreviver, é saber o que deitar fora e o que guardar."

O impacto mais significativo que pode ter no rácio sinal/ruído é mostrar aos programadores apenas os CVE e os alertas de segurança em que devem atuar e ignorar o resto.

Eis como o Aikido ignora de forma inteligente alertas de segurança e CVE irrelevantes:

Dependências somente de desenvolvimento

Por predefinição, o Aikido não comunicará vulnerabilidades para dependências marcadas apenas para instalação em ambientes de desenvolvimento, uma vez que não devem estar presentes em ambientes de teste ou produção.

CVEs inválidos ou CVEs sem correção

Mostrar um CVE sem uma correção é apenas uma distração. Por isso, o Aikido move-os temporariamente para uma lista de problemas ignorados até que uma correção esteja disponível antes de aparecer no painel de controlo.

Código inacessível

A inteligência de código e o mecanismo de acessibilidade do Aikido ignorarão um CVE se uma função vulnerável não for chamada na base de código.

Isso diminui o ruído, especialmente para bibliotecas grandes com muitas dependências, como o TensorFlow.

Segredos caducados ou revogados

O Aikido irá ignorar segredos que tenham sido verificados como expirados ou revogados, ou que pareçam ser variáveis. O Aikido verifica com segurança a validade dos tipos de segredos conhecidos enviando um pedido a um ponto final da API que requer autorização e que não produz dados sensíveis.

Regras de ignorar manuais

Pode configurar o Aikido para ignorar vulnerabilidades em determinadas condições, por exemplo, ignorar relatórios para caminhos específicos num repositório.

Desduplicação

Como a maioria das empresas reúne a sua infraestrutura de segurança a partir de várias fontes diferentes, é comum que vários sistemas apresentem o mesmo alerta ou CVE - além disso, é comum que as ferramentas tradicionais apresentem o mesmo CVE várias vezes num único repositório. Isto é que é ruído!

Uma vez que o Aikido é uma plataforma tudo-em-um que lhe oferece um único painel de controlo de todas as questões de segurança, apenas verá um único alerta CVE para cada repositório com subquestões que listam a localização de cada vulnerabilidade.

Reforçar o sinal com o ajuste da sensibilidade contextual

Um problema de segurança descoberto num repositório que lida com dados sensíveis deve ser classificado de forma diferente de um repositório apenas interno que não persiste dados.

O Aikido fornece vários indicadores contextuais para cada repositório, ajudando a descobrir mais riscos de segurança e a ponderar adequadamente a pontuação final de gravidade de um problema.

Por exemplo, ao adicionar um nome de domínio, o Aikido pode efetuar análises orientadas para problemas como vulnerabilidades SSL, configurações incorrectas de cookies, se tiver sido aplicada uma CSP e ataques de XSS (cross-site scripting).

Outros exemplos contextuais incluem se a aplicação tem acesso à Internet e em que ambientes a aplicação está implementada.

Aumentar o sinal de risco de exploração

O Aikido utiliza indicadores em tempo real para controlar a probabilidade de um CVE ser explorado na natureza, tais como casos confirmados de exploração, código público que documenta como efetuar a exploração e quaisquer preocupações específicas da infraestrutura de nuvem do cliente que possam torná-lo particularmente vulnerável.

E como o Aikido monitoriza o seu código e a infraestrutura da nuvem, pode aumentar a gravidade dos problemas de "combinação tóxica" resultantes de condições específicas em que a sua aplicação está alojada, por exemplo, as instâncias AWS que utilizam a versão 1 da API IMDS são mais vulneráveis a explorações SSRF que podem expor as credenciais AWS.

Resumo

As ferramentas de segurança tradicionais não se preocupam com a produtividade do desenvolvedor. Ficam mais do que satisfeitas em enterrar um repositório numa pilha de falsos positivos, desperdiçando o tempo dos programadores que poderia ter sido mais bem empregue na resolução de problemas de segurança.

O que torna o Aikido diferente é o facto de vermos a ligação entre a produtividade dos programadores e a segurança. Ao remover alertas irrelevantes e CVEs, as ameaças genuínas recebem mais atenção e, como resultado, as correcções são aplicadas mais rapidamente.

Esta situação vantajosa para os programadores e para a segurança é o nosso objetivo e é a forma como estamos a curar a Síndrome de Fadiga dos Alertas de Segurança para os nossos clientes.

Quer vê-lo em ação? Registe-se para analisar os seus primeiros repositórios e obter os seus primeiros resultados em menos de 2 minutos.

Esta é uma pergunta que recebemos muitas vezes dos nossos clientes. A redação da Diretiva NIS2 nem sempre é muito explícita. A NIS2 é um quadro que os países têm de implementar. Uma vez que se trata de uma diretiva e não de um regulamento, cada país da UE tem autonomia para a implementar de acordo com a sua própria interpretação.

A linguagem da NIS2 é ampla, o que torna difícil a sua compreensão, especialmente até que os países publiquem as suas especificidades. No entanto, responderemos da forma mais clara possível quais as empresas que a NIS2 afecta atualmente.

Auto-verificação rápida doNIS2 do Aikidopara ver se está dentro do âmbito

Gostamos que as coisas sejam práticas e diretas. Por isso, para ajudar a tornar as coisas mais fáceis, eis a nossa rápida auto-verificação em 5 passos para ver se está no âmbito do NIS2:

1. A sua empresa trabalha num sector "essencial" ou "importante"?
2. Verificar se faz parte de uma sub-indústria.
3. Está abrangido pelos requisitos de dimensão?
4. Se a resposta for "não" a 1, 2 e 3, verifique novamente se não é uma exceção (dica profissional: pode ser necessário procurar aconselhamento jurídico para estar seguro).
5. E, se a resposta for "não" a todas as perguntas anteriores, verifique se os seus clientes estão ou não abrangidos pelo âmbito de aplicação.

A quem se aplica a NIS2?

Há dois parâmetros-chave a verificar para saber se o NIS2 afecta a sua empresa:

• Setor de atividade: Se faz parte de um sector que é "essencial" ou "importante".
• Dimensão: Se a dimensão da sua empresa corresponder a determinados limiares "essenciais" ou "importantes", ou seja, mais de X empregados, X receitas ou X balanço.

Vamos analisar ambos com mais profundidade.

A que sectores se aplica o NIS2?

Tudo começa aqui. A NIS2 tem por objetivo garantir a segurança dos sectores essenciais e importantes. A NIS2 alarga o número de indústrias que eram o foco da primeira Diretiva NIS. Estabelece uma diferença entre essencial e importante, mas ambas as categorias estão incluídas no seu âmbito de aplicação.

Sectores essenciais: energia, água potável, águas residuais, transportes, banca, mercados financeiros, gestão de serviços TIC, administração pública, cuidados de saúde e espaço.

Indústrias importantes: serviços postais e de correio, gestão de resíduos, produtos químicos, produtos alimentares, indústria transformadora (por exemplo, dispositivos médicos, computadores/eletrónica, máquinas/equipamentos, veículos a motor, reboques/semi-reboques/outro equipamento de transporte), fornecedores digitais (por exemplo, mercados em linha) e organismos de investigação.

Alguns sectores têm um âmbito de aplicação imediato, independentemente do que aconteça. Alguns exemplos incluem os registadores de nomes de domínio, os fornecedores de serviços fiduciários, os fornecedores de serviços DNS, os registos de nomes TLD e os fornecedores de telecomunicações.

Além disso, as autoridades nacionais terão o poder de designar empresas individuais que não se enquadram nas categorias de sectores essenciais ou importantes. Poderão fazê-lo se considerarem que a empresa presta um serviço único, tem um impacto significativo e/ou é essencial para a sociedade.

Critérios de dimensão das empresas NIS2

O NIS2 tem regras de limite de dimensão. Isto significa que terá de cumprir a diretiva se ultrapassar determinados limiares.

Quais são as empresas essenciais e importantes para os critérios de dimensão?

• Empresas essenciais: mais de 250 trabalhadores OU mais de 50 milhões de euros de volume de negócios anual OU mais de 43 milhões de euros de balanço
  Nota: Uma empresa essencial que não cumpra os limiares de dimensão essenciais (acima), mas que cumpra os limiares de dimensão das empresas importantes (abaixo), é considerada uma empresa importante. E, por conseguinte, continua a ser abrangida pelo âmbito de aplicação.
• Empresas importantes: Mais de 50 trabalhadores OU mais de 10 milhões de euros de volume de negócios anual OU mais de 10 milhões de euros de balanço

Assim, à primeira vista, o NIS2 aplica-se às médias empresas e às grandes empresas. E, deixa de fora as pequenas e micro empresas. Mas haverá excepções. Por exemplo, se uma empresa não atingir os limiares de dimensão, uma autoridade nacional pode exercer a sua prerrogativa de designação, tal como acontece com os critérios sectoriais.

Como posso saber que país tem jurisdição sobre a minha empresa?

A Comissão Europeia afirma: "Regra geral, considera-se que as entidades essenciais e importantes estão sob a jurisdição do Estado-Membro em que estão estabelecidas. Se a entidade estiver estabelecida em mais do que um Estado-Membro, deverá estar sob a jurisdição de cada um desses Estados-Membros".

Existem excepções. Nalguns casos, isso significa considerar o local onde a empresa presta o serviço (por exemplo, fornecedores de serviços DNS). Noutros casos, a chave é onde está o seu estabelecimento principal (por exemplo, fornecedores de serviços de computação em nuvem).

Existem outras excepções às regras?

Naturalmente, existem algumas relacionadas com as regras do sector e da dimensão. Além disso, à medida que os países implementam a diretiva, haverá diferenças de país para país a que se deve prestar atenção à medida que as regras localizadas entram em vigor (todas até 17 de outubro de 2024).

Por exemplo, se não cumprir os requisitos de dimensão, mas for o único prestador de um serviço crítico para a atividade social ou económica num Estado-Membro, poderá ainda assim ter de implementar a NIS2.

Nota: Se trabalha no sector financeiro, provavelmente já conhece a Lei da Resiliência Operacional Digital (DORA). A DORA é um ato legislativo - e não uma diretiva como a NIS2 - pelo que tem precedência sobre a NIS2. Recomendamos que concentre os seus esforços primeiro nessa lei, mas certifique-se de que a verifica quando a NIS2 for transposta para a legislação local pelo seu Estado-Membro da UE.

Não se esqueça também do Cyber Resilience Act (CRA). O CRA estabelece requisitos de cibersegurança para uma série de produtos de hardware e software colocados no mercado da UE. Estes incluem altifalantes inteligentes, jogos, sistemas operativos, etc.

Procura um pouco mais de pormenor?

Aqui está uma óptima visão geral de quem está no âmbito, desenvolvida pelo Centro para a Cibersegurança da Bélgica:

Se os seus clientes estiverem abrangidos, o NIS2 irá provavelmente afectá-lo

Sabia que a NIS2 inclui o efeito de arrastamento de terceiros? Isto significa que, mesmo que não esteja diretamente abrangido pelo âmbito de aplicação, mas os seus clientes estejam, é provável que tenha de cumprir a NIS2.

As empresas que têm de implementar a NIS2 terão de "gerir e avaliar os riscos" associados aos seus "fornecedores terceiros". Isto inclui, por exemplo, a realização de avaliações de segurança regulares, a garantia de que existem medidas de cibersegurança adequadas e a implementação de contratos/acordos que exijam o cumprimento dos requisitos da NIS2.

Portanto, se é uma empresa B2B e pensava que estava fora do âmbito de aplicação devido ao sector e à dimensão, mas os seus clientes estão no âmbito de aplicação do NIS2, deve começar a preparar-se!

Aikido apresenta relatório NIS2

A Aikido Security criou uma funcionalidade de relatório NIS2 disponível na nossa aplicação. Concebemos este relatório para ajudar as empresas que necessitam de cumprir a diretiva.

É provável que seja afetado pelo NIS2?
Saiba em que ponto se encontra a sua aplicação no NIS2.
Embora o nosso relatório não seja exaustivo (e abranja apenas a sua configuração técnica), irá ajudá-lo a começar e a seguir o caminho certo.

Registe-se no Aikido e obtenha o seu relatório NIS2 gratuitamente!

A Aikido acabou de passar pelo processo de se tornar compatível com a norma ISO 27001:2022 e SOC 2 Tipo 2. E uma das coisas que gostaríamos de ter tido foram alguns conselhos práticos e sem sentido sobre como começar. Melhores práticas, coisas a ter em atenção - basicamente dicas de alguém que já passou pelo processo de certificação ISO 27001.

Leia mais sobre o caminho do Aikido para tornar-se compatível com a ISO 27001:2022 e os requisitos da ISO 27001.

É por isso que escrevemos esta publicação no blogue: para ajudar qualquer empresa de SaaS que esteja a tentar tornar-se compatível com a ISO:27001.

8 coisas que aprendemos durante o processo de certificação ISO 27001

1. Saiba no que se está a meter

Se nunca fez isto antes, a primeira coisa a fazer é perguntar aos seus amigos e conhecidos profissionais. É provável que encontre alguém que já tenha passado por este processo, por isso, contacte-o e peça-lhe conselhos.

Se não conseguir encontrar ninguém, pode entrar em contacto com um pré-auditor. Mas tenha em atenção que, compreensivelmente, tentarão vender-lhe serviços.

De qualquer forma, é realmente útil ter uma boa noção de como tudo funciona. Isto poupar-lhe-á tempo no final e ajudá-lo-á a obter o seu certificado ISO 27001 mais rapidamente.

2. Comunicar que está a trabalhar na implementação da norma ISO 27001

As pessoas apreciam quando menciona que está no processo de implementação da ISO 27001. Elas ficarão ansiosas em saber que haverá menos preocupações para elas num futuro próximo. E isso, por sua vez, ajudará as suas vendas e conversões. Portanto, mencione isso em seu site, em conversas de vendas, no LinkedIn e muito mais. Informe os seus utilizadores de que está a tornar o seu produto mais compatível.

3. Decidir qual a norma ISO 27001 a implementar (2013, 2017 ou 2022)

2022 tem muito mais controlos relativos à codificação segura e à segurança do software. (por exemplo, a deteção de malware é um novo controlo). Isto significa que a sua implementação implica mais trabalho do que uma versão mais antiga. Se optar por uma das normas mais recentes, serão necessários mais controlos, mas já estará preparado para o futuro. Por isso, é provavelmente melhor optar pela versão 2022.

Dica rápida: A certificação ISO 27001 necessita de uma auditoria completa de três em três anos. Isto significa que é melhor não optar pela ISO 27001:2013, uma vez que é apenas é válida por mais dois anos.

Cada versão da norma ISO 27001 também enquadra o processo de gestão de riscos de forma diferente. A versão 2022 inclui requisitos de certificação actualizados que reflectem a evolução dos riscos de cibersegurança. Isso faz com que seja importante que as empresas tenham um processo de gestão de riscos robusto para identificar, avaliar e mitigar esses riscos.

Note-se que, se for uma empresa grande e madura, pode preferir optar pela versão 2017, uma vez que está mais estabelecida e pode levar a menos perturbações nos seus processos existentes.

4. Não subcontratar tudo

É arriscado externalizar todo o processo... Embora seja possível subcontratar todo o processo a uma empresa de consultoria, aconselho-o a não o fazer. Claro que um consultor pode ajudar, fornecer modelos e esse tipo de coisas. Mas se subcontratar tudo e se deparar com um problema, precisa de saber como lidar com ele. O meu conselho é que haja pelo menos duas, e até quatro, pessoas da empresa envolvidas.

Dica rápida: Não esquecer que a auditoria final deve ser efectuada por um organismo de certificação acreditado!

5. Obter um pentest que faça sentido para a sua empresa

Se é uma empresa de software, deve escolher um pentester para se concentrar em coisas que não são abrangidas por ferramentas automatizadas como o OWASP ZAP. Opte por pentesters com experiência em caça aos bugs, em vez de pentesters da "velha guarda".

6. Tirar partido das normas de conformidade e acelerar

O facto de já estar em conformidade com o SOC2 torna mais rápida a conformidade com a norma ISO. E é bom saber que, se estiver em conformidade com a ISO, o NIS2 (um novo regulamento aplicável na UE) será mais fácil.

Dica rápida: Verifique novamente se o seu auditor foi auditado (é um requisito). Não se contente com alguém sem as credenciais corretas ou poderá ser enganado.

7. Perceber que ninguém é perfeito

A eventual auditoria irá sempre encontrar não-conformidades e não há problema em ser imperfeito. Mas tem de conhecer essas imperfeições e certificar-se de que tem um plano de ação formal para resolver os problemas. Trata-se de um processo de melhoria contínua que, em última análise, conduzirá a uma melhor segurança em toda a empresa. É claro que pode nunca atingir a "perfeição", mas deve fazer o seu melhor para lá chegar!

8. Começar cedo a implementar ferramentas que abranjam os controlos ISO

Se está a pensar em obter conformidade com a ISO, é sempre uma boa ideia fazer um teste das ferramentas que o ajudarão a cobrir determinados controlos (e também a produzir as provas de que necessita).

Por exemplo, a ISO exige que implemente alguns processos relacionados com as pessoas. Por exemplo, a integração, o desligamento, a verificação de antecedentes, a atribuição e a recuperação de activos da empresa. Ter estes processos implementados num sistema de informação de recursos humanos (HRIS), como o Officient, Personio ou Workday, ajudá-lo-á a começar a trabalhar no momento em que precisar de produzir as suas provas para a ISO.

É a mesma coisa com o Aikido, que já realiza verificações em 22 controlos e gera um relatório ISO 27001 abrangente. É outro excelente exemplo de como começar a preparar a sua ISO.

Gestão da vulnerabilidade técnica ISO 27001:2022

No seu próprio caminho para a certificação ISO 27001:2022? A nossa plataforma, Aikido Security, preenche todas as necessidades de gestão de vulnerabilidades técnicas para aplicações ISO 27001:2022. Decidimos também estabelecer uma parceria com plataformas de monitorização da conformidade (como a Vanta ou a Drata) para sincronizar facilmente os dados e garantir que as suas informações de vulnerabilidade estão sempre actualizadas. Isto ajuda-o a manter-se facilmente no topo da sua postura de segurança.

Solicitar o nosso relatório

Não hesite em solicitar o nosso próprio certificado ISO 27001:2022 diretamente na nossa página de resumo de segurança. Teremos todo o gosto em partilhar os frutos do nosso trabalho árduo! 😉

Espero que esta publicação do blogue seja útil para si. Gostaria certamente de ter conhecido todas estas dicas quando iniciámos o processo. Se estiver a explorar a certificação ISO, contacte-me no LinkedIn e terei todo o gosto em partilhar as minhas ideias!

Uma combinação de TI feita na... Bélgica! A Aikido Security, uma startup SaaS de Ghent, irá fornecer segurança de aplicações ao The Cronos Group, um integrador de e-business com sede em Kontich, com mais de 5000 clientes nas suas mais de 570 empresas na região do Benelux. Esta parceria estratégica visa reforçar a postura de segurança do The Cronos Group e a influência da Aikido Security no sector da cibersegurança.

Postura de segurança mais forte com o Aikido

O Grupo Cronos é agora um novo cliente da Aikido. Neste contexto, o Grupo Cronos está a implementar as soluções de segurança da Aikido em muitas das suas empresas de desenvolvimento de software. Porque é que isto é útil para o Grupo Cronos? Não só ajuda a estabelecer uma postura de segurança mais forte para cada empresa da sua rede, como também cria outra grande vantagem. A Aikido reúne tudo para a Cronos, que obterá uma visão global mais perspicaz e padronizada da postura de segurança destas empresas do que nunca.

Para além disso, a Aikido confia no Grupo Cronos para se tornar também um verdadeiro parceiro. Neste contexto, a Cronos poderá fornecer o Aikido aos seus clientes para que também eles tenham a oportunidade de beneficiar dos serviços do Aikido. Além disso, a Cronos e a Aikido trabalham ativamente em conjunto para melhorar ainda mais as caraterísticas do produto.

O conjunto único de ferramentas de segurança do Aikido e a sua capacidade de reduzir os falsos positivos proporcionará eficiência às equipas de desenvolvimento da rede de empresas e clientes do Grupo Cronos. Isto significa menos interrupções causadas por alertas desnecessários, o que permite uma maior concentração na escrita de código. O objetivo do Grupo Cronos é ajudar as empresas a encontrar formas criativas, de alta qualidade e rentáveis de tirar o máximo partido de potenciais novas tecnologias. Por conseguinte, esta parceria alinha-se perfeitamente com a sua missão.

O Aikido reúne tudo isto num "Security Partner Portal" dedicado. Através deste portal de parceiros, o Grupo Cronos pode obter uma visão global mais perspicaz e padronizada do que nunca da postura de segurança das suas empresas.

O Grupo Cronos e o Aikido comentam a sua parceria

O Grupo Cronos mal pode esperar para começar a praticar Aikido.

O Grupo Cronos sempre apoiou a inovação e o empreendedorismo, incluindo a segurança cibernética. Estamos sempre à procura de parceiros para reforçar as nossas alianças. Através do Aikido, queremos permitir que os nossos programadores e clientes integrem a segurança desde a primeira linha de código. Ao combinar a automatização com a inteligência, podem concentrar-se no valor comercial, salvaguardando o seu escasso tempo e mantendo a exposição a um nível mínimo.
Jonas Buyle, Cronos Security

Entretanto, que benefícios é que esta nova parceria traz para a Aikido? "Estamos entusiasmados por dar as boas-vindas ao The Cronos Group à família Aikido Security", explica o cofundador e CEO da Aikido, Willem Delbare. "Como cliente e revendedor, o Grupo Cronos representa uma parceria fundamental na nossa missão de simplificar a gestão da sua postura de segurança. A nossa colaboração promete fornecer informações sem paralelo sobre a postura de segurança do portefólio de empresas do The Cronos Group. Juntos, aspiramos a elevar os padrões de segurança das aplicações em todos os sectores."

Acerca da Segurança Aikido

Aikido Security é uma plataforma de segurança de software que coloca o desenvolvedor em primeiro lugar. Analisamos o seu código fonte e a nuvem para lhe mostrar quais as vulnerabilidades que são realmente importantes de resolver. A triagem é acelerada através da redução massiva de falsos positivos e tornando os CVEs legíveis por humanos. O Aikido simplifica o reforço da sua postura de segurança para manter o seu produto seguro. Além disso, devolve-lhe tempo para fazer o que faz melhor: escrever código.

Sobre o Grupo Cronos

O Grupo Cronos é um integrador de negócios electrónicos que fornece soluções TIC de alta qualidade a empresas e entidades governamentais na região do Benelux. O Grupo Cronos foi fundado por e para tecnólogos de TIC com o objetivo de os ajudar a desenvolver as suas carreiras e o seu espírito empresarial. Esta missão expandiu-se para incluir profissionais criativos, a fim de conceber e implementar conjuntamente soluções criativas e tecnologicamente avançadas para os seus clientes. Desde a sua criação em 1991, o Grupo Cronos expandiu-se de uma operação de uma só pessoa para um grupo de empresas que emprega mais de 9000 profissionais em mais de 570 empresas.

É sempre uma óptima notícia quando ouvimos falar da satisfação de um cliente ao utilizar o Aikido Security. Mas não queremos guardar tudo o que é bom só para nós! Vamos concentrar-nos na Loctax, a primeira plataforma de governação fiscal colaborativa de sempre para equipas fiscais internas globais.

A Loctax fornece os seus serviços fiscais a empresas como a Wise, a PedidosYa, a Iba, a Luxottica e a Trainline. Para a Loctax, é de importância vital ir mais além para garantir a segurança e a conformidade do seu ambiente e dos dados dos clientes.

Juntos, melhorámos a sua velocidade de triagem, reduzindo os falsos positivos e os alertas de segurança irrelevantes. Mas não ficámos por aqui. Também melhorámos a postura de segurança da Loctax, ao mesmo tempo que acelerámos o desenvolvimento de produtos. Em geral, o resultado tem sido a poupança de tempo e dinheiro valiosos. À medida que a Loctax reduz as dores de cabeça do risco fiscal para os seus clientes, a Aikido reduz os riscos de segurança para a Loctax.

O desafio: encontrar um equilíbrio entre rapidez e segurança

A Loctax enfrentou um dilema comum. Como poderia equilibrar o rápido desenvolvimento de produtos com uma segurança sem compromissos? A pressão era grande para fornecer soluções de topo de gama aos seus clientes. Entretanto, a Loctax também precisava de salvaguardar dados fiscais sensíveis e manter-se em conformidade com os mais elevados padrões de segurança. Além disso, tinham de o fazer com uma equipa pequena e otimizar os custos.

No entanto, a Loctax deparou-se com obstáculos na sua atual solução de segurança. Os falsos positivos eram mais abundantes do que a neve no Alasca, consumindo tempo valioso no trabalho de triagem e análise.

Isto não é uma surpresa para nós. Nas nossas recentes consultas com CTOs de SaaS, os falsos positivos foram classificados como a segunda maior falha de segurança nas suas actuais escolhas de software de segurança. Esses CTOs também classificaram a eliminação de falsos positivos como a segunda atividade mais importante para alcançar resultados comerciais estratégicos. Assim, verifica-se que as necessidades da Loctax se encaixam perfeitamente no que os CTOs de SaaS estão a dizer-nos. E, sejamos realistas, os falsos positivos também o dessensibilizam de olhar para as coisas que realmente importam.

Entretanto, a sobreposição de resultados de diferentes ferramentas criou outro obstáculo no seu caminho para a segurança. A falta de integração das ferramentas dificultava a obtenção de uma visão central das verdadeiras prioridades de segurança.

Para além disso, os custos de subscrição das soluções de segurança que já utilizavam estavam a aumentar devido ao rápido crescimento da equipa. Este método de fixação de preços por cabeça estava a colocar uma pressão no orçamento de segurança.

Juntando tudo isto, tornou-se claro para o CTO e cofundador da Loctax, Bart Van Remortele, que precisava de mudar a abordagem da empresa. Decidiu encontrar novas ferramentas para combater estes desafios e descobriu a Aikido Security.

Aikido Security apresenta resultados para a Loctax

Mudar para o produto da Aikido Security foi uma decisão que mudou o jogo para a Loctax e trouxe muitos resultados positivos.

Triagem automática: o poder da eficiência

A nossa funcionalidade de triagem automática revelou-se um verdadeiro cinturão negro! Filtrou o ruído e os falsos positivos que estavam a distrair. Para além disso, também fornecemos um motor personalizado de acessibilidade de vulnerabilidades. Este verifica se uma função vulnerável é efetivamente acessível.

Com esta desordem irritante eliminada e as vulnerabilidades reais claramente identificadas e priorizadas, a equipa de desenvolvimento da Loctax conseguiu tornar-se mais eficiente e produtiva. Eles aumentaram a produtividade economizando um tempo precioso que antes era perdido em investigações desnecessárias.

Um painel de controlo unificado: harmonizar o fluxo de trabalho de segurança

O Aikido, a arte marcial, fornece técnicas para se defender eficazmente usando o mínimo de esforço. Aikido Security aplica este princípio. Para a Loctax, fornecemos um painel de controlo único que se tornou o centro das operações de segurança.

A integração na pilha de tecnologia existente da Loctax foi muito fácil. O Aikido oferece uma visão abrangente de todos os problemas de segurança sem a dor de cabeça de notificações sobrepostas. Quando surgiram eventos de segurança críticos, os alertas atempados apareceram nos canais Slack relevantes. Por conseguinte, com uma integração sem esforço nas ferramentas de gestão de projectos, o Aikido facilitou a gestão das tarefas de segurança.

Poupança de custos: 50%

A consolidação do conjunto de ferramentas de segurança revelou-se um golpe de mestre. Consequentemente, o impacto da Aikido Security nas finanças da Loctax foi significativo. O resultado? Uma notável redução de 50% nos custos das operações de segurança. Sim, leu corretamente - 50%! À medida que a equipa da Loctax continuou a crescer, as suas despesas de segurança deixaram de criar problemas orçamentais. Isto deixou mais recursos para a missão principal da Loctax: fornecer às equipas fiscais internas um novo padrão para a gestão e operações fiscais.

Aikido Security ajuda a defender o seu SaaS

Sejamos claros: existe uma pressão sobre as empresas SaaS para que procurem uma segurança de primeira classe, e a Loctax não é diferente. Mas é extremamente difícil para uma equipa concentrada no desenvolvimento de um produto gerir também internamente a complexidade de toda a sua postura de segurança. A nossa parceria com a Loctax exemplifica o poder transformador da Segurança Aikido para empresas nesta situação. A Loctax pode concentrar-se totalmente na gestão fiscal colaborativa para as equipas fiscais internas, e o Aikido mantém a segurança.

Substituímos a nossa solução anterior pelo Aikido devido ao seu desempenho e eficácia superiores. - Bart Van Remortele, CTO e cofundador da Loctax

Ao adotar as soluções da Aikido, a Loctax optimizou a sua postura de segurança e eliminou os falsos positivos. Isto poupou tempo precioso e alcançou eficiências de custos notáveis. A velocidade da sua equipa de desenvolvimento manteve-se inabalável e a sua segurança tornou-se mais forte do que nunca.

Aikido Security ajuda a defender o seu SaaS

Faça o seu primeiro tai-sabaki com o Aikido, analisando os seus repositórios gratuitamente. Em menos de 2 minutos, obterá informações valiosas sobre a sua postura de segurança. Dê poder à sua organização, impulsione o desenvolvimento e abrace a paz de espírito que vem com uma sólida defesa de segurança.

Descarregue o nosso estudo de caso do cliente Loctax.

‍