A empresa britânica de cibersegurança Glasswall, especializada na proteção de ficheiros através da tecnologia Content Disarm and Reconstruction (CDR), substituiu Snyk, Wiz e Black Duck por uma única Aikido , obteve cobertura do VC Package C++ em duas semanas e implementou o Safe Chain em todos os pipelines de produção que envolvem pacotes suportados.
Em resumo
- Substituiu Snyk, Wiz e Black Duck pelo Aikido
- O suporte ao VC Package C++ foi disponibilizado no prazo de duas semanas após o pedido
- AutoFix com um clique para dependências vulneráveis
- Ligado diretamente aos repositórios do Azure DevOps e container
- Código consolidado, dependência e container numa única plataforma
- A Safe Chain foi implementada em todos os pipelines de produção que envolvem pacotes suportados
- Avaliação pentest de IA como a próxima evolução dos testes ofensivos
Desafio
Chris Holman lidera a área de segurança de aplicações na Glasswall, uma empresa britânica de cibersegurança dedicada a proteger as organizações contra ameaças relacionadas com ficheiros. Sendo ela própria um fornecedor de soluções de cibersegurança, a Glasswall avaliou AppSec suas AppSec com o mesmo rigor que aplica aos seus próprios produtos.
Quando o Chris assumiu o cargo, AppSec da Glasswall tinha-se expandido gradualmente ao longo do tempo, abrangendo vários fornecedores.
Snyk análise de dependências. Wiz tratou da análise ao nível do código. Black Duck encarregou-se da governança de código aberto. SonarQube cobria a qualidade do código. Cada ferramenta resolvia um problema específico, mas, juntas, criavam complexidade operacional. Os programadores já tinham tido más experiências com ferramentas que geravam resultados nos quais não podiam confiar, e a equipa de segurança passava o tempo a separar o joio do trigo em vez de resolver problemas.
«Tínhamos Snyk, Wiz e Black Duck em diferentes partes da propriedade. Cada uma delas era uma boa ferramenta por si só. Juntas, eram uma confusão.”
A sobreposição entre as ferramentas gerou resultados duplicados, uma definição de prioridades fragmentada e um aumento dos custos administrativos. Além disso, o impacto das aquisições tinha ultrapassado o valor que a equipa estava a obter em troca.
Ao mesmo tempo, o ambiente C++ da equipa criou outro desafio. O Glasswall depende fortemente do VC Package, uma solução de gestão de dependências que muitos scanners modernos suportavam de forma deficiente ou nem sequer suportavam. A equipa precisava de uma solução de cobertura que pudesse funcionar diretamente com o seu ambiente, em vez de obrigar as equipas de engenharia a recorrer a soluções alternativas.
«O nosso ambiente depende em grande medida do VC Package. A maioria dos scanners que avaliámos ou não o suportava, ou fazia-o de forma deficiente. Aikido a disponibilizá-lo e conseguiu fazê-lo em duas semanas.»
Solução
Para o Chris, o principal fator diferenciador foi a rapidez de execução e a capacidade de resposta.
Enquanto os grandes fornecedores operavam com ciclos de lançamento trimestrais, Aikido as funcionalidades solicitadas em poucas semanas. O suporte ao VC Package tornou-se o exemplo mais claro. Depois de a Glasswall ter apresentado o requisito, Aikido um suporte pronto para produção num prazo de duas semanas. Essa capacidade de resposta alterou imediatamente a avaliação.
A Glasswall também executou Aikido com Wiz na mesma base de código de produção durante o processo de avaliação. Os resultados foram suficientemente semelhantes para que os benefícios económicos se tornassem difíceis de ignorar.
«Utilizámos Aikido Wiz em paralelo. Os resultados foram semelhantes, e Aikido uma fração do preço. Foi nesse momento que tomámos a decisão.»
Aikido se integrou diretamente nos repositórios do Azure DevOps e container da Glasswall, proporcionando à equipa uma visibilidade centralizada do código, das dependências e dos contentores.
A implementação seguiu o mesmo ritmo. Em apenas um dia, a Glasswall passou de Aikido não Aikido para uma cobertura total em todos os pipelines. A ligação dos repositórios do Azure e container exigiu apenas um clique, em vez de ter de criar modelos de pipeline ou integrar ferramentas CLI manualmente, o que foi fundamental para uma pequena DevSecOps , onde o tempo de engenharia é o recurso mais escasso.
A Glasswall implementou também Aikido Chain em todas as cadeias de produção que envolvem pacotes suportados. Na sequência de incidentes recentes na cadeia de abastecimento que revelaram a rapidez com que os pacotes maliciosos se podem propagar, o Safe Chain verifica as dependências antes da sua instalação, em vez de se basear exclusivamente em bases de dados públicas de CVE.
«Não se pode confiar apenas nas bases de dados públicas do CVE para saber se uma vulnerabilidade está ou não presente no seu pacote. É necessário analisar minuciosamente esse pacote e certificar-se de que é seguro utilizá-lo antes de o instalar.»
No que diz respeito às atualizações de dependências vulneráveis, o Glasswall reduziu significativamente o esforço de engenharia manual necessário. Os programadores podem agora ver tanto a detecção da vulnerabilidade como o caminho para a sua correção no mesmo fluxo de trabalho, com pedidos de pull automatizados gerados diretamente pelo Aikido.
«Para a maioria das dependências vulneráveis, basta premir um botão. O PR já está lá, o teste já está lá, basta fazer a fusão.»
Para a Glasswall, o plano de desenvolvimento era tão importante quanto as funcionalidades atuais. Enquanto empresa de cibersegurança, a equipa estava a avaliar não só o panorama atual AppSec , mas também a direção que os testes de segurança ofensiva irão tomar nos próximos anos. pentest de IA como um sinal importante. Para Chris, isso demonstrou que Aikido investir para além dos fluxos de trabalho tradicionais de análise e a refletir sobre a forma como os testes de segurança ofensiva irão evoluir nos próximos anos.
«O que vocês estão a fazer com a pentest de IA com múltiplos agentes vai tornar-se a nova norma. Os programas de recompensa por falhas não são uma arte em extinção, mas muitos investigadores estão agora a recorrer à IA. Porque é que não podemos nós próprios adotar a IA para encontrar vulnerabilidades?»
Por que a Glasswall escolheu Aikido
Vários fatores acabaram por influenciar a decisão:
- Pacote VC e suporte a C++ entregues no prazo de duas semanas
- Integrações nativas com o Azure DevOps e container
- Resultados comparáveis aos do Wiz a um custo significativamente mais baixo
- Consolidação da qualidade do código numa única plataforma
- AutoFix com um clique para correção de dependências
- Um plano de ação alinhado com testes ofensivos baseados em IA
Resultados
O resultado mais visível foi a consolidação. Snyk, Wiz e Black Duck foram substituídos por uma única Aikido , abrangendo código, dependências e contentores. O impacto foi além da poupança em aquisições. A consolidação reduziu a complexidade operacional, simplificou a definição de prioridades e proporcionou à equipa de segurança um fluxo de trabalho único, em vez de ferramentas fragmentadas distribuídas por vários fornecedores.
A Glasswall continua também a alargar a sua cobertura a novas superfícies de ataque. Uma das próximas prioridades é garantir a segurança da própria infraestrutura dos agentes de compilação.
«Os agentes de compilação são o nosso alvo principal. É fundamental garantir que dispomos de uma verdadeira estrutura de segurança em camadas para os proteger. A utilização Aikido Protection nos nossos agentes de compilação garantiria a segurança de todo o ecossistema.»
Para Chris, os testes ofensivos assistidos por IA constituem uma das mudanças mais importantes que se verificam atualmente na área da segurança das aplicações.
pentest de IA tornar-se a nova norma. Muitos investigadores já estão a utilizar a IA para identificar vulnerabilidades. As equipas de segurança precisam de adotar a mesma abordagem.»
Como a Glasswall utiliza Aikido
Atualmente a utilizar
- SCA SAST SCA
- Pacote VC / Cobertura de dependências em C++
- Container digitalização
- Detecção de segredos
- Qualidade de Código
- Safe Chain para a proteção da cadeia de abastecimento
- AI AutoFix
- Integrações do Azure DevOps com container
Próximo passo
- Proteção do Aikido Device para agentes de compilação
Avaliação
Veredito final
«Para nós, o que importa é a abordagem humana. Precisamos de um parceiro que consiga acompanhar o nosso ritmo, e Aikido .»
