Treinamento Veracode V5.2 Export

Technical Training
M3Co rp Training Pro gram
© 2017 Veracode, Inc.

Sobre este treinamento
• Este treinamento de duração de aproximadamente 2 dias

• A dinâmica do treinamento consiste em explanações teóricas e
demonstrações práticas
• Serão aplicados testes ao final dos módulos
• É importante não perder estes testes, pois a avaliação é
sobre estes testes!
• Será emitido certificado para os que atingirem 80% nos testes
2 © 2017 Veracode, Inc.

Objetivos do treinamento
• Ao completar este treinamento você será capaz de:

ü Compreender e identificar os riscos de aplicações
desenvolvidas sem testes de segurança
ü Compreender o fluxo de desenvolvimento de aplicações
ü Identificar em quais fases de desenvolvimento, deve-se
utilizar cada tipo de Scan
ü Extrair relatórios de Scans, e identificar através destes, as
vulnerabilidades das aplicações
ü Compreender as propostas de remediação de acordo com
as vulnerabilidades encontradas por cada tipo de Scan

Sumário
• Introdução • Gerencial
• Desenvolvimento • Relatórios
• AppSec • Políticas
• Veracode • Mitigação
• Gartner & Competitors • Falhas
• Por que testar aplicações? • Roles
• Usuários
• Overview
• Plataforma Veracode • Serviços
• Help center • Suporte
• Manual Penetration Test (MPT)
• Produtos • VAST
• SAST • Dev Coaching
• Plataforma
• IDE • Licenciamento
• SDLC • Overview
• Greenlight
• Recomendações de uso
• DAST
• Ambiente demo
• Plataforma
• API
• VSA

I n tr o du ç ão - D E V

Abordagem: Waterfall (tradicional)
• Após desenvolvido, a versão é "jogada por cima da parede"

para equipes de testes & operações
• Novas versões de levam muito tempo para serem
disponibilizadas

Abordagem: Agile
• Grandes melhorias em qualidade e produtividade em relação

ao Waterfall
• Desenvolvimento e QA trabalham juntos como uma única
unidade, sob a direção de um Scrum master e gerente de
produtos

Abordagem: DEVOPS
• Fundamentalmente, o DevOps é uma extensão do Agile e suas

equipes multifuncionais, incluindo as operações.
• Os desenvolvedores devem entender como as coisas serão
executadas na produção, a partir de muito mais cedo no ciclo
de vida.

CI & CD
• Automatização reflete em redução de tempo e erros humanos

• Isto pode ser alcançado através de ferramentas específicas
com uma vasta gama de plugins

Microservices
• Microservices são arquitetadas de forma stand-alone,

fornecendo funcionalidades especificas - por exemplo,
autenticação, acesso a mídias
• Permitem que os desenvolvedores enviem atualizações com
maior certeza de que nenhum engano de código
desconhecido fará com que a atualização falhe.

Microservices
• Gerenciar inúmeros de microservices sendo atualizado com

frequência e ativando constantemente novos recursos
demanda visibilidade operacional completa no estado do
aplicativo implantado.
• O monitoramento permite que a equipe de desenvolvimento /
operações combinada identifique falhas iminentes e responda
rapidamente.

Teste de conhecimento: 1
I n tr o du ç ão - S e c A pp

Aplicações são inseguras
dos ataques são através de

40%
aplicações Web
das aplicações são reprovados

61%
pela OWASP na primeira avaliação
das aplicações Java contém

97% vulnerabilidades conhecidas em
componentes de terceiros
Sources::
Verizon Data Breech and Incident Report 2016
Veracode State of Software Security 2016

As empresas não estão prontas para lidar com isso
0 das 10 melhores universidades de ciência da

0 computação exigem que os alunos façam
uma aula de segurança cibernética para obter
o grau de ciências da computação
dos desenvolvedores responderam corretamente

11% o que ajuda a proteger contra cross-site scripting
em uma pesquisa recente
É a relação de profissionais de InfoSec

4:3 empregados para novos cargos de InfoSec no
LinkedIn
Sources::
Dark Reading
Denim Group

Onde são originados os riscos?
As aplicações web lideram o vetor de Riscos
1/3
das violações são
devido a aplicações
Web vulneráveis
(Information Week, Aug. 2015)
Violações evidenciadas na
camada de aplicação
• T-Mobile
• JPMC Challenge
• Office of Personnel
Management (OPM)
• Ashley Madison
• Target
• US Army
• Sony

Atualmente os Hackers entram da mesma maneira
que todos entram…
… Através das aplicações
Customer Records
Applications
Intellectual
Property
Money
Brand
Reputation
Employee
Records

SQL Injection
Explorar uma vulnerabilidade, pode ser tão fácil quanto fazer login...
Usuário: fulano
Senha: 12345
select * from accounts where name = ‘fulano’ and password = ‘12345’;
Usuário: ‘ OR 1=1; /*
Senha: */--
select * from accounts where name = ‘’ OR 1=1; /*’ and password = ‘*/--’;

SQL Injection
Explorar uma vulnerabilidade, pode ser tão fácil quanto fazer login...
Camada da aplicação
Knowledge Mgmt
Communication
Bus. Functions
Administration
Legacy Systems
Human Resrcs
Transactions
E-Commerce
Web Services
Directories
Accounts
Databases
Finance
Billing
APPLICATION
ATTACK
Custom Code
SQL
query
App Server M
Web Server
Camada de rede
Hardened OS
Firewall
Firewall
Imagem adaptada: OWASP Top-10 2013

Devemos olhar não só o que é "nosso"
41% Apps 1 em cada 450

34% de Web Apps
empresariais Sites
Encontre rapidamente
vulnerabilidades
recentemente
descobertas em
aplicativos de produção

Como está a composição de seu software?
100,000,000
Vulnerable
10,000,000 Download
26%
1,000,000
Safe
Download
100,000 74%
10,000
1,000 Libraries 31
100
Library Versions 1,261
Organizations 61,807
10
Downloads 113,939,358
1
Tapestry
Spring Security
Wicket
Lift
Java Server Faces

Spring MVC
Apache CXF
GWT
BouncyCastle
Apache Shiro
Apache Xerces
Struts2
Tiles
Struts 1.x
AntiSamy
Apache Axis
Hibernate
Apache Santuario
https://www.aspectsecurity.com/news/press/the-unfortunate-reality-of-insecure-libraries

Uma Abordagem no Ciclo de Vida Reduz Custos, Riscos
$
$
$
$
Application Lifecycle

OWASP TOP 10
Rank Name
A1 Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)
A4 Insecure Direct Object References
A5 Security Misconfiguration
A6 Sensitive Data Exposure
A7 Missing Function Level Access Control
A8 Cross Site Request Forgery (CSRF)
A9 Using Known Vulnerable Components
A10 Unvalidated Redirects and Forwards

CWE/SANS Top 25
Rank Name Rank Name

Improper Neutralization of Special Elements used in an Improper Limitation of a Pathname to a Restricted
[1] [13]
SQL Command ('SQL Injection') Directory ('Path Traversal')
Improper Neutralization of Special Elements used in an [14] Download of Code Without Integrity Check
[2]
OS Command ('OS Command Injection')
[15] Incorrect Authorization
Buffer Copy without Checking Size of Input ('Classic
[3]
Buffer Overflow') [16] Inclusion of Functionality from Untrusted Control Sphere
Improper Neutralization of Input During Web Page
[4] [17] Incorrect Permission Assignment for Critical Resource
Generation ('Cross-site Scripting')
[5] Missing Authentication for Critical Function [18] Use of Potentially Dangerous Function
[6] Missing Authorization [19] Use of a Broken or Risky Cryptographic Algorithm
[7] Use of Hard-coded Credentials [20] Incorrect Calculation of Buffer Size

Improper Restriction of Excessive Authentication
[8] Missing Encryption of Sensitive Data [21]
Attempts
[9] Unrestricted Upload of File with Dangerous Type [22] URL Redirection to Untrusted Site ('Open Redirect')
[10] Reliance on Untrusted Inputs in a Security Decision [23] Uncontrolled Format String
[11] Execution with Unnecessary Privileges [24] Integer Overflow or Wraparound
[12] Cross-Site Request Forgery (CSRF) [25] Use of a One-Way Hash without a Salt
Improper Limitation of a Pathname to a Restricted
[13]
Directory ('Path Traversal')

Necessidades do mercado de AppSec
BUILD OR BUY TEST OPERATE
Integração e testes Segurança Verificação e

contínuos garantida proteção contínuas
• Para desenvolvedores, • Security driven, • Gerenciamento de

escaneamento em fase caso de uso Vulnerabilidades,
inicial do SLDC histórico, monitoramento
particularmente operacional e proteção
uma preocupação
com a segurança da
Cadeia de
fornecedores

Overview

ABORDAGEM DA SEGURANÇA DE APLICAÇÃO
BINARY STATIC ANALYSIS SOFTWARE

(SAST) COMPOSITION ANALYSIS
Realizar "MRI para Vulnerabilidades" "Lista de Materiais" para Identificar

Sem Necessidade de Código Fonte Componentes Open Source e de
Terceiros com Vulnerabilidades
Publicadas
VENDOR APPLICATION DYNAMIC ANALYSIS WEB APPLICATION
SECURITY TESTING (VAST) (DAST) PERIMETER MONITORING
Elimine Links Fracos de Software Explore vulnerabilidades, emulando Descubra e avalie rapidamente o
Comercial de Terceiros técnicas de cyber ataques risco de todas as aplicações Web
externas

Diferença entre SAST, DAST e MPT

VERACODE SECURITY EXPERTS HELP YOU REMEDIATE
FASTER & MANAGE YOUR GLOBAL PROGRAM
Remediation Coaching Security Program

Management “ Veracode receives high
marks from customers for
its service and support, as
well as its customer
success program.”
GARTNER
eLearning Manual Penetration Testing

Plataforma Veracode
• Plataforma Cloud Based

• Administração RBAC (Role based)
• Gerenciamento centralizado de:
• Equipes
• Usuários
• Scans
• Aplicações
• Relatórios
• Policies
• etc...

Plataforma Veracode – Help Center
• Sistema de “Self-help” integrado à plataforam

• Aborda todos os principais tópicos de utilização da plataforma
• Disponibiliza “Quick start guides”, que fornecem uma visão geral
de diversas funcionalidades configuráveis através da plataforma
• Videos com demonstrações de funcionalidades da plataforma

Visão geral
Bug Tracking
Browser Based
IDE Based
API &
CI/CD Based command line

Demonstração – Platform Walkthrough
• Acesso a página inicial da plataforma
• https://analysiscenter.veracode.com/
• Visão geral da interface Web
• Help center
S A S T – S tati c C o de A n al ysi s

Produtos – SAST
SAST – Static Code Analysis
• Análise de software realizada sem executar o programa

• Cobertura completa de toda a fonte ou processo binário e
de sua construção
• Ter pleno conhecimento de aplicação pode revelar uma
ampla gama de bugs e vulnerabilidades do que uma
análise dinâmica
• Identificar vulnerabilidades com base nas configurações do
sistema e serviços é realizado pelo DAST

Produtos – SAST
Benefícios da análise binária
• A análise binária com 100% de cobertura
• Você analisa o que está sendo entregue/implementado
• Backdoor inserido na fonte, compilado e, em seguida,
removido da fonte ainda será encontrado
• Falhas no nível binário, como otimizações de código que removem
a limpeza da memória de chaves criptográficas, podem ser
detectadas
• O código é sempre analisado em seu contexto de execução
• A análise de “pedaços/partes" de programas leva a taxas mais
elevadas de falsos positivos
• Permitindo identificar problemas em otimização de código e
ofuscação de código
• Detectar falhas em bibliotecas de terceiros

Produtos – SAST
Veracode Binary Static Analysis
• Apoiado por patente (s):

• Http://www.google.com/patents/US7051322
• Número da patente: 7051322
• Data de apresentação: 6 de dezembro de 2002
• Data de publicação: 23 de maio de 2006
• O portfólio de patentes da Veracode inclui outras
patentes
• Não requer o código fonte*
• Binários com informações de depuração (executáveis,
bibliotecas, etc.)
• Plataforma "Guard Rails“
• Não faz engenharia reversa do código fonte
• Ênfase em testes de segurança definidos pela Veracode

Produtos – SAST

Produtos – SAST
Obtenha uma análise de código estático mais precisa e
econômica com o Veracode
Veracode Static Analysis suporta os idiomas amplamente utilizados
para aplicações de desktop, web e mobile, incluindo:
• Java (Java SE, Java EE, JSP)
• .NET (C#, ASP.NET, VB.NET)
• Web Platforms: JavaScript (incluindo Angular JS, Node.js e jQuery), Python, PHP,
Ruby on Rails, ColdFusion and ASP Clássico
• Mobile Platforms: iOS (Objective-C e Swift), Android (Java), PhoneGap, Cordova,
Titanium, Xamarin
• C/C++
• Legacy Business Applications (COBOL, Visual Basic 6, RPG)

Demonstração – SAST Via Plataforma web
• Existem três passos para iniciar um “Static Scan”:
• Fornecer um “Application Profile” e solicitar o Scan
• Fazer o upload dos binários
• Selecionar os módulos e iniciar o Scan
• Pode-se executar um Satic Scan atrvés da página de appliacções, para uma
aplicação já existente
OBS1: Os resultados deste scan serão verificados em outro módulo.

OBS2: Esta é apenas outra forma de realizar o scan (falaremos da integração com o
SDL/SDLC em outro módulo)
S A S T v i a pl u gi n s

Produtos – SAST
Via IDE
Integrando e automatizando
• A Veracode oferece diversas formas de integração dos
testes de segurança, ao fluxo de desenvolvimento, bem
como o acesso aos testes através de outras aplicações
• O programa de APIs da Veracode permitem a
automatização das ações envolvendo os testes de
aplicações, enquanto os plugins permitem que você
extenda as análises da Veracode ao seu fluxo de
desenvolvimento
• Esta é apenas outra forma de realizar o scan SAST (falaremos
da integração com o SDL/SDLC em outro módulo)

Produtos – SAST
Via IDE
Plugins
• Visual Studio Plugin
• Eclipse Plugin
• IntelliJ Plugin
• Veracode Greenlight

Produtos – SAST
Via IDE
Plugins
• Fazer o upload de binários
• Executar o pré-scan em arquivos
• Realizar Policy Scan & Sandbox Scan
• Obter os resultados da plataforma Veracode
• Trabalhar em torno dos resultados obtidos (mitigar)
Obs: Permissões de usuários podem ser aplicadas para limitar as
ações

Produtos – SAST
Via IDE
Autenticação

Produtos – SAST
Via IDE
Criação de aplicativos

Produtos – SAST
Via IDE
Envio de binários para scan

Produtos – SAST
Via IDE
Revisão de dependências

Produtos – SAST
Via IDE
Acesso aos resultados

V e r ac o de G r e e n l i gh t

Produtos – Greenlight
Via IDE
Greenlight
• O Plugin Veracode Greenlight identifica as falhas de
segurança em poucos segundos, assim você pode corrigi-las
diretamente na IDE
• O Greenlight faz o scan em arquivos (classes) ou em
pequenos pacotes, e informa rapidamente o resultado
• Adicionalmente, o Greenlight fornece retorno positivo aos
desenvolvedores, informando melhores práticas de
desenvolvimento para evitar problemas de segurança

Via IDE
Greenlight
• O Veracode Greenlight escaneia apenas Java, compilados

corretamente
• Antes de iniciar a utilização do plugin, verifique se seu
ambiente atende aos seguintes requisitos:
• Eclipse IDE 4.4.2 ou superior
• IBM Rational Application Developer (RAD) 9.5.0.2 ou
superior
• O código foi compilado com sucesso
• Seu IDE está conectado à internet
• Sua solicitação de scan não seja superior a 1 MB

Via IDE
Scan with Greenlight

• Abra o projeto e selecione o arquivo Java a ser escaneado
• Vá ao menu Veracode Greenlight > Scan with Greenlight
• Após o scan, revise as falhas encontradas na guia Veracode
Greenlight
Os resultados do Greenlight são organizados em uma nova guia. Para

cada falha encontrada, serão exibidas as melhores práticas para
correção.
• Faça duplo no alerta para localizar o problema na linha específica

do codigo Java
• Faça clique com o botão direito do mouse para conferir as ações
possíveis

Via IDE
Revisando os resultados

Via IDE
Greenlight best Practices

Demonstração – SAST & Greenlight
(usando os plugins)
SAST via Plugin – Resumo
• Utilizando o plugin do Eclipse
• Criação de aplicativo
• Upload
• Acesso aos resultados
• Utilizando o Greenlight
• Envio do scan
• Acesso aos resultados
S A S T – I n te gr ado ao S D L/ S D LC

Produtos – SAST
SDLC – Systems Development Lifecycle
Benefícios do processo de SDLC
• O objetivo de um processo de SDLC é ajudar a produzir um
produto que teha bom custo-benefício, seja eficiente de de alta
qualidade
• A Veracode permite integrar testes de segurança
automatizados no processo SDLC através do uso de sua
plataforma baseada em nuvem

Produtos – SAST
Fases do SDLC
Plan Code Build Test Stage Deploy Monitor
Agile CI/CD DevOps
Developer Sandbox
Developer Remediation Coaching
Developer Training Static Analysis & Software Composition Analysis
Web Application Scanning

Runtime Protection
Veracode APIs for Tool Chain Integration
IDEs Code Repositories Bug Tracking CI/CD Systems GRCs
SIEMs
WAFs

Microservices

Produtos – SAST
Funções e responsabilidades do programa

Security
Team
Create Users &

Define Policies
App Profiles
Developme
nt Teams
No
Request Need Application
Analysis Review Report Expertise Remediate Compliance
?
Yes
No Remediation
Coaching
Scan Met Rescan
Policy
Application ?
Application
Yes

Produtos – SAST
Funções e responsabilidades da Integração

Automation
Security
Team
Create Users &

App Profiles Define Policies
Developme
plugins
nt Teams
No
Need Application
Request Review Report Expertise Remediate Compliance
Analysis ?
Yes
No Remediation
Coaching
Scan Met Rescan
Policy
Application ? Application
Yes

Produtos – SAST
Integração – Visão geral

9 8
Import Policy
Scan
3 5 Veracode
Sandbox Cloud-
Greenlight
Based
Scan Scan
Platform
1 2 4 7
Mid to late
Develop Early Dev Build
Dev
Automated Check In
Veracode Plugin

Demonstração – SAST via SDLC
SAST via SDLC – Resumo
• Integração com sistema CI/CD
• Integração com Bug tracker
P r o du to s - D A S T

Produtos – DAST
DAST – Dynamic Analysis
Teste de análise dinâmica

• Um teste de análise dinâmica comunica-se com uma
aplicação web através de seu Front-end, a fim de identificar
potenciais vulnerabilidades de segurança
• Ao contrário dos scanners de código-fonte, um programa de
análise dinâmica não tem acesso ao código-fonte e,
portanto, detecta vulnerabilidades ao executar ataques

Produtos – DAST
Teste de análise dinâmica

• Os scanners de análise dinâmica podem procurar uma
grande variedade de vulnerabilidades, incluindo:
• Validação de entrada / saída: (Cross-Site Scripting, SQL
Injection, etc.)
• Problemas específicos de aplicação
• Erros de configuração do servidor
• etc...

Produtos – DAST
Integração completa com análise estática
• Ao contrário dos scanners web "autônomos", a Veracode é o
único provedor de análise dinâmica a incorporar testes
estáticos e dinâmicos como uma única ferramenta
• O teste dinâmico de aplicativos da web da Veracode é
integrado à nossa análise binária estática patenteada, que
permite às empresas testar completamente suas aplicações
usando vários métodos de avaliação para fornecer um
único conjunto de resultados convergentes, classificações e
relatórios.

Produtos – DAST
Identificação de
vulnerabilidades em
aplicações web em
• Identifica pontos fracos na

arquitetura e vulnerabilidades nas
aplicações em execução
• Testa aplicações web em
ambiente de pré-produção e
também após a publicação
• Identifica vulnerabilidades
altamente exploráveis, como SQL
injection e Cross-Site Scripting
• Inspeciona os aplicativos da
mesma forma que um hacker os
atacaria, fornecendo detecção
de vulnerabilidade mais precisa

Demonstração – DAST via Plataforma
P r o du to s – V S A

Produtos - VSA
VSA – Virtual Scan Appliance
Aplicações web internas não disponíveis na internet podem
ser verificadas através do Virtual Scan Appliance (VSA).
O VSA é um appliance virtual pré-configurado que
implementa o nosso mecanismo DynamicDS (Deep Scan)
para analisar os aplicativos da Web atrás do firewall

Produtos - VSA
VSA – Virtual Scan Appliance
Arquitetura

DAST via Plataforma – Resumo
• A requisição de um Sca Dinâmico, necessita dos seguitnes passos:
• Criação de um perfil de aplicação
• Configuração dos parâmetros de Scan dinâmico
• Fornecer as informações de login
• Fornecer instruções de rastreamento opcionais
• Configurar as opções avançadas
• Selecionar a engine de scan dinâmico
• Executar o pré-scan
• Agendar o scan e submeter a tarefa
G e r e n c i al

Gerencial - Políticas
Entendendo as políticas
A plataforma Veracode permite que uma organização defina e aplique
uma política uniforme de segurança de aplicativos em todas as
aplicações em seu portfólio. Os elementos de uma diretiva de segurança
do aplicativo incluem:
• Definição do “Veracode Level”

• Tipos de falhas
• Pontuação mínima de segurança Veracode
• Tipos de scans necessários e frequências
• Período para correção (grace period)

Gerencial - Políticas
Veracode Level
O Veracode Level (VL) obtido por uma aplicação é determinado pelo tipo de teste
que a Veracode executa na aplicação, gravidade e os tipos de falhas detectados.
Um score de segurança mínimo (definido abaixo) é necessário para cada nível.
Critérios para atingir um determinado Veracode Level

Demonstração – Políticas
Políticas – Resumo
• Veracode Level
• Personalização das regras de segurança
• Omitir CWE
• Conformidade com padrões de segurança (ex: PCI, CERT, OWASP, SANS)
• Categorias de falhas
• Severidades
• Score
• Frequência
• Tempo para remediação
Gerencial – Mitigação
Mitigação de falhas
Após a conclusão da verificação, o próximo passo no fluxo de trabalho é
revisar detalhadamente todas as vulnerabilidades descobertas
• Classificação das falhas

• Mitigação de falhas através da modificação de recursos
• Aprovação das mitigações (Mitigation Approver)
• Exclusão das falhas mitigadas dos relatórios estaísticos

Gerencial – Flaws (falhas)
Static Flaws
A Triagem de Falhas estáticas permite aos desenvolvedores revisar as falhas
estáticas no contexto de sua cópia local do código-fonte para o aplicativo
• De um modo geral, estes se dividem em duas categorias:

• Vulnerabilidades
• Potenciais vulnerabilidades
(quando não são acessíveis pelo
conjunto analisado)

Gerencial – Flaws (falhas)
DynamicDS Flaws
A página de Triagem Falhas dinâmicas apresenta as falhas do DynamicDS,
de forma diferente das falhas estáticas
• As verificações DynamicDS detectam dois tipos principais de

vulnerabilidades:
• Falhas de aplicativo
• Falhas de configuração
• Expemplos de falhas de aplicativo: Cross-site script, injeção SQL, injeção
de comandos, etc.
• Exemplos de falhas de configuração: exposição do código-fonte,
listagens de diretórios, métodos desnecessários de HTTP habilitados, etc.

Demonstração – Falhas e Mitigação
Mitigação– Resumo
• Revisão do sumário dos resultados
• Triagem de falhas
• Estática
• Dinâmica
Gerencial – Relatórios
Relatórios – Tipos
A Veracode permite a extração de relatórios analíticos ou
customizados
• Analytics: Apresenta um relatório gerencial de todas as

aplicações de seu portfólio, com informações detalhadas
sobre falhas, remediações, mitigações, etc...
• Custom: Permite que você faça a customização das
informações e do layout do relatório a ser exibido. A
customização é simples, orientada a objetos, no esitlo “Drag
and Drop”
• Export data: Permite que você faça a exportação de todos
os resultados obtidos nos relatórios, para fins de
análise/comprovação

Demonstração – Relatórios
Relatórios – Resumo
• Relatórios analíticos
• Personalizados
Gerencial – Roles
Role-Based Access Control
Máxima flexibilidade com controle granular

• Controle de acesso baseado em “Roles”
• “Roles” com funções pré-definidas, como por exemplo:
• Policy Administrators - podem editar políticas e regras de
notificação
• Submitters - podem submeter scans e revisar os resultados de
suas respectivas equipes
• Security Leads - podem acessar dados analíticos e falhas para
todas as aplicações
• Mitigation Approvers - podem aprovar mitigações para falhas
• Executives - podem visualizar painéis analíticos para todas as
suas aplicações

Demonstração – Roles & Users
Roles & Users – Resumo
• Usuários
• Times/equipes
• Roles/papeis
• Unidades de negócios
Serviços

Serviços – Suporte
Como ajudamos nossos clientes
• A equipe de Serviços incluirá recursos de 3 funções diferentes:
• Program Management - seu principal contato e consultor de
confiança
• Consultor preferencial
• Ajuda para sua equipe definir políticas
• Acompanhamento aos seus desenvolvedores
• Estruturação do programa com base nos seus objetivos
• Application Security Consultants
• Desenvolvedores experientes que podem falar o mesmo
“idioma” que seus desenvolvedores
• Peritos certificados em segurança
• Conhecimento em todas as entradas e saídas da
plataforma
• Customer Support
• Suporte telefônico sempre que precisar

Serviços – Manual Penetration Test (MPT)
Penetration Testing
Manual Penetration Test
• A tecnologia das ferramentas aliada ao conhecimento
humano
• Abordagem prática e ampla, utilizando as mesmas técnicas
que um harcker utilizaria

Serviços – VAST
VAST – Vendor Application Security Test
Gerencie avaliações de segurança em toda a sua cadeia

de fornecedores
• A avaliação de software de terceiros é ainda mais
desafiadora quando os fornecedores têm de fornecer
acesso ao seu código-fonte, que muitos consideram como
propriedade intelectual confidencial.

Serviços – Dev Coaching
Veracode technical support
Obtenha treinamento de correção de outros desenvolvedores
com experiência AppSec
• Agende sessões de coaching individuais para conversar com
nossos consultores de segurança de aplicativos, que têm
experiência em desenvolvimento e que o ajudam a focar na
sua vulnerabilidade específica
• As empresas que utilizam esses serviços corrigem 2.5x mais
falhas - isso é progresso real. Ainda melhor, você usará esse
aprendizado para escrever código mais seguro mais
rapidamente no futuro
• Os consultores de segurança de aplicativos da Veracode
também trabalham com você para priorizar os esforços de
remediação e fornecer contexto em torno de correções,
para que você possa facilmente ver quais aplicativos
atendem aos seus requisitos, quais não, e o porquê

V e ra c od e & s e c u ri ty

Sério sobre a proteção da propriedade intelectual
Veracode Third-Party Assessment Agreement (TPAA)

• Proteção em nível da analise
– As técnicas são projetadas especificamente para testar binários de
aplicativos sem exigir qualquer exposição de seu código-fonte
• Proteção em nível dos dados

– Detalhes sobre falhas específicas, onde eles ocorrem e como eles
podem ser explorados não são revelados a ninguém, além de
você. sem divulgação pública.
• Proteção de armazenamento e destruição de binários

– Todos os binários em trânsito para ou armazenados no serviço
Veracode são criptografados com uma chave exclusiva por
aplicativo, usando a criptografia AES de 256 bits e nunca são
descriptografados para o disco. O Veracode destrói o binário
fornecido de forma segura, segura e atempada, com base nos
padrões de segurança C2 / Military

VERACODE Information Security Exhibit (VISE)
• Governança da Segurança da Informação

• Avaliação e Tratamento de Riscos
• Política de segurança
• Organização da Segurança da Informação
• Gestão de ativos
• Segurança de Recursos Humanos
• Segurança Física e Ambiental
• Gestão de Comunicações e Operações
• Controle de acesso

COMO O VERACODE MANTÉM A SEGURANÇA DOS DADOS DO CLIENTE
Os arquivos são criptografados com uma chave única

por varredura usando criptografia AES 256 bits
Binários, credenciais ou dados em trânsito para

Veracode são protegidos por metodologias de
criptografia (TLS, certificados digitais)
Deste ponto em diante, os arquivos nunca são decifrados

para o disco; A descodificação para fins de análise é
Desenvolvedor realizada apenas na memória pelo processo de
interno ou externo digitalização.
do cliente Scan Engines: Java; .NET , Android, iOS etc.
conectado no
Veracode
Platform (Web)
O Veracode elimina automaticamente os binários

criptografados de nossos dispositivos de armazenamento
dentro de 90 dias após a entrega dos resultados da
verificação da aplicação.
Os arquivos são excluídos de maneira criptográficamente segura, excluindo os arquivos
e, em seguida, destruindo a chave apropriada por meio do KMS. Desta forma, mesmo se
os arquivos fossem recuperados, eles não poderiam ser descriptografados como a chave
é irrevogavelmente destruída.

COMO O VERACODE MANTÉM A SEGURANÇA DOS DADOS DO CLIENTE
Protecção ao nível das instalações (facilities)

Monitoramento e vigilância 24/7/365 e segurança
local (protegido por um rigoroso controle de acesso,
incluindo cartões de criptografia de dois fatores,
sistemas biométricos e mantraps).
A operação contínua do datacenter é assegurada por
Alimentação de energia, dispositivos UPS e geradores de
backup.
Protecção ao nível da rede

A rede de serviços da Veracode é protegida por vários
sistemas de segurança para oferecer proteção em camadas.
Uma combinação de firewalls externos, firewalls internos e Proteção no nível da aplicação
sistemas de detecção de intrusão monitoram a atividade da A Veracode usa o controle de acesso baseado em função
rede. (RBAC) para fornecer um modelo de segurança robusto e
Avaliações periódicas de vulnerabilidade da rede também são flexível para controlar o acesso ao conteúdo dos clientes. O
realizadas usando ferramentas de avaliação de terceiros e as controle de acesso de grão fino fornece um poderoso modelo
vulnerabilidades identificadas são corrigidas. A Veracode de menor privilégio para garantir que os usuários tenham
implementou padrões industriais para monitoramento proativo, acesso aos dados necessários para executar suas funções de
registro e análise de eventos de segurança. trabalho necessárias.
A Veracode oferece autenticação de dois fatores para oferecer
aos clientes um maior grau de autenticação e controle.
Auditoria de segurança em todos os níveis

A plataforma Veracode é hospedada em um datacenter muito seguro que é certificado anualmente com SSAE 16 Type II SOC I
Auditoria independente anual da Veracode pela Ernst & Young para a certificação SOC 2 e SOC 3 SysTrust

Li c e n c i ame n to

Licenciamento - Scans
GL-DEV
INT-APP-Static
• Unlimited
• Unlimited 1 customer INT-APP-WAS
assessments
APP • 1 customer app
• Per user
• Up to 50 MB APP • Unlimited
subscription
Accessments
SCA
• Assessments of third-party
INT-APP
Dynamic Anlysis
components
1 customer
Static Analysis
•
• Scans JAVA and .NET
• Unlimited assessments
found in software
application INT-AST-WAS
• Single assessment
INT-AST-Static • Difined as a single URL
• Single 1 customer static (scheme, host and port)
assessment
• No remediation assessments
• Up to 50 MB App
INT-APP-MICRO
• 1 customer
• Unlimited assessments
• Application microservice

Licenciamento – E-learn
Equipes de TI e DEV precisam de

conhecimento em codificação segura
para poderem inovar rápido e com Automated provisioning
segurança
• Compliance: Demonstrar formação

contínua em técnicas de codificação
seguras com foco na segurança, com
base nas melhores práticas da Activity reporting
indústria Security Application
• Governance: Monitorar o uso e avaliar Awareness Security
o conhecimento dos funcionários
Transcripts for
student CPE
• Education: Cursos de Segurança de
Aplicações individuais escritos por
desenvolvedores para
desenvolvedores, testadores e time de
Segurança Cloud-based platform
• Coverage: Forma rentável de treinar e
monitorar equipes geograficamente
distribuídas, terceiros e equipes de
desenvolvimento offshore

*A S T Mar ke t

The analyst view: Gartner
Description
Veracode is a U.S.-based, well-established and rapidly
growing provider of SAST and DAST cloud services,
software supply chain testing and mobile AST. For
SAST, Veracode has been a pioneer in the analysis of
binary code, not requiring the source code for
testing. Its 2012 acquisition of Marvin security
accelerated its mobile AST capabilities where it was also
an early innovator. In 2014, Veracode added
integrated software composition analysis
capabilities into its AST services for the identification
of vulnerable open source components.
Veracode's AST services will meet the requirements
of organizations looking for a broad set of AST services
— SAST, DAST and mobile AST — that want to
delegate their AST and SCA to a third-party expert with a
strong reputation for the quality of its services and
demonstrated innovation in application security.

Veracode Micro Focus IBM Checkmarx Qualys Synopsis, Sonar- Open
(Fortify) Cigital, Qube Source
SecureAssist (Various)
Static Analysis – Finding unknown º º º

vulnerabilities in your own code
Secure DevOps – Reduce cost & º
development disruption, increase
predictability of releases
Software Composition Analysis – Finding º º º
known vulnerabilities in open source
components in your software
Dynamic Analysis – Finding vulnerabilities in º º

web applications
Runtime Application Self Protection (RASP)
– Block attacks on application in real time
Manual Penetration Testing – Get an expert

to ethically hack your application
Developer Training – Educating developers º º
on secure development
Developer Coaching – One-on-one calls
with developers to help them fix
vulnerabilities
Application Security Consulting – Get
qualified advice on remediation and
mitigation
Security Program Management – Get help º
to build and run a successful AppSec
program
Accuracy – Low false positive rate º º º º º
Langugage Support – breadth of
programming languages
Integrations - IDEs, build systems, GRCs, º
ticketing systems

COMPETITORS:
STATIC
117
Buying Criteria
Criterion Micro Focus FoD Checkmarx IBM AppScan Veracode

Price No per-MB limit Cheaper for Complex licensing Easy model, $$$
smaller orgs for smaller orgs
Coverage ✓ ✓ ✓ ✓
Actionable Results Some remediation Automated Remediation

consulting guidance consulting &
automated
guidance
Low Noise/Low FP Noise filter Noisy (but Noisy ✓
tunable)
Fit with centralized Centralized, Minimal Hard to distribute ✓ Centralized,
appsec program dashboards, dashboards to developers dashboards,
“policy” policy, metrics
Scalable (ease of ✓ Hard to maintain Complex to set up ✓
use / time to start) and maintain
Fit with developer Some integrations, Integrations, faster Integrations Integrations, APIs,
process APIs Sandbox
Access to services Poor quality None Via Cigital ✓
Speed “1 day SLO”; really ✓ ? 60% 1 hr; 80% 4 hrs

2–3

Static Capabilities
Feature Micro Focus FoD Checkmarx IBM Veracode
Code scanning Source or bytecode Source Source Binary/bytecode,
technology source for some
languages
On premise Yes (separate Yes Yes No
product)
Cloud Yes Claimed Yes (new) Yes
FP reduction Yes (requires source) No No Yes, plus auto-publish
Policy engine Yes (limited) No No Yes
Analytics dashboards Yes (limited) No Yes (limited) Yes
Analytics ad hoc No No No Yes
Build integration Limited – custom Jenkins, Bamboo, No Jenkins, Maven, Ant,

Team City, TFS, Anthill TFS
Pro
IDE integration Eclipse, VS Eclipse, IntelliJ, VS Eclipse++, VS Eclipse, IntelliJ, VS
Ticketing integration HPE Quality Center Jira ClearQuest, HPQC,TFS Jira, Bugzilla
Remediation Automated Automated Automated Automated

guidance
Remediation Limited, via support No No Included
consulting

COMPETITORS:
DYNAMIC
120
Buying Criteria
Criterion WhiteHat IBM AppScan Micro Focus FoD Veracode
Price Most common Complex licensing Easy model Easy model
package very model
expensive
Coverage ✓ ✓ ✓ Affected by speed
Actionable Results ✓ ✓ ✓ Remediation

consulting
Low Noise/Low FP ✓ ✓ ✓ ✓
Fit with centralized Centralized No policy Centralized ✓ Centralized,

appsec program dashboards dashboards, “policy” dashboards, policy,
metrics
Scalable (ease of use / Long onboarding Complex setup, Cloud based, Cloud based,
time to start) times for apps requires expert user manually run scans automated scans
Fit with developer Appliance Tool, fast scans VPN tunnel APIs, VSA
process
Access to services Some, via partners Via Cigital Poor quality ✓
Speed Acceptable Quicker scans Three week Slower (now with

turnaround multithreading)

Dynamic Capabilities
Feature WhiteHat IBM AppScan Micro Focus FoD Veracode
Deployment model Cloud On Premise/Cloud Cloud (also tool) Cloud
Automated or manual Automated, A + manual By operator Automated, A + manual Automated, A + manual
Scan public web facing Yes Yes Yes Yes

apps
Scan internal web apps Yes, via appliance Yes, by operator Yes, via hole in firewall Yes, via VSA
FP reduction Yes By operator Yes Yes, plus autopublish
Scanner runtime model Production safe Manually configured Manually configured by Production safe OR
HPE multithreaded
Live scan status Yes Yes No Yes
Live scan control (pause, Yes By operator No Yes

stop, restart)
Continuous scanning Yes, with limited control No No Yes, via DynamicMP
APIs No Yes Limited Yes
Remediation guidance Automated Automated Automated Automated
Remediation consulting Extra cost, via partner No Poor Included

KEY
COMPETITORS
123
Micro Focus FoD
1. Micro Focus spin merge with HPE Software throws Fortify’s future into doubt
2. Fortify On Demand ≠ Fortify on premise
3. You can’t beat FoD with messaging alone
4. You can’t beat Veracode on program capabilities or our track record
5. There are holes in the Fortify On Demand offering that can serve as anti-Fortify
landmines—if you set the trap properly
1. FP rate
2. Poor dynamic support
3. Poor remediation coaching
4. Turnaround time

Checkmarx
Key Takeaways:
• Strengths: Price, time to initial results
• Weaknesses: FP rate, numerous gaps in coverage, services
Strengths Weaknesses
• Price & flexibility • High FP rate: 60-70% (80-90% for
§ 35k-50k for SMEs mobile)
§ 150k – 300k for Large Enterprises • Coverage gaps: mobile apps, Python,
• Time to initial results Perl, NodeJS, client-side JavaScript
§ Scan partial apps • Weak policy management & reporting
§ Simplified upload
• “UI is a tire fire”
§ Results as you scan
• Maintenance
• Custom queries
125
P ar c e i r o s & M3 C o r p

Oportunidades parceiros e MSP
• Venda do licenciamento
• Serviço de code review
• Implantação / consultoria de segurança no SDL/SDLC
• Treinamento para desenvolvedores
• Readout para remediação
• "Cópia" do serviços da Veracode

Diferenciais da M3Corp
• Somos um distribuidor de valor agregado

• Suporte especializado
• Planos de suporte
• Professional Services
• Webinars
• Treinamentos & certificações
• Materiais (manuais, base de conhecimentos, etc)
• Agilidade na geração de propostas
• Equipe de Pré-Vendas

1. Solução completa em plataforma unificada e integrada: SAST + DAST + MPT
2. É transparente para as equipes de desenvolvimento
3. Rápida implantação/atualização, escalabilidade e baixo custo (desnecessário
infraestrutura local e especialistas) -> viabilização de projetos (SaaS)
4. Fácil, simples e flexível integração no ciclo de desenvolvimento (SDLC) através de

API, IDE, Plugins e plataforma Web
5. Não somente identifica falhas e vulnerabilidades mas ajuda na solução das falhas
(Consultoria/Suporte para remediação/mitigação)
6. Redução de custos no ciclo de desenvolvimento, aumento de segurança e auto-
treinamento de desenvolvedores (Greenlight)
7. Fornece visibilidade executiva de compliance (SOX, HIPAA e NIST 800-53)
Q&A
130
O br i gado !

Treinamento Veracode V5.2 Export

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Treinamento Veracode V5.2 Export

Caricato da

Copyright:

Formati disponibili

Technical Training

M3Co rp Training Pro gram

© 2017 Veracode, Inc.

• Este treinamento de duração de aproximadamente 2 dias

2 © 2017 Veracode, Inc.

• Ao completar este treinamento você será capaz de:

3 © 2017 Veracode, Inc.

4 © 2017 Veracode, Inc.

© 2017 Veracode, Inc.

• Após desenvolvido, a versão é "jogada por cima da parede"

6 © 2017 Veracode, Inc.

• Grandes melhorias em qualidade e produtividade em relação

7 © 2017 Veracode, Inc.

• Fundamentalmente, o DevOps é uma extensão do Agile e suas

8 © 2017 Veracode, Inc.

• Automatização reflete em redução de tempo e erros humanos

9 © 2017 Veracode, Inc.

• Microservices são arquitetadas de forma stand-alone,

10 © 2017 Veracode, Inc.

• Gerenciar inúmeros de microservices sendo atualizado com

11 © 2017 Veracode, Inc.

© 2017 Veracode, Inc.

dos ataques são através de

das aplicações são reprovados

das aplicações Java contém

14 © 2017 Veracode, Inc.

0 das 10 melhores universidades de ciência da

dos desenvolvedores responderam corretamente

É a relação de profissionais de InfoSec

15 © 2017 Veracode, Inc.

16 © 2017 Veracode, Inc.

… Através das aplicações

17 © 2017 Veracode, Inc.

select * from accounts where name = ‘fulano’ and password = ‘12345’;

18 © 2017 Veracode, Inc.

Imagem adaptada: OWASP Top-10 2013

41% Apps 1 em cada 450

20 © 2017 Veracode, Inc.

Java Server Faces

21 © 2017 Veracode, Inc.

22 © 2017 Veracode, Inc.

23 © 2017 Veracode, Inc.

Rank Name Rank Name

[6] Missing Authorization [19] Use of a Broken or Risky Cryptographic Algorithm

[7] Use of Hard-coded Credentials [20] Incorrect Calculation of Buffer Size

24 © 2017 Veracode, Inc.

BUILD OR BUY TEST OPERATE

Integração e testes Segurança Verificação e

• Para desenvolvedores, • Security driven, • Gerenciamento de

25 © 2017 Veracode, Inc.

© 2017 Veracode, Inc.

BINARY STATIC ANALYSIS SOFTWARE

Realizar "MRI para Vulnerabilidades" "Lista de Materiais" para Identificar

28 © 2017 Veracode, Inc.

29 © 2017 Veracode, Inc.

Remediation Coaching Security Program

eLearning Manual Penetration Testing

30 © 2017 Veracode, Inc.

• Plataforma Cloud Based

31 © 2017 Veracode, Inc.

• Sistema de “Self-help” integrado à plataforam

32 © 2017 Veracode, Inc.

33 © 2017 Veracode, Inc.

© 2017 Veracode, Inc.