La empresa británica de ciberseguridad Glasswall, especializada en la protección de archivos mediante la tecnología de desactivación y reconstrucción de contenido (CDR), sustituyó a Snyk, Wiz y Black Duck una única implementación de Aikido, consiguió la cobertura de VC Package C++ en dos semanas y desplegó Safe Chain en todos los procesos de producción que utilizan los paquetes compatibles.
De un vistazo
- Se han sustituido Snyk, Wiz y Black Duck Aikido
- El paquete VC con soporte para C++ se envía en un plazo de dos semanas desde la solicitud
- Función «AutoFix» con un solo clic para dependencias vulnerables
- Conectado directamente a los repositorios de Azure DevOps y a los registros de contenedores
- Integración de la seguridad del código, las dependencias y los contenedores en una única plataforma
- Safe Chain se ha implementado en todas las cadenas de producción que gestionan los paquetes compatibles
- Evaluación pentesting de IA como la próxima evolución de las pruebas ofensivas
Desafío.
Chris Holman dirige el departamento de seguridad de aplicaciones en Glasswall, una empresa británica de ciberseguridad dedicada a proteger a las organizaciones frente a amenazas basadas en archivos. Como proveedor de ciberseguridad, Glasswall evaluó sus AppSec con el mismo rigor que aplica a sus propios productos.
Cuando Chris asumió el cargo, AppSec de Glasswall se había ido ampliando con el tiempo hasta abarcar a múltiples proveedores.
Snyk análisis de dependencias. Wiz se ocupaba del análisis a nivel de código. Black Duck la gestión del código abierto. SonarQube se encargaba de la calidad del código. Cada herramienta resolvía un problema específico, pero juntas generaban complejidad operativa. Los desarrolladores ya habían tenido malas experiencias con herramientas que generaban resultados en los que no podían confiar, y el equipo de seguridad dedicaba tiempo a distinguir lo relevante de lo irrelevante en lugar de solucionar problemas.
«Teníamos Snyk, Wiz y Black Duck diferentes partes del sistema. Cada una de ellas era una buena herramienta por sí sola. Juntas, eran un desastre».
La superposición entre herramientas dio lugar a resultados duplicados, una priorización fragmentada y unos gastos de gestión cada vez mayores. Además, el impacto de las adquisiciones había superado el valor que el equipo obtenía a cambio.
Al mismo tiempo, el entorno C++ del equipo planteó otro reto. Glasswall depende en gran medida de VC Package, un sistema de gestión de dependencias que muchos escáneres modernos o bien no admitían del todo, o bien lo hacían de forma deficiente. El equipo necesitaba una solución de cobertura que funcionara directamente con su entorno, en lugar de obligar a los equipos de ingeniería a recurrir a soluciones provisionales.
«Nuestro entorno depende en gran medida de VC Package. La mayoría de los escáneres que evaluamos o bien no lo admitían o lo hacían de forma deficiente. Aikido se comprometió a implementarlo y lo hizo en dos semanas».
Solución
Para Chris, lo que más marcó la diferencia fue la rapidez de ejecución y la capacidad de respuesta.
Mientras que los grandes proveedores seguían ciclos de lanzamiento trimestrales, Aikido ponía a disposición las funcionalidades solicitadas en cuestión de semanas. La compatibilidad con VC Package se convirtió en el ejemplo más claro. Tras recibir la solicitud de Glasswall, Aikido proporcionó una solución lista para su implementación en un plazo de dos semanas. Esa capacidad de respuesta cambió de inmediato la valoración.
Durante el proceso de evaluación, Glasswall también ejecutó Aikido en paralelo con Wiz utilizando el mismo código base de producción. Los resultados fueron tan similares que resultó difícil pasar por alto los aspectos económicos.
«Probamos Aikido y Wiz al mismo tiempo. Los resultados fueron similares, y Aikido costaba una fracción del precio. En ese momento tomamos la decisión».
Además, Aikido se integró directamente en los repositorios de Azure DevOps y los registros de contenedores de Glasswall, lo que proporcionó al equipo una visión centralizada del código, las dependencias y los contenedores.
La implementación siguió el mismo ritmo. En tan solo un día, Glasswall pasó de no tener ninguna implementación de Aikido a contar con una cobertura total en todos los pipelines. Conectar los repositorios de Azure y los registros de contenedores fue cuestión de un clic, en lugar de tener que crear plantillas de pipeline o integrar herramientas de la CLI manualmente, lo cual resultaba fundamental para un pequeño DevSecOps en el que el tiempo de ingeniería es el recurso más escaso.
Glasswall también ha implementado Aikido Safe Chain en todas las cadenas de producción que gestionan paquetes compatibles. A raíz de los recientes incidentes en la cadena de suministro, que han puesto de manifiesto la rapidez con la que pueden propagarse los paquetes maliciosos, Safe Chain comprueba las dependencias antes de su instalación, en lugar de basarse únicamente en las bases de datos públicas de CVE.
«No basta con confiar en las bases de datos públicas de CVE para saber si un problema afecta o no a tu paquete. Es necesario analizar a fondo ese paquete y asegurarse de que es seguro utilizarlo antes de instalarlo».
En el caso de las actualizaciones de dependencias vulnerables, Glasswall ha reducido considerablemente el esfuerzo de ingeniería manual necesario. Ahora, los desarrolladores pueden ver tanto el hallazgo como el proceso de corrección en el mismo flujo de trabajo, con solicitudes de incorporación de cambios automatizadas generadas directamente por Aikido.
«En el caso de las dependencias más vulnerables, basta con pulsar un botón. La solicitud de incorporación de cambios ya está ahí, la prueba también, así que solo hay que fusionarlas».
Para Glasswall, la hoja de ruta era tan importante como la funcionalidad actual. Como empresa de ciberseguridad, el equipo no solo estaba evaluando el estado actual AppSec , sino también hacia dónde se encaminaban las pruebas de seguridad ofensivas en los próximos años. pentesting de IA como una señal importante. Para Chris, esto demostraba que Aikido estaba invirtiendo más allá de los flujos de trabajo de análisis tradicionales y reflexionando sobre cómo evolucionarían las pruebas de seguridad ofensivas en los próximos años.
«Lo que estáis haciendo con pentesting de IA con múltiples agentes pentesting de IA se va a convertir en la nueva norma. Los programas de recompensa por errores no son una práctica en desuso, pero muchos investigadores están recurriendo ahora a la IA. ¿Por qué no podemos adoptar nosotros mismos la IA para encontrar vulnerabilidades?»
Por qué Glasswall eligió Aikido
En última instancia, varios factores motivaron la decisión:
- El paquete VC y la compatibilidad con C++ estarán disponibles en dos semanas
- Integraciones nativas con Azure DevOps y el registro de contenedores
- Resultados comparables a los de Wiz a un coste considerablemente menor
- Integración de la calidad del código en una misma plataforma
- AutoFix con un solo clic para la corrección de dependencias
- Una hoja de ruta orientada a las pruebas de seguridad ofensivas basadas en la inteligencia artificial
Resultados
El resultado más evidente fue la consolidación. Snyk, Wiz y Black Duck sustituidos por una única implementación de Aikido que abarca el código, las dependencias y los contenedores. El impacto fue más allá del ahorro en las compras. La consolidación redujo la complejidad operativa, simplificó el establecimiento de prioridades y proporcionó al equipo de seguridad un único flujo de trabajo, en lugar de un conjunto de herramientas fragmentadas repartidas entre varios proveedores.
Glasswall también sigue ampliando su cobertura a nuevas superficies de ataque. Una de las próximas prioridades es proteger la propia infraestructura de los agentes de compilación.
«Los agentes de compilación son nuestro objetivo principal. Es fundamental asegurarnos de que cuentan con una estructura de seguridad en capas sólida. El uso de Aikido Device Protection para nuestros agentes de compilación garantizaría la seguridad de todo el ecosistema».
Para Chris, las pruebas ofensivas asistidas por IA constituyen uno de los cambios más importantes que se están produciendo actualmente en el ámbito de la seguridad de las aplicaciones.
pentesting de IA convertirán en la nueva norma. Muchos investigadores ya están utilizando la IA para detectar vulnerabilidades. Los equipos de seguridad deben adoptar el mismo enfoque».
Cómo utiliza Glasswall el aikido hoy en día
Actualmente utilizo
- SCA SAST SCA
- Paquete VC / Cobertura de dependencias en C++
- Escaneo de contenedores
- Detección de secretos
- Calidad del código
- Safe Chain para la protección de la cadena de suministro
- Corrección automática con IA
- Integraciones de Azure DevOps y el registro de contenedores
Próximos planes
- Protección de dispositivos Aikido para agentes de compilación
Evaluación
Veredicto final
«Para nosotros, lo importante es el enfoque humano. Necesitamos un socio que pueda seguir nuestro ritmo, y Aikido lo hace».
