Uma pesquisa recente feita pelo Enterprise Strategy Group (ESG) que mostra que, apesar da crença geral de que as equipes de segurança e desenvolvimento têm prioridades diferentes, a adoção DevOps e o foco na inovação de produtos mantêm as duas equipes alinhadas, mais integradas e colaborativas. De acordo com o levantamento, 58% dos entrevistados relataram que sua empresa está assumindo uma abordagem colaborativa para proteger seus aplicativos.
“Software continua sendo o principal impulsionador de inovação e crescimento econômico. Eliminar a percepção de que há um atrito entre os times de segurança e desenvolvimento é uma prioridade para os profissionais de TI”, afirma Pete Chestna, diretor de engajamento de desenvolvedores da Veracode, empresa de segurança de aplicativos líder global em soluções de proteção de software. “A percepção positiva de que é possível ter o alinhamento das equipes de segurança e DevOps, conforme indicado nesta pesquisa, mostra que as equipes de desenvolvimento podem e devem considerar a segurança como parte integrante do processo.”
O estudo do ESG indica que as corporações estão se tornando mais conscientes das ameaças cibernéticas e incorporando princípios e ferramentas de segurança em suas metodologias de desenvolvimento e implantação de software. E um dos aspectos que têm contribuído para essa maior conscientização tem sido a divulgação generalizada de grandes ataques cibernéticos nos últimos anos, servindo inclusive para demonstrar aos desenvolvedores de aplicativos que nenhuma organização ou aplicação está imune.
Os alvos de ataques recentes incluem órgãos governamentais, grandes websites, campanhas políticas, bancos, varejistas e outras organizações. E um novo tipo de vírus, denominado ransomware, que bloqueia os arquivos até o pagamento de um resgate, ganhou destaque, podendo afetar qualquer um, do usuário doméstico a grandes empresas. O ransomware que ficou mais famoso, o WannaCry, afetou mais de 200 mil sistemas em mais de 100 países em maio passado, incluindo a FedEx e o serviço nacional de saúde do Reino Unido. Ele atacou principalmente sistemas endpoints — dispositivos e servidores. O que os sistemas de endpoints atacados tinham em comum? A vulnerabilidade de software.
O aumento da divulgação dos ataques tem contribuído ainda para que a segurança cibernética agora seja também uma questão de diretoria, o que tem levado muitas organizações a contratarem um chefe de segurança da informação (Ciso). Não é por outro motivo que a importância das ferramentas de segurança de aplicações (AppSec) entre os participantes da pesquisa aumentou nos últimos dois anos. Dezoito por cento dos entrevistados pela ESG indicaram que os testes de códigos de software e a segurança de aplicativos foi a prioridade máxima das equipes de desenvolvimento, o que representa sete pontos percentuais acima do registrado na pesquisa de 2015. Da mesma forma, 62% dos participantes disseram que as AppSecs eram muito importantes, na comparação com 55% em 2015.
O relatório da ESG mostra ainda que as melhores práticas de segurança tornaram-se bem compreendidas e bem documentadas entre a comunidade de desenvolvedores de aplicações, portanto, não é nenhuma surpresa que 65% dos entrevistados indicaram que as melhores práticas foram um grande impulsionador da adoção de ferramentas de segurança de aplicações (ou seja, testes de segurança de aplicativos estáticos, ou SAST, e testes de segurança de aplicativos dinâmicos, ou DaST), bem como serviços como auditoria de código de terceiros ou serviços de teste. Muitas aplicações atuais devem cumprir os regulamentos relativos à segurança e regulamentos relacionados com a segurança, incluindo a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) dos EUA, a lei contra fraudes em resultados financeiros Sarbannes-Oxley, a Lei Federal de Gestão da Segurança da Informação (FISMA), o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS) e os Regulamentos Gerais de proteção de Dados, entre outros.Práticas recomendadas, conformidade e adoção do conceito de eficiência
Os desenvolvedores também entendem que encontrar e corrigir vulnerabilidades no início do ciclo de desenvolvimento oferece mais segurança e é mais eficiente do que descobrir vulnerabilidades durante a produção — ou, no pior dos casos, estão aprendendo da maneira mais difícil que uma vulnerabilidade foi explorada por um ataque cibernético bem-sucedido. Assim, além das melhores práticas, os desenvolvedores foram motivados a empregar ferramentas de segurança de aplicações por causa da necessidade de conformidade normativa (53%), eficiência (43%) e governança corporativa (40%).
Funcionalidade é a métrica de desenvolvedor mais importante
Confiabilidade e segurança andam de mãos dadas, pois uma vulnerabilidade é um defeito e afeta a confiabilidade. No entanto, mesmo com o reconhecimento crescente da importância das ferramentas de segurança de aplicações, os desenvolvedores ainda são avaliados principalmente pela funcionalidade de suas aplicações. Um terço (33%) dos entrevistados indicou que a métrica mais importante pela qual eles são avaliados é a funcionalidade do seu código e a capacidade de atender aos requisitos do usuário. Vinte e quatro por cento indicaram que são avaliados principalmente pela confiabilidade do código — por exemplo, baixa incidência de falhas, ou baixa média de tempo para resolução. Somente 18% disseram que são avaliados pela segurança do código — por exemplo, entregando o código sem vulnerabilidades mínimas.
A segurança pode ser vista como um obstáculo
Os desenvolvedores de aplicativos sabem que a segurança de aplicação efetiva não é fácil; eles devem entender tanto a funcionalidade que estão tentando implementar quanto como um invasor pode explorar seu código. Quanto mais complexa for a aplicação, maior a margem para ataques e maior a possibilidade de softwares mal-intencionados tirarem proveito disso. Embora a implementação de requisitos de segurança adicione complexidade e aumente o tempo de desenvolvimento, menos de um quarto (22%) dos entrevistados concorda ou concorda fortemente com a seguinte afirmação: "Nossa equipe de desenvolvimento de software vê a segurança como um obstáculo e evita trabalhar com nossa equipe de segurança". Mais de três quartos foram neutros ou discordaram desta afirmação, indicando que, enquanto a segurança da aplicação é vista como um obstáculo por uma minoria, isso pode ser um impedimento para o desenvolvimento da aplicação.
Ampla adoção de Agile e DevOps
A pesquisa ESG mostra claramente que Agile se tornou a metodologia de desenvolvimento de aplicações predominante, com apenas 5% das empresas entrevistadas indicando que não a adotaram. Cerca de um quinto (18%) das companhias pesquisadas utiliza Agile na maioria dos desenvolvimentos, e mais de um quarto (28%) utiliza Agile em mais da metade de seus projetos de desenvolvimento. Os restantes 32% disseram que adotam Agile em menos da metade dos desenvolvimentos. Sem surpresa, dada a sua natureza simbiótica, a adoção de DevOps parece ocorrer em sintonia com a adoção de Agile; apenas 6% das empresas disseram não adotar formalmente DevOps. Dezessete por cento dizem ter adotado extensivamente DevOps.
O DevOps é percebido como tendo um efeito líquido positivo, por agilizar o processo de desenvolvimento e possibilitar a integração dos testes de segurança. Quarenta e cinco por cento dos tomadores de decisões de TI disseram que a mudança para DevOps fez com que as equipes de desenvolvimento tivessem seu trabalho facilitado.
Além disso, quando se trata da eficiência por incorporar testes de segurança de aplicativos no processo de desenvolvimento, 43% dos entrevistados observaram que corrigir defeitos de segurança na fase de desenvolvimento é mais eficiente do que remendar sistemas em produção.
Automação de aplicações de segurança com DevOps
Dada a falta aguda de habilidades em segurança cibernética, cada corporação precisa ser mais eficiente operacionalmente. Um método para melhorar a eficiência é a automação. Os desenvolvedores de aplicativos e as equipes de segurança obtiveram benefícios ao automatizarem as aplicações de segurança com DevOps, facilitando a automação dos testes de segurança. Mais de metade (58%) dos entrevistados indicou que o DevOps permitiu a automação de DaST para monitoramento contínuo de aplicativos de web, enquanto 56% disseram que DevOps habilitou a automação de DaST para teste e garantia de qualidade de software (SQA, na sigla em inglês) antes da implantação, aprimorando a eficiência do desenvolvimento e a segurança de código.
Agile e DevOps são metodologias dinâmicas. Os componentes de software desenvolvidos externamente podem ser inseridos em aplicativos a qualquer momento, e rastreabilidade das vulnerabilidades pode ser desafiadora. Validação de rotina de composição de software para compreender a proveniência dos componentes pode melhorar a segurança do aplicativo. Quinze por cento dos entrevistados indicaram que realizam a análise da composição de forma programada, e 31% declararam que incluem a análise da composição como parte do processo de configuração do software. Mais de um terço (38%) das empresas afirmou estar avaliando os benefícios da análise da composição.
Mobile e cloud-first, equalizando prioridades
O desenvolvimento e implantação de aplicativos atualmente englobam mais do que a metodologia Agile e DevOps. O cenário digital mudou e as empresas perceberam que os usuários agora estão acessando mais conteúdo em seus dispositivos móveis do que de qualquer outro equipamento. O desenvolvimento baseado na filosofia “mobile primeiro” significa projetar aplicações para dispositivos móveis antes de projetar para o desktop, e exige uma abordagem nova envolvendo planejamento, projeto, desenvolvimento e segurança. Já a filosofia cloud-first, ou primeiro cloud, é a metodologia atual de implantação de aplicativos, análoga à mobile primeiro. Ao implantar aplicativos novos ou aperfeiçoar os existentes, as empresas devem considerar e avaliar totalmente as possíveis soluções de nuvem antes de considerar as infraestruturas novas ou herdadas. Em muitos casos, cloud-first oferece uma abordagem mais enxuta, mais eficiente e gerenciável para a funcionalidade corporativa do que arquiteturas herdadas.
AppSec: Cruzando fronteiras organizacionais
A pesquisa revela que em empresas com desenvolvimento de software tradicional, a equipe de segurança foi isolada da equipe de desenvolvimento. Muitas vezes, a segurança é um item relegado a segundo plano — algo a ser aparafusado ao aplicativo no final do processo de desenvolvimento. Isso levou a vulnerabilidades enormes, principalmente após o aplicativo ter sido comprometido e a companhia violada. No entanto, a ESG Research descobriu que as metodologias modernas de desenvolvimento de aplicações (AppDev) e DevOps fomentam a comunicação e a colaboração entre o desenvolvimento de aplicativos e as equipes de segurança, com o objetivo de identificar e corrigir vulnerabilidades o mais cedo possível, para aumentar a eficiência e a segurança.
Nenhum comentário:
Postar um comentário