0
0
Se você quiser melhorar a segurança do seu software — e você deve — então você precisa do Modelo de Segurança predial em maturidade (BSIMM),um relatório anual sobre a evolução das iniciativas de segurança de software (SSIs). A última iteração, BSIMM11, é baseada em observações de 130 empresas participantes, principalmente em nove verticais do setor e abrangendo múltiplas geografias.
O BSIMM examina as atividades de segurança de software, ou controles, sobre os quais as organizações estão realmente gastando tempo e dinheiro. Essa visão do mundo real — práticas reais em oposição à ideia de boas práticas de alguém — é refletida nas descrições escritas para cada uma das 121 atividades incluídas no BSIMM11.
Uma vez que o BSIMM é completamente baseado em dados, este relatório é diferente de qualquer anterior. Isso porque o mundo da segurança do software evolui. As mudanças no BSIMM11 refletem essa evolução. Entre eles:
Novas atividades de segurança de software
O BSIMM10 adicionou novas atividades para refletir a realidade de que algumas organizações estavam trabalhando em maneiras de acelerar a segurança para corresponder à velocidade com que a empresa entrega funcionalidade ao mercado.
Para eles, o BSIMM11 adiciona atividades para implementar testes de segurança orientados a eventos e publicar dados de risco para artefatos implantáveis. Esses refletem diretamente a evolução contínua dos DevOps e devSecOps e sua intersecção com grupos tradicionais de segurança de software.
Não basta mudar para a esquerda: mude para todos os lugares
Quando os autores do BSIMM começaram a escrever sobre o conceito de mudança deixada por volta de 2006, ele estava se dirigindo a um público de nicho. Mas o termo rapidamente se tornou um mantra para os fornecedores de produtos e em conferências de segurança, dominando apresentações e painéis de discussão. Na conferência RSA de fevereiro de 2020 em São Francisco, você não poderia passar por nenhuma das sessões na faixa DevSecOps Days sem ouvi-la várias vezes.
E o ponto é importante: não espere até o final do SDLC para começar a procurar vulnerabilidades de segurança.
Mas o conceito nunca foi feito para ser tomado literalmente, como em “shift (only) left”.
“O que realmente queríamos dizer é mais precisamente descrito como mudança em todos os lugares— para conduzir uma atividade o mais rápido possível, com a maior fidelidade, assim que os artefatos dos quais essa atividade depende forem disponibilizados”, disse Sammy Migues, cientista principal da Synopsys e coautor do BSIMM desde o seu início.
Engenharia exige segurança em velocidade
Talvez você possa chamar isso de mover a segurança para as bases. Porque enquanto em algumas organizações rastreadas no BSIMM há apenas um pequeno grupo centralizado de segurança de software focado principalmente em governança, em um número crescente de casos equipes de engenharia agora realizam muitos dos esforços de segurança de software, incluindo CloudSec, ContainerSec, DeploymentSec, ConfigSec, SecTools, OpsSec, e assim por diante.
Isso está rendendo resultados mistos. Sendo ágeis, essas equipes podem realizar essas atividades rapidamente, o que é bom, mas pode ser muito rápido para as equipes de gestão avaliarem o impacto sobre o risco organizacional. Não muito bem. Poucas organizações até agora harmonizaram completamente os esforços centralizados de segurança de software de governança e os esforços de segurança de software de engenharia em um programa coeso, explicativo e defensável de gerenciamento de riscos.
Ainda assim, grupos de engenharia estão deixando claro que a velocidade do recurso é uma prioridade. Ferramentas de teste de segurança que são executadas em cadência e invisivelmente em suas ferramentas — mesmo ferramentas gratuitas e de código aberto — provavelmente têm mais valor hoje do que ferramentas comerciais mais completas que criam ou parecem criar mais atrito do que benefícios. A mensagem: adoraríamos ter segurança em nossos fluxos de valor — se você não nos atrasar.
A nuvem: Divisão de responsabilidade
As vantagens de se mudar para a nuvem são bem conhecidas. É mais barato, facilita a colaboração de uma força de trabalho dispersa, e aumenta a mobilidade, o que é praticamente obrigatório durante uma pandemia estendida.
Mas usar a nuvem efetivamente também significa terceirizar para o fornecedor de nuvem pelo menos partes de sua arquitetura de segurança, provisionamento de recursos e outras áreas de prática de segurança de software que são tradicionalmente feitas localmente.
Como observa o BSIMM, “os provedores de nuvem são 100% responsáveis por fornecer software de segurança para as organizações usarem, mas as organizações são 100% responsáveis pela segurança do software”.
Transformação digital: Todo mundo está fazendo isso
Os esforços de transformação digital são generalizados, e a segurança do software é um elemento-chave disso em todos os níveis de uma organização.
No nível executivo (SSI), a organização deve mover suas pilhas de tecnologia, processos e pessoas em direção a uma estratégia automatizada-primeira.
No nível SSG, a equipe deve reduzir a dívida analógica, substituindo documentos e planilhas por governança como código.
No nível de engenharia, as equipes devem integrar inteligência em suas ferramentas, ferramentas, ambientes, software e em todos os outros lugares.
Segurança: Ficando mais fácil — e mais difícil
As atividades de segurança de software fundacional estão simultaneamente ficando cada vez mais fáceis. O inventário de software costumava ser uma planilha do Excel com nomes de aplicativos. Em seguida, tornou-se um banco de dados de gerenciamento de configuração (principalmente desatualizado).
Agora, as organizações precisam de inventários de aplicativos, APIs, microsserviços, código aberto, contêineres, código de cola, código de orquestração, configurações, código-fonte, código binário, execução de aplicativos, etc. A automação ajuda, mas há um enorme número de peças móveis.
“Principalmente, vemos isso implementado como uma aceleração significativa na automação de processos, na aplicação de algum tipo de inteligência através de sensores para evitar que as pessoas se tornem bloqueadores de processos, e no início de uma aceitação cultural que ir mais rápido significa que nem tudo (todos os testes de segurança desejados) podem ser feitos em banda do ciclo de vida de entrega”, disse Migues.
Seu roteiro para uma melhor iniciativa de segurança de software começa aqui
Há muito mais detalhes no BSIMM11, que relata em profundidade sobre as 121 atividades agrupadas sob 12 práticas que, por sua vez, estão agrupadas em quatro domínios: governança, inteligência, pontos de contato do ciclo de vida do ciclo de desenvolvimento de software seguro (SSDL) e implantação.
Além de ajudar uma organização a iniciar um SSI, o BSIMM também lhes dá uma maneira de avaliar a maturidade de seu SSI, de “emergente”, ou apenas começando; ao “amadurecimento”, ou seja, em funcionamento, incluindo algum apoio executivo e expectativas; para “otimizar”, que descreve organizações que estão afinando suas capacidades de segurança existentes para corresponder ao apetite de risco e ao tamanho certo de seu investimento para a postura desejada.
Onde quer que as organizações estejam nessa jornada, o BSIMM fornece um roteiro para ajudá-las a alcançar seus objetivos.
FONTE: INFOSEC ISLAND