0
0
Phil Richards, vice-presidente e CSO da Ivanti, explica como as organizações podem projetar processos e sistemas DevOps para frustrar ataques cibernéticos.
A segurança nunca deve ser uma reflexão tardia ao desenvolver software e aplicativos. No entanto, à medida que os avanços tecnológicos continuam a se instalar, as ferramentas de segurança em que muitos confiam estão mudando em tempo real, e combater possíveis violações ou hacks de seus produtos antes que eles surjam agora requer novas estratégias. Para ficar um passo à frente dos maus atores, é hora de reinventar o processo de desenvolvimento de aplicativos de “DevOps” para “DevSecOps”.
DevOps é uma evolução do ciclo de vida de desenvolvimento ágil para software que preenche a lacuna entre as equipes de desenvolvimento e operações. Ele quebra silos e aumenta a capacidade de uma organização de fornecer aplicativos e serviços mais rapidamente do que os modelos tradicionais de desenvolvimento de software. Anteriormente, o tradicional “método da cachoeira” exigia ciclos longos antecipadamente e resultava em processos extenuantes e tediosos – e no momento em que essas soluções eram consideradas prontas para lançamento, o mercado provavelmente havia mudado.
Hoje, as equipes ágeis de software têm ciclos de lançamento que são uma questão de dias ou horas, o que aumenta o risco de cometer erros e introduzir vulnerabilidades. Então, como as organizações podem produzir códigos e aplicativos mais seguros ao trabalhar em velocidades vertiginosas e frustrar possíveis ataques cibernéticos quando ainda não sabem como são esses ataques? Para reforçar a segurança cibernética de seus produtos, soluções e parceiros, uma empresa deve mudar de uma cultura DevOps para a cultura “DevSecOps”.
Comece Seguro, Fique Seguro
DevSecOps coloca a segurança na vanguarda do processo de desenvolvimento como um todo, garantindo que uma boa higiene cibernética permaneça no topo da mente para desenvolvedores e operadores do início ao fim. Essa mudança de mentalidade incentiva as organizações a encontrar as melhores abordagens possíveis para desenvolver código e aplicativos seguros – e há uma variedade de recursos e estratégias para ajudar as equipes de desenvolvimento a fazer exatamente isso.
Aqui estão alguns dos mais importantes:
- Estruturas de Segurança: É sempre melhor começar com um roteiro – e procurando recursos de terceiros para obter as melhores práticas, as organizações podem garantir que seu software esteja preparado para praticamente qualquer situação. Por exemplo, The Building Security In Maturity Model, também conhecido como BSIMM, é um ótimo recurso listando mais de 120 melhores práticas de segurança (como automação de testes de segurança por meio de análise estática e dinâmica), para ajudar as equipes de desenvolvimento a manter essas medidas em primeiro lugar ao projetar suas soluções.
- Treinamento em Código de Segurança: Os desenvolvedores não sabem o que não sabem – então cabe às organizações treiná-los sobre ameaças críticas e melhores práticas. Ao implementar treinamentos contínuos de conscientização sobre segurança, as organizações podem ter certeza de que suas equipes estão adequadamente preparadas para detectar e corrigir quaisquer vulnerabilidades em seus códigos e produtos.
- Portões de Segurança: Nos processos de compilação DevOps, os portões de segurança podem bloquear uma versão – dando às equipes de segurança e engenharia tempo adequado para determinar qual nível de gravidade desses bugs quebrará a compilação geral. Implementar portões de segurança ajudará as equipes a identificar com precisão o que precisa ser corrigido antes do lançamento.
- Implementando uma Estratégia de Segurança Multicamadas: Para garantir a segurança geral, as organizações devem tornar a segurança a responsabilidade de todos. Por exemplo, isso pode começar dando aos desenvolvedores ferramentas para detectar vulnerabilidades à medida que escrevem código e, em seguida, utilizando uma equipe interna para executar ferramentas de segurança de aplicativos estáticos e dinâmicos regularmente. Para segurança adicional, as organizações podem então trazer testadores externos para realizar testes de caixa preta e caixa cinza; ou, eles podem configurar um programa de recompensa de bugs e pagar aos pesquisadores de segurança para procurar vulnerabilidades que são mais difíceis de encontrar.
Por que as bibliotecas de terceiros são sua responsabilidade
Bibliotecas de terceiros como Apache Struts, Telerik UK (um terceiro. Biblioteca NET) e outros são considerados uma bênção e uma maldição para as organizações. Por um lado, as organizações podem alavancar o trabalho construído por outros, adaptá-lo e criar experiências mais ricas em cima dele, permitindo que elas tragam seus conhecimentos sem ter que fazer tudo do zero. Por outro lado, atualizações e atualizações contínuas das bibliotecas são necessárias para manter uma base de código limpa. Também é fácil importar código malicioso de repositórios de código.
Os desenvolvedores precisarão atualizar os kits de ferramentas para garantir que materiais de terceiros tenham suas vulnerabilidades corrigidas regularmente e em tempo real, porque mesmo os descuidos mais pequenos de sua equipe ou de seus parceiros podem resultar nas violações mais significativas. Na verdade, a Agência de Segurança Cibernética e de Infraestrutura (CISA) divulgou recentemente uma lista das vulnerabilidades de software mais exploradas e o Apache Struts foi a segunda tecnologia mais atacada da lista.
Os atacantes também costumam explorar vulnerabilidades em serviços web de código aberto, como o Apache Tomcat, que é empacotado em um número incontável de produtos.
O Jogo Contínuo de Whack-a-Mole
Ameaças e estilos de ataque que não existem hoje tentarão explorar vulnerabilidades em seus sistemas amanhã. No entanto, ao colocar a segurança na vanguarda e implementar uma cultura DevSecOps, as organizações estão melhor posicionadas para mitigar ameaças à medida que aparecem – e antes de causarem problemas ou interrupções.
A próxima onda de ameaças está chegando. Sua organização está preparada?
FONTE: THREATPOST