0
0
Este artigo foi escrito por Peter Gerdenitsch, CISO do Grupo Raiffeisen Bank International, e é baseado em uma apresentação feita durante o Programa de Educação Executiva da Imvision, uma série de eventos focados em como as empresas estão assumindo o ciclo de vida da segurança da API.
Lançando o programa “Segurança no Ágil”
Com sede em Viena, o Raiffeisen Bank International (RBI) opera em 14 países da Europa Central e Oriental com cerca de 45.000 funcionários. Nosso foco é fornecer soluções bancárias universais aos clientes, bem como desenvolver produtos bancários digitais para os mercados varejista e corporativo. Assim, a RBI tem uma divisão substancial de P&D, criando uma comunidade muito grande de profissionais de TI e engenharia em toda a Europa.
Em 2019, começamos a mudar para uma configuração ágil liderada por produtos para RBI, introduzindo várias funções de segurança contribuindo e colaborando para alcançar nossos objetivos estratégicos. Como parte dessa jornada, estabelecemos o papel de campeão de segurança dentro da equipe DevSecOps para cada um de nossos produtos. Além da nossa função central de “Design e Arquitetura de Segurança”, especialistas em segurança começaram a trabalhar juntos para apoiar os produtos na implementação de soluções seguras.
Mais do que tudo, assumir a propriedade sobre o aspecto de segurança de seu produto significava que os campeões de segurança estavam bem posicionados para garantir que as histórias relacionadas à segurança fossem priorizadas durante as reuniões de backlog, em alinhamento com os níveis aceitáveis de risco do proprietário do produto.
Também montamos tribos compostas por vários produtos associados a uma linha de negócios específica para promover um senso compartilhado de comunidade. Cada tribo recebeu outro papel: o “líder do capítulo de segurança”.
Esta função foi encarregada de apoiar os outros campeões de segurança em sua tribo com requisitos, avaliação de risco, padrões de design e arquitetura, graças à sua experiência aprimorada. Essas funções eram transparentes para que a portadora de conhecimento de segurança para cada produto e tribo fosse conhecida em toda a organização.
Finalmente, criamos uma comunidade de prática, que inclui reuniões mensais onde campeões de segurança de todos os diferentes produtos podem se reunir para trocar informações, ensinar estudos de caso e geralmente compartilhar conhecimento sobre sua prática. Começamos ainda a apoiar esse esforço da comunidade com boletins de segunda-feira, atualizações da semana e, em geral, incentivamos uma troca aberta de informações, conhecimentos e experiências.
Programa de treinamento de ‘Artes Marciais’ de Segurança
A ideia era – e ainda é – tornar o campeão de segurança um papel completamente voluntário, o que a princípio nos preocupou que não seríamos capazes de encontrar voluntários dispostos suficientes. Felizmente, o oposto era verdade, e conseguimos até recrutar duas pessoas para cada cargo para cobrir férias e licenças médicas. Parte do sucesso provavelmente vem do fato de que não limitamos o papel em termos de antecedentes, o que significava que também vimos muitos voluntários de várias funções de TI e negócios.
Para apoiar ainda mais esse papel, no início de 2020 montamos um programa de treinamento para nossos campeões de segurança com base no sistema de cinto das artes marciais. Tudo começou com um programa básico de treinamento de 3 dias em segurança que chamamos de treinamento da Faixa Amarela. Decolou e rapidamente obtivemos insights sobre o programa, o que resultou no lançamento de uma versão mais fina de 2 dias do Cinturão Amarelo que teve como alvo qualquer pessoa interessada em aprender mais sobre segurança.
Este programa mais curto e generalizado para todos destinava-se a promover a colaboração e a conscientização em toda a organização, destacando a importância da segurança no ciclo de vida do produto e a lógica por trás do programa campeão de segurança. O dia extra do programa campeão de segurança foi focado em aprender mais sobre as ferramentas específicas do RBI do comércio, especialmente o uso de ferramentas de digitalização de código-fonte e gerenciamento de identidade e acesso.
Com o tempo, montamos cursos de treinamento adicionais e mais avançados para ajudar os campeões de segurança a fazer seu trabalho de forma mais eficaz. Por exemplo, temos um curso de segurança de API e segurança em nuvem para aprofundar nosso conhecimento relacionado à segurança nesses domínios. Também incentivamos a certificação profissional por meio de cursos externos, fornecendo aos nossos campeões de segurança o orçamento e o tempo de aprendizado de que precisam para levá-los.
Assumindo o controle do nosso ciclo de vida de segurança da API
De acordo com a Diretiva de Serviços de Pagamento (PSD), nos últimos anos, os bancos têm sido cada vez mais obrigados – e esperados – a abrir suas APIs para permitir que os clientes acessem dados financeiros facilmente, inclusive por meio de ferramentas e aplicativos de terceiros.
Este regulamento catalisou um forte pivô para o uso da API que já estava em construção, e a postura e o consumo da API do RBI aumentaram drasticamente. Nos últimos anos, o RBI desenvolveu muitas APIs: hoje, nosso Mercado de APIs tem mais de 100 APIs expostas externamente, enquanto internamente, contamos ~1.000 APIs diferentes. O aumento na implementação e uso da API trouxe riscos de segurança, o que nos levou a pensar em maneiras de abordar a segurança da API.
Como nossa pegada de API não se limitava apenas às exigidas pelos regulamentos PSD, descobrimos rapidamente que não tínhamos necessariamente visibilidade consistente de todas as APIs que implantamos. Como muitas outras empresas em todo o mundo, fomos desafiados a obter uma visão central das APIs, considerando o alto volume e número de APIs em uso – para que possamos garantir que o nível adequado e adequado de segurança esteja em vigor.
Para enfrentar alguns desses desafios, decidimos criar o Centro de Excelência em Integração em Tempo Real (RICE), que serve como uma camada central de gerenciamento para o RBI, incluindo APIs que se conectam aos principais sistemas bancários legados das várias subsidiárias e empresas adquiridas.
Como mostrado no diagrama abaixo, a camada central de gerenciamento de APIs tem todos os microsserviços unidos, servindo a funcionalidade de negócios para as APIs e conectando-se do lado de fora aos vários canais e casos de uso. Esta camada é vantajosa para nós, pois nos permite melhorar a experiência, o desempenho e a segurança do cliente.
Do ponto de vista da segurança, de acordo com a abordagem ‘Segurança no Ágil’, cada uma das equipes de produtos incluiu um campeão de segurança. Eles trabalham com especialistas em domínio e o capítulo de segurança leva a coordenar medidas de segurança de acordo com os níveis de risco designados pelo proprietário do produto, adotando uma abordagem consultiva com o proprietário da empresa relevante definindo as prioridades.
Segurança da API: Chaves para o sucesso
Construir segurança de APIs sobre bases colaborativas fortes significa que nossos colegas de negócios e desenvolvedores são capazes de entender melhor o valor da segurança, por que precisamos fazer isso e a importância de proteger as APIs.
Mais importante ainda, ficou claro que a segurança da API era um empreendimento de grupo e que toda a equipe compartilhava a responsabilidade sobre essa área:
Do lado dos negócios, como as APIs são uma parte crucial da infraestrutura de TI da organização que deve ser exposta externamente, fica claro para eles que atores maliciosos tentariam penetrá-las posando como consumidores de APIs. O programa nos ajudou a perceber que a segurança da API é compartilhada entre o proprietário do produto e as equipes de segurança de TI.
Desde o final do produto, estar bem preparado, aprender com a experiência e implementar camadas adicionais de proteção são elementos-chave para proteger APIs.
Além disso, há um profundo entendimento compartilhado de que a segurança deve ser levada em consideração durante todo o desenvolvimento, mesmo desde o estágio de projeto, e que nenhum produto deve ser lançado sem testes de penetração completos.
A adesão e o alinhamento do gerenciamento são talvez um dos fatores mais importantes na implementação adequada da segurança da API em uma empresa. Garantir que eles estejam cientes da importância da segurança da API é fundamental para alcançar esse buy-in.
Outro fator-chave importante de sucesso é o nível de precisão da tecnologia de detecção com a qual você escolhe trabalhar em sua jornada de segurança da API. Quanto menos falsos positivos você receber, melhor você estará. Em essência, para APIs, isso significa que você pode detectar sequências de comportamento tentando manipular a lógica e fazê-lo em escala.
Para que a segurança funcione, fica claro que essa responsabilidade não deve recair sobre apenas um departamento, mas sim ser compartilhada por todas as equipes. Durante nossas reuniões com o Conselho de Administração da RBI, também nos concentramos nos benefícios da solução Imvision e em como ela nos permitiu focar nas principais vulnerabilidades, enquanto entendíamos onde os erros funcionais estão para priorizar a correção e economizar recursos.
Como com qualquer parceiro com quem você escolher trabalhar, o nível de cooperação é altamente importante. Em geral, a sensação era de que a plataforma da Imvison não fornece apenas um poderoso mecanismo de segurança, mas também uma vasta experiência, impulso positivo e capacidade de resposta às nossas necessidades.
FONTE: THE HACKER NEWS