0
0
Aplicativos e software modernos evoluíram à medida que a transição para a nuvem foi acelerada pela transformação digital generalizada, à medida que empresas de todos os tamanhos fizeram grandes investimentos em suas pilhas de tecnologia. Isso abriu as comportas para uma nova era de tecnologia, com desenvolvedores criando software para uso comercial em um nível muito mais alto do que anteriormente.
O progresso no desenvolvimento moderno de aplicativos não se traduz diretamente no mundo da segurança, no entanto, pois muitas vezes acaba sendo o aspecto que fica para trás. A segurança – especificamente os testes de segurança de software – sempre ficou para trás quando se trata de adoção generalizada. Mesmo que a transformação digital tenha revolucionado as operações de negócios em escala global, a falha em adotar práticas modernas de teste afetou a capacidade da segurança de evoluir simultaneamente com os tempos e a tecnologia. Algumas organizações não conseguiram reconhecer que toda nova tecnologia vem com a sobrecarga de novas fraquezas e vetores de ataque e um novo conjunto de testes necessários.
Embora muitos aplicativos modernos incluam recursos que organizações inovadoras anseiam em suas pilhas de tecnologia, esses aplicativos alimentados pelo futuro podem inadvertidamente descobrir algumas oportunidades para potenciais adversários. Pior ainda, muitas dessas vulnerabilidades podem ser negligenciadas pelas equipes de segurança à medida que aprendem a navegar por arquiteturas modernas que não são imediatamente adaptáveis às suas práticas típicas de teste de segurança.
Para manter uma abordagem mais proativa e defensiva, os profissionais de segurança precisam considerar incutir novos regimes e processos de teste para permanecer à frente da curva e garantir que suas respectivas organizações permaneçam protegidas sob sua vigilância.
Testes modernos de aplicativos são fundamentais para a visibilidade
Quando se trata de navegar na arquitetura moderna de aplicativos, o maior desafio para profissionais de segurança e gerentes de TI é processar o número de componentes diferentes que agora precisam ser agudamente levados em consideração em sua tomada de decisão, especialmente quando se trata de testes de segurança.
A tecnologia avançou de uma maneira que os desenvolvedores possam promulgar diferentes funcionalidades combinando vários módulos juntos (não apenas o código clássico, mas também diferentes contêineres, orquestrações, infraestruturas e APIs), mas cada um desses componentes exigirá seu próprio conjunto distinto de melhores práticas quando se trata dos testes de segurança necessários para proteger todo o aplicativo.
Testar cada componente moderno do aplicativo separadamente – a maneira como os testes de segurança foram historicamente feitos – não fornecerá mais a visibilidade holística necessária para analisar adequadamente a postura de segurança de uma organização, o que significa que os dias dos testes de soluções tradicionais já passaram.
Os profissionais de segurança precisam ter tudo testado juntos, como um aplicativo completo e com o contexto de todas as funcionalidades, para realmente entender como toda a pilha opera e se comunica. Isso não é apenas para cada bloco de construção da solução, mas os pontos de conexão entre cada bloco, pois esses pontos de correlação, representam alguns dos pontos de vulnerabilidade mais suscetíveis onde os adversários se escondem.
O debate shift left vs. shift right
Um grande contribuinte para as questões crescentes com os testes modernos de segurança de aplicativos está no debate shift left vs. shift right. Embora comum no setor de segurança, a conversa tende a gerar atrito na comunidade de desenvolvedores.
As abordagens Shift para a esquerda começam a produzir resultados vagos e gerais com o desenvolvedor escrevendo a primeira linha de código, e as vulnerabilidades podem ser capturadas o mais cedo possível. Por outro lado, shift right se alinha com onde as vulnerabilidades são detectadas mais perto da implantação completa do software, às vezes apenas em tempo de execução da produção.
Mudar para a direita geralmente é a abordagem mais fácil, pois fornece resultados mais precisos e acionáveis, permitindo que os desenvolvedores executem o código e encontrem os erros, mas nem sempre é a escolha desejável, pois muitas vezes a detecção é simplesmente tarde demais. Isso significa que as correções são mais difíceis, caras e, na pior das hipóteses, sua organização já poderia ter sido exposta a qualquer vulnerabilidade. Por outro lado, o turno para a esquerda permite que os desenvolvedores vejam os resultados dos testes de segurança o mais cedo possível, economizando tempo e dinheiro para as equipes de TI a longo prazo.
A chave para superar essa tensão é promover uma metodologia de teste indolor que possa ser imaginada como “uma plataforma para governar todos eles”. Ter uma plataforma que execute uma análise de todos os componentes relevantes – código, infraestrutura, APIs, contêineres e software de terceiros – tudo por um mecanismo que também leve em conta os pontos de correlação entre cada componente, fornece visibilidade holística necessária para arquiteturas de aplicativos modernas aprimoradas.
Além disso, isso permite que os profissionais de segurança aproveitem uma mentalidade de turno para a esquerda, pois ter os resultados e o contexto todos exibidos em uma plataforma fornece visibilidade em um estágio muito anterior e permite que as ações sejam tomadas em tempo real, em vez de depois que o software tiver sido totalmente implantado.
Tudo isso pode parecer bom demais para ser verdade – e é -, mas apenas por enquanto. A indústria está se movendo nessa direção, onde esses avanços nos testes de segurança são muito necessários, à medida que as organizações continuam adotando novos softwares e serviços a cada dia. À medida que a pilha média de tecnologia empresarial se torna cada vez mais em camadas com aplicativos novos e inovadores, todos eles serão inúteis e até perigosos se as vulnerabilidades dentro deles passarem despercebidas. O futuro da arquitetura moderna de aplicativos está aqui – as técnicas adequadas de teste de segurança também não deveriam seguir o exemplo?
FONTE: HELPNET SECURITY