0
0
Oxeye revelou cinco previsões que devem moldar os gastos com segurança corporativa em 2023. As previsões seguem pesquisas em todo o setor, que mostram que o setor está se afastando da infraestrutura de software legado e padronizando aplicativos nativos da nuvem – resultando na necessidade de abordagens novas e mais eficazes à segurança de aplicativos nativos da nuvem.
Com base no feedback das implantações nos últimos 12 meses, a empresa está fazendo várias previsões sobre as tendências que considera prioritárias pelas organizações empresariais em 2023.
A segurança de aplicativos e a segurança da nuvem irão convergir
Nos próximos 12 meses, mais aplicativos serão criados usando uma abordagem nativa da nuvem do que a arquitetura monolítica tradicional. Os aplicativos distribuídos que usam contêineres serão afetados por um número crescente de vulnerabilidades que abrangem microsserviços e atravessam a camada de infraestrutura.
A distinção entre segurança de aplicativos e segurança em nuvem ficou claramente confusa, pois a segurança de aplicativos agora é afetada pela infraestrutura de nuvem subjacente, enquanto os profissionais de segurança em nuvem agora precisam levar em conta a camada de aplicativos em sua análise de caminho de ataque.
Para profissionais de segurança de aplicativos, isso significa que agora eles devem aprender a realizar uma análise precisa de aplicativos nativos de nuvem, que combinam análise de código, contêiner, cluster, nuvem e suas conexões e comunicações. Para profissionais de segurança em nuvem, isso significa encontrar uma maneira de adicionar a análise da camada de aplicativos à sua postura de segurança existente.
‘Deslocar para a esquerda’ se tornará ‘deslocar para qualquer lugar’
Na última década, as pessoas têm falado em mudar para a esquerda. A verdade é que quanto mais estática for sua análise, mais falsos positivos você obterá, junto com a fadiga do alerta. A execução de uma ferramenta SAST na verdade não informa qual é o risco de seu aplicativo, apenas que você tem várias vulnerabilidades, algumas reais, outras não. Há uma necessidade real de vincular a análise de tempo de execução aos sinais que você está recebendo de seus scanners estáticos, para que seja fornecido conhecimento contextual do que está acontecendo nos aplicativos.
A análise inteligente que combina os sinais derivados do usuário da análise estática com os sinais obtidos da análise de tempo de execução (mudança para a direita) fornecerá maior verdade sobre as vulnerabilidades em seus aplicativos e uma verdadeira compreensão de como elas contribuem para o risco geral.
Demanda séria do C-Suite por visibilidade das contribuições de risco dos aplicativos e das equipes que os criam
Os dias em que o maior desafio para a equipe appsec era ‘quais são as vulnerabilidades em nossos aplicativos e como corrigi-las?’ irá embora. Isso será substituído pela necessidade de estabelecer e relatar métricas sobre a contribuição de risco de cada aplicativo e a cadeia de responsabilidade para as equipes responsáveis por sua produção e segurança. Os líderes vão querer saber disso para que possam alocar recursos adequadamente para reduzir sua exposição geral ao risco.
Isso forçará as equipes do appsec a encontrar ferramentas que forneçam perfis de risco detalhados e de alta fidelidade para cada aplicativo sob seus cuidados, incluindo a ‘pontuação de risco’ de seus aplicativos (calculada a partir do total, tipo e níveis de gravidade das vulnerabilidades deixadas sem remediação), o tipo de dados que esses aplicativos coletam, transferem e armazenam e o número de registros coletados, entre outros.
Vulnerability Exploitability Exchange (VEX) se tornará mais popular
O gerenciamento de vulnerabilidades geralmente significa separar uma montanha de ruídos para descobrir o que realmente precisa ser corrigido e o que não precisa, priorizando os esforços de correção. Os profissionais da Appsec aumentarão suas demandas aos fornecedores de ferramentas para fornecer dados claros sobre os níveis relativos de risco que cada vulnerabilidade apresenta, para que não fiquem tentando adivinhar o que corrigir e tenham que atribuir recursos preciosos aos esforços de priorização manual.
Essa mudança exigirá um formato de dados claro e consistente para comunicar as informações de priorização que sejam legíveis por máquina para permitir automações e integrações. Como resultado, o Vulnerability Exploitability Exchange (VEX) se tornará mais popular.
A segurança da cadeia de suprimentos de software terá uma definição clara
Mas não é simples. Pergunte a 10 pessoas diferentes o que é a segurança da cadeia de suprimentos de software e você provavelmente obterá 10 respostas diferentes, algumas delas longas e confusas. À medida que a segurança da cadeia de suprimentos de software continua a receber mais escrutínio, uma definição mais precisa e consistente surgirá. Provavelmente não será uma definição simples de uma frase, mas categorias claramente definidas, onde cada uma tem suas próprias definições e requisitos.
“Os aplicativos nativos da nuvem são revolucionários quando se trata de agilidade nos negócios, mas a proteção dessas plataformas apresenta novos desafios, restrições e requisitos que impedem que as soluções tradicionais de segurança de aplicativos funcionem efetivamente nesses ambientes”, disse Ron Vider , CTO, Oxeye Segurança.
“Como este é um espaço em rápida evolução, a mudança para a segurança de aplicativos nativos da nuvem exige uma nova abordagem que analise de forma holística todos os componentes de software e a infraestrutura subjacente para garantir operações resilientes”, concluiu Vider.
FONTE: HELPNET SECURITY