0
0
Em 2 de março, a Casa Branca anunciou oficialmente sua Estratégia Nacional de Segurança Cibernética (NCS). O documento de política aborda uma ampla gama de questões centradas em torno de cinco pilares. Desde a necessidade de proteger a infraestrutura crítica até o combate às gangues de ransomware, este documento estabeleceu metas admiráveis para o futuro da segurança cibernética nos Estados Unidos.
O NCS se concentra nos resultados: colaboração internacional mais forte, maior responsabilidade no setor privado e maior resiliência. No entanto, o documento é leve sobre processos e especificidades. Para que essas políticas tenham sucesso na prática, o governo deve mudar seu foco e reconsiderar como pensa sobre a segurança dos ativos digitais e físicos de nossa nação. Para realizar a visão estabelecida no NCS, devemos nos concentrar menos nos resultados e mais nos processos. A segurança cibernética abrangente exigirá que as organizações considerem como proteger os ativos no nível de aplicativos e dados, em vez de se concentrar apenas na infraestrutura local e na nuvem. Aqui está o porquê.
Colocando o ônus sobre as corporações
O aspecto mais notável do NCS é o seu foco em um novo fardo corporativo. No informativo divulgado juntamente com a estratégia completa, a Casa Branca argumenta: “Devemos reequilibrar a responsabilidade de defender o ciberespaço, transferindo o fardo da segurança cibernética para longe de indivíduos, pequenas empresas e governos locais, e para as organizações que são mais capazes e melhor posicionadas para reduzir os riscos para todos nós”. Esse princípio aponta diretamente para as empresas de tecnologia de nossa nação – as organizações que impulsionam a inovação e a digitalização.
Mais uma vez, esta é uma estratégia sensata e louvável. No entanto, a ênfase da Casa Branca na responsabilidade corporativa desmente o fato de que muitas organizações não sabem como garantir seus ativos mais importantes – elas podem nem saber por onde começar. Pesquisas de mercado recentes sobre segurança de dados descobriram que a indústria está lutando até mesmo para atender aos requisitos básicos. Temos um longo caminho a percorrer e precisaremos de liderança e orientação do governo federal para ajudar essas empresas a alcançar nosso objetivo coletivo.
Superfícies em expansão e interdependências emaranhadas
Há uma década, as organizações enfrentavam um desafio fixo ao proteger seus ativos. Seus recursos mais valiosos estavam sob seu controle físico, de modo que eles foram capazes de estabelecer um perímetro e limitar o acesso a usuários autorizados.
A ascensão da computação em nuvem – e a explosão de aplicativos e microsserviços que a acompanharam – derrubaram completamente essa abordagem de segurança. As empresas agora devem usar software baseado em nuvem para se manterem ágeis e competitivas. No entanto, aplicativos baseados em nuvem e interfaces de programação de aplicativos (APIs) expandiram drasticamente as superfícies de ataque potenciais para os agentes mal-intencionados. À medida que as empresas adicionam novas APIs e aplicativos, seus ativos e arquiteturas começam a se desviar, e as abordagens de segurança existentes não conseguem acompanhar a evolução das vulnerabilidades. Em 2021, uma API não autenticada permitiu que um ator mal-intencionado baixasse dados pessoais de milhares de clientes da Peloton.
Quando a Casa Branca enfatiza a necessidade de as organizações serem responsáveis pela segurança, ela ignora a realidade atual de que nossas organizações estão interconectadas por uma rede emaranhada de aplicativos e microsserviços. Uma grande empresa pode tomar todas as medidas necessárias para proteger sua própria infraestrutura, mas um elo fraco entre seus parceiros de microsserviços terceirizados pode resultar no mesmo resultado negativo.
Entendendo como alcançamos resultados de segurança
Assim como as empresas mudaram a maneira como protegem seus ativos, elas também mudaram a maneira como constroem esses ativos. Dez anos atrás, as empresas de tecnologia lançavam novos produtos ou atualizações importantes com fanfarra em um cronograma predeterminado. Hoje, o aumento da integração contínua e da entrega contínua (CI / CD) significa que novos recursos são lançados constantemente ou até mesmo testados em produção. Como resultado, o código e as configurações do aplicativo mudam 10 vezes mais frequentemente do que a infraestrutura de nuvem e a própria rede.
O aumento do ritmo das mudanças de código, combinado com nossa crescente rede de interdependências, significa que as organizações enfrentam uma tarefa impossível ao tentar proteger seus aplicativos e infraestrutura. De acordo com uma pesquisa recente do Gartner, a porcentagem de APIs de terceiros usadas em aplicativos será em média de 30% até 2025. A IDC estima que 40% das empresas enviarão código para produção diariamente até 2024. Os testes de segurança existentes se concentram em ativos específicos ou alterações no código, facilitando a perda de dependências e fluxos de dados que podem se tornar vulneráveis nessas arquiteturas hipercomplexas.
Uma abordagem eficaz de segurança cibernética deve se concentrar nos próprios aplicativos e nos dados que viajam entre eles. Em vez de ampliar a infraestrutura de uma organização e adotar uma abordagem míope e baseada em perímetro para protegê-la, precisamos reduzir o zoom para examinar toda a rede de aplicativos, APIs e microsserviços. As organizações devem ser capazes de controlar como as alterações no código reverberam em todo o sistema e detectar vulnerabilidades que surgem como resultado.
Uma estratégia de segurança cibernética fundamentada na realidade e na colaboração
O quinto e último pilar do NCS enfatiza a necessidade de colaboração entre aliados internacionais, reconhecendo que dependemos uns dos outros para a segurança geral do nosso mundo digital. À medida que trabalhamos para implementar os princípios do NCS, devemos reconhecer que essas dependências também existem no setor privado. A Casa Branca deve ser realista sobre como nossos sistemas de tecnologia funcionam e como as empresas de tecnologia estão agora para sempre interligadas, para o bem ou para o mal.
Para realmente proteger os ativos cibernéticos dos Estados Unidos e estabelecer um ambiente seguro para a inovação digital, a Casa Branca deve colocar a segurança de aplicativos em produção no centro de sua estratégia de segurança cibernética. Se usarmos nossos recursos para enfrentar os desafios de segurança de 10 anos atrás, não conseguiremos enfrentar as verdadeiras ameaças que enfrentamos em 2023 – e ficaremos irremediavelmente atrasados em nossa capacidade de enfrentar as ameaças que podem surgir nos próximos 10 anos.
FONTE: DARK READING