0
0
Na palestra de abertura da conferência de segurança Black Hat 2022, Chris Krebs , ex-diretor de segurança cibernética do Departamento de Homeland Securities, afirmou que a segurança vai piorar antes de melhorar. Por quê? Krebs disse que “o software permanece vulnerável porque os benefícios de produtos inseguros superam em muito as desvantagens”. Em vez de garantir a segurança, o foco em todo o ciclo de vida de desenvolvimento de software (SDLC) está vencendo a concorrência no mercado. Na verdade, a inovação é muitas vezes vista em desacordo com a segurança – a primeira acredita-se ser rápida e produtiva, e a última um obstáculo que sufoca o desenvolvimento rápido de aplicativos. Essa visão está se mostrando desatualizada no cenário de ameaças atual.
Com o aumento dos ataques cibernéticos, a cadeia de suprimentos de software é um alvo popular para os cibercriminosos que reconhecem a enorme interrupção que causam ao infectar códigos inseguros. Por exemplo, a agora infame vulnerabilidade Log4Shell representava um risco tão grande porque o Log4j de código aberto é tão comumente usado em aplicativos de software e serviços online em todo o mundo, e explorar a vulnerabilidade requer muito pouca experiência. Mais recentemente, os 25.000 plug-ins maliciosos encontrados em sites WordPress destacam o risco de segurança cibernética que muitas empresas enfrentam, apesar de acreditarem que estavam usando aplicativos e programas seguros em seus sites.
A inovação e a segurança devem, portanto, ser vistas sob uma única lente; um não é possível sem o outro. Ainda mais importante, a segurança não pode mais ser responsabilidade de uma equipe isolada. Deve ser uma prioridade para todos no SDLC.
O Dilema AppSec
Apesar do aumento do investimento no desenvolvimento de aplicativos, a mesma importância não está sendo aplicada à segurança. Em um espaço tão competitivo, os pioneiros tendem a receber a recompensa. Aqueles que entram no mercado com seu “primeiro produto viável” provavelmente estão analisando como esse produto pode atender aos clientes, não como ele pode ser usado com segurança. Com essas altas expectativas, as demandas de código dos desenvolvedores aumentaram 100 vezesnos últimos 10 anos, com 92% sentindo-se pressionados a escrever código mais rápido. Combine isso com o fato de que 53% não têm treinamento profissional de codificação segura, enquanto o número de novas vulnerabilidades no NISTO National Vulnerability Database aumentou mais de 200% nos últimos anos e parece que estamos em um dilema de segurança de aplicativos.
No entanto, não é um dilema insolúvel. A solução exige uma mudança completa na maneira como muitos veem a codificação e a inovação, com foco específico na mentalidade das pessoas. Ele coloca a segurança em primeiro lugar e reconhece que não há problema em ser mais lento no mercado se o produto final for mais seguro. De acordo com a lei de Boehm , “o custo de encontrar e corrigir um defeito cresce exponencialmente com o tempo” — um conceito que pode beneficiar os resultados das organizações que priorizam a segurança desde o início.
Estabelecer essa mentalidade de segurança em primeiro lugar é crucial – não apenas para a equipe de desenvolvimento, mas para todos que desempenham um papel no SDLC. Gerentes de produto e projeto, DevOps, designers de experiência do usuário (UX) e profissionais de garantia de qualidade (QA) influenciarão o resultado final e, portanto, precisam reconhecer o dilema atual da segurança de aplicativos e como esse desafio pode ser superado.
Acertar na educação integrada
Se as equipes não entenderem por que uma mentalidade de segurança em primeiro lugar é tão importante no desenvolvimento de aplicativos, elas nunca vão acreditar em comoele pode ser alcançado. Portanto, a educação de segurança de aplicativos integrada e contínua para toda a organização de desenvolvimento nunca foi tão importante. Para aqueles que criam o código, é importante fornecer aprendizado básico antes de exercícios práticos que falem diretamente sobre os problemas que eles enfrentam diariamente. Essa educação específica do desenvolvedor deve ser executada em paralelo com programas de treinamento de segurança de aplicativos básicos e avançados para aqueles com funções no SDLC que podem não necessariamente precisar de experiência prática. Esses tipos de iniciativas capacitarão toda a equipe a pensar de maneira diferente, tomar decisões mais informadas e integrar a segurança em todos os aspectos do desenvolvimento.
No entanto, é importante que as organizações entendam que a segurança de aplicativos evolui e muda constantemente. A construção de uma equipe voltada para a segurança que aplica os principais princípios da AppSec em todas as etapas do ciclo de desenvolvimento não pode ser realizada com um programa de treinamento “um e pronto”. Para garantir que as equipes mantenham essa mentalidade de segurança em primeiro lugar, um programa educacional contínuo e em evolução é fundamental.
Muitas organizações envolvem as equipes reconhecendo e celebrando os campeões de segurança, que lideram uma mudança no comportamento de segurança em toda a equipe. Ao oferecer incentivos ou recompensas para aqueles que aplicam consistentemente as melhores práticas de segurança em seu trabalho diário, eles incentivam os campeões a envolver outras pessoas e influenciar organicamente as mudanças. Por exemplo, medindo os resultados – como o número de vulnerabilidades em um código antes e depois dos programas de treinamento – e reconhecendo o sucesso, também é muito mais fácil obter a adesão do conselho e justificar o investimento em educação de codificação segura para os tomadores de decisão .
Inovar rapidamente e vencer a concorrência no mercado, ao mesmo tempo em que coloca a segurança em primeiro lugar, é possível quando as pessoas do SDLC fazem da segurança uma prioridade. Na verdade, à medida que o número de vulnerabilidades cresce e os ataques cibernéticos não mostram sinais de desaceleração, a codificação segura é essencial para que qualquer aplicativo seja bem-sucedido. Desde que todo o SDLC seja considerado em iniciativas de educação contínuas, sob medida e mensuráveis, a segurança não precisa piorar antes de melhorar.
FONTE: DARK READING