0
0
Há um “grande despertar da segurança cibernética” acontecendo entre as empresas. Neste momento, precisamos de uma nova abordagem fundamental para o desenvolvimento, por isso não estamos constantemente combatendo incêndios.
Quase dois anos após a pandemia, as organizações estão reconhecendo que suas equipes podem nunca mais estar juntas em um só lugar. Isso pressionou uma adoção em massa de serviços em nuvem e aplicativos SaaS para permitir que suas forças de trabalho distribuídas. A pandemia também alimentou um aumento nos crimes cibernéticos, com os criminosos aproveitando a transição caótica para o trabalho remoto para atingir sistemas vulneráveis e lançar ataques devastadores de ransomware e cadeia de suprimentos. Compreensivelmente, as equipes de segurança estão recalibrando e organizando onde mais investimentos em segurança são necessários no ano novo.
A comunidade de desenvolvimento de software está respondendo a esses desenvolvimentos e reconhece que a aproximação da segurança como uma reflexão posterior incentiva ataques e seus danos resultantes. Cada vez que um aplicativo é atualizado com novas funcionalidades, há potencial para introduzir vulnerabilidades exploráveis.
Vulnerabilidades podem ser introduzidas de várias maneiras. A pressão para entregar recursos inovadores e levar os produtos ao mercado rapidamente muitas vezes força as práticas de segurança para o lado da maneira, resultando na liberação de códigos vulneráveis. O uso de códigos e componentes pré-construídos e as idiossincrasias das várias linguagens de programação também podem introduzir vulnerabilidades de software. Mesmo quando os desenvolvedores seguem práticas seguras de codificação, cibercriminosos altamente motivados estão procurando vulnerabilidades em uma coleção de códigos a serem explorados onde os desenvolvedores podem estar trabalhando apenas dentro de um pequeno subconjunto de código e não ver o quadro geral. De qualquer forma, a vulnerabilidade é tratada através de outras atualizações de aplicativos, o que perpetua o ciclo.
Diante dessa luta difícil, os fornecedores de aplicativos terão que se perguntar como podem construir segurança no nível de que precisam em seus aplicativos. Para muitos deles, a resposta será incorporar o que eu chamo de “micro-detecção” em seus aplicativos.
A microdestecção pode resultar em software resiliente
A maioria dos softwares hoje em dia é composta por componentes independentes e acoplados que executam cada processo de aplicativo como um serviço. Esses serviços funcionam e entregam em uma capacidade autônoma, mas quando são combinados, o todo é muito maior do que a soma das peças. A segurança cibernética, no entanto, não acompanhou essa evolução. Ele ainda vê o aplicativo na totalidade, dificultando a mitigação efetiva dos riscos introduzidos pela arquitetura de microsserviço. A quebra de um aplicativo em microsserviços discretos aumenta a superfície de ataque desse aplicativo, à medida que seus pontos de entrada e caminhos de comunicação são espalhados por vários ambientes. A abordagem de alto nível da segurança cibernética não é adequada para detectar e lidar com vulnerabilidades nesses tipos de aplicativos modernos.
A detecção vai ter que chegar ao nível micro para trabalhar efetivamente com microsserviços. Imagine a detecção como um conjunto de pequenos recursos de serviço que podem sentar e monitorar as alterações dentro de um microatendimento. Quanto mais perto podemos chegar da fonte, mais rápido e fácil é monitorar uma reação em cadeia que pode levar a uma exploração ser ativa. A prevenção é ótima, mas está muito perto de uma exploração ser ativa. Isso pode ser controverso para algumas pessoas, mas você precisa de uma vacina para prevenir uma doença, e quanto mais cedo você obtê-la melhor você está protegido, mesmo que você nunca entre em contato com o vírus.
Então, como você sabe quando tomar essa vacina e qual tomar? Você tem que ver o que está acontecendo e realmente entender o impacto potencial. A única maneira segura de alcançar esse resultado é que os desenvolvedores considerem como cada serviço que estão desenvolvendo poderia potencialmente ser explorado e como cada exposição funcionaria de um serviço para o outro. Então eles precisarão considerar o potencial para recursos de detecção.
Isso provavelmente significa que os desenvolvedores terão que identificar anomalias potenciais — um desvio da linha de base em algum código de microsserviço, por exemplo — que podem fornecer um “gatilho” para detecção. Uma única anomalia em um microsserviço por si só pode ser interessante, mas não particularmente importante. Mas quando combinado com cinco ou seis outras anomalias específicas no mesmo conjunto de funcionalidades que abrangem vários microsserviços, pode indicar algo mais crítico. Algoritmos de aprendizagem de máquina poderiam reconhecer essas anomalias como um padrão e sinalizar para investigação. Dessa forma, os desenvolvedores podem construir uma série de ganchos no nível de microsserviço que poderia apontar o caminho para uma ameaça à segurança quando vistos juntos.
Tornar a micro detecção uma realidade exigirá uma mudança significativa de paradigma. A funcionalidade e a segurança do recurso do aplicativo precisam ser manuseadas por equipes independentes separadas. Hoje muitas empresas têm desenvolvedores que também são responsáveis pela segurança. Separar igreja e estado é importante, a raposa não pode estar no galinheiro, escolher sua analogia; caso contrário, você acaba com problemas de cadeia de suprimentos. O que é necessário é uma abordagem ágil de segurança e desenvolvimento que una as duas disciplinas para trabalhar em conjunto. A mudança pode levar anos, mas o atual clima de segurança cibernética estimulou um despertar que está forçando os provedores de aplicativos a aceitar que não podem continuar a desenvolver software da mesma forma.
O papel para detecção e resposta gerenciadas
A detecção e a resposta gerenciadas ainda desempenharão um papel crítico nesse novo paradigma. A força do MDR é colocar as organizações em uma boa postura de segurança para começar e priorizar seu foco no que precisa ser feito para evitar uma violação. No caso de a organização ser violada, os provedores de MDR podem ajudar a controlar a extensão do ataque para minimizar o impacto. A mudança para uma mentalidade de desenvolvimento em primeiro lugar em segurança, juntamente com o monitoramento por um forte parceiro MDR, fornecerá a proteção mais robusta em um cenário de ameaça crescente e cada vez mais agressivo.
FONTE: HELPNET SECURITY