0
0
O DevSecOps pode ser uma disciplina de combinação relativamente recente, referindo-se à inclusão do planejamento de segurança no início do ciclo de vida do desenvolvimento de software para reforçar as defesas cibernéticas, mas está prestes a se tornar uma área crucial de importância para as empresas.
Principais tendências em 2023
Aqui estão as principais tendências do setor que prevemos em 2023.
Automação sustentando a inovação. A automação é o principal mecanismo que impulsiona a eficiência operacional e deve avançar ainda mais este ano no espaço de segurança. A inteligência artificial (IA) está sendo combinada com a automação, capacitando as empresas a simplificar e dimensionar a tomada de decisões nas organizações para compensar grande parte do trabalho manual usado atualmente para concluir os processos diários. Isso permitirá que as equipes de segurança concentrem seus esforços em iniciativas mais estratégicas com maior precisão e agilidade e deixem mais funções operacionais para a automação.
A estratégia por trás da construção do DevSecOps nas práticas de uma empresa também amadurecerá, permitindo que a inovação se desenvolva sem impedimentos imprevistos. O conceito de segurança por design pode ser banal, mas seus princípios são relevantes – criar padrões de segurança cibernética, detectar vulnerabilidades e corrigir problemas desde o início para evitar riscos. Esta será a abordagem transformadora em 2023.
Consolidação de ferramentas. Antes de incorporar a segurança aos processos, as empresas precisarão determinar quais ferramentas são mais apropriadas para enfrentar seus desafios mais urgentes. A dispersão de ferramentas, em que as organizações aumentam sua pilha de ferramentas até que os custos sejam maiores que os retornos, é uma abordagem que as empresas evitarão para reduzir as ineficiências.
Em vez disso, provavelmente veremos uma consolidação de ferramentas de segurança mais abrangente. Segundo o Gartner, 75% das organizações já estão iniciando esse processo. Subsumir a observabilidade e o monitoramento da cadeia de ferramentas em uma plataforma permite que as empresas tenham uma visão geral de quais ferramentas estão causando bloqueios. Mudar de uma arquitetura de ferramenta fragmentada para uma simplificada fornecerá um ambiente mais propício para construir e fortalecer outros processos.
Infraestrutura como código (IaC). Os processos tradicionais de gerenciamento de infraestrutura de TI são manuais, o que invariavelmente afeta custos e recursos — é necessária mão de obra qualificada para executar as tarefas envolvidas. Com a computação em nuvem, o número de componentes no cenário de TI está sempre crescendo e mais aplicativos são lançados todos os dias. A IaC pode ser uma ferramenta inestimável aqui — usando arquivos de configuração, a IaC gerencia e supervisiona a escala da infraestrutura em constante evolução atual.
Com um número exponencialmente crescente de serviços e opções de configuração, a IaC permite um nível de abstração que libera os engenheiros de acompanhar essas mudanças. A IaC maximiza o potencial da computação em nuvem e libera tempo para os desenvolvedores.
Remediação.O aumento do cibercrime catapultou a segurança digital para o primeiro plano da estratégia abrangente de uma empresa. As empresas estão se concentrando cada vez mais na correção, em vez da mera detecção, para evitar enfrentar uma pilha crescente de riscos. Por exemplo, ele funciona monitorando continuamente suas redes em busca de qualquer atividade irregular e, posteriormente, erradicando os vetores de ameaça instalando um patch de segurança no firmware.
De acordo com o Gartner , as organizações devem estar preparadas para realizar correções de emergência em sistemas-chave quase imediatamente após o lançamento de um patch para solucionar vulnerabilidades. Para realizar uma resposta de emergência, as empresas devem implantar uma abordagem de remediação inteligente e automatizada totalmente integrada aos seus processos, independente o suficiente para tratar imediatamente de problemas de rotina e adaptada às suas arquiteturas. As “melhores práticas” prescritivas não serão suficientes em 2023 – a correção deve ser automatizada para ser eficaz.
Além dos SBOMs
Catalisada pelo memorando da Casa Branca para aumentar a segurança da cadeia de suprimentos de software, a lista de materiais de software (SBOMs), um inventário da base de código, foi venerada como um divisor de águas na transparência do software. Com algum refinamento e coesão entre os profissionais de segurança e software, ele tem potencial para ser uma referência respeitável para os padrões da indústria, e este ano os SBOMs podem atingir um estágio de maturidade que garante que sua entrega corresponda ao hype.
Os SBOMs destinam-se a revelar os componentes de software usados por um aplicativo , permitindo decisões de gerenciamento de risco mais informadas. Quando os produtores de software podem entregar um SBOM a seus clientes, eles estão sinalizando que empregam práticas avançadas de software. Apesar dos objetivos admiráveis dos SBOMs, existem obstáculos que inibem a adoção dos casos de uso que pretendem solucionar. Por exemplo, existem muitas ferramentas projetadas para automatizar a geração de SBOM, mas elas são inconsistentes na forma como fornecem dados.
Os SBOMs também têm valor limitado na tomada de decisões de aquisição. Os fornecedores terão que atualizar os SBOMs com frequência; o que significa que os SBOMs dos usuários provavelmente estarão desatualizados no momento em que as decisões de aquisição forem tomadas. Ferramentas adicionais, como análise de composição de software e assinatura de código, se tornarão elementos necessários de uma cadeia de fornecimento de software completa, bem gerenciada e segura. Em última análise, será necessário um esforço conjunto da indústria, incluindo a definição de melhores práticas e padrões, bem como o incentivo aos fornecedores para serem mais transparentes.
A segurança continua vital
É inevitável neste ano que veremos as empresas apertarem os orçamentos e se reorganizarem para se manterem à tona. Paralelamente a isso, porém, o DevSecOps está posicionado para um crescimento ascendente. Os riscos de segurança cibernética continuam sendo uma das principais preocupações, e as estratégias de DevSecOps preservam tempo e dinheiro ao evitá-los. No entanto, veremos essas otimizações orçamentárias desviadas para soluções que fornecem resultados mais acionáveis - mais correções que liberam engenheiros caros, processos que integram a segurança ao ciclo de desenvolvimento de software desde as fases de design e automação que ajuda a simplificar em vez de estender o kit de ferramentas de uma organização.
FONTE: DARK READING