0
0
No mês passado, a Dark Reading lançou uma pesquisa de segurança de aplicativos corporativos que levantou sérias preocupações das equipes de TI e de segurança sobre o estado dos aplicativos de baixo código/não-código. A pesquisa expôs uma profunda falta de visibilidade, controle e conhecimento necessários para manter o nível de maturidade de segurança esperado no empreendimento. Aqui vamos analisar as preocupações concretas levantadas pela pesquisa, examinar suas causas básicas e oferecer recomendações sobre maneiras de enfrentá-las hoje.
As seguintes preocupações foram levantadas sob a questão: “Que preocupações de segurança você tem em relação a aplicativos de código/não código baixos?“
Preocupação nº 1: Governança
De acordo com 32% dos entrevistados, “não há governança sobre como esses aplicativos estão acessando e usando nossos dados”.
De fato, muitos aplicativos úteis de baixo código/não-código dependem do armazenamento de dados, seja no armazenamento gerenciado fornecido pela plataforma ou em outra plataforma através de um conector. A parte complicada é que plataformas de código/não-código de baixo código tornam extremamente fácil para os fabricantes essencialmente assar sua identidade nos aplicativos, de modo que cada usuário de aplicativo acaba desencadeando operações em nome do fabricante. Em ambientes corporativos, não é incomum que aplicativos úteis de negócios armazenem seus dados na conta Dropbox ou OneDrive do fabricante. Contas assadas podem se tornar um problema ainda maior quando um erro honesto faz com que os dados sejam armazenados em uma conta pessoal e não comercial.
Outro uso popular de código/não-código são os data-movers ou os pontos de operação. Eles conectam origem e destino, seja movendo dados entre vários pontos ou ligando uma operação em um sistema a outro em um sistema diferente.
Como exemplo, um fluxo de automação popular em cenários corporativos é o encaminhamento de e-mails. Os usuários constroem um aplicativo que monitora sua caixa de entrada profissional para novos e-mails, copia seu conteúdo e cola-o em seu e-mail pessoal por várias razões. Observe que, copiando os dados, os usuários são facilmente capazes de contornar controles DLP que teriam impedido o encaminhamento de e-mails.
Preocupação nº 2: Confiança
De acordo com 26% dos entrevistados, “não confio nas plataformas usadas para criar os aplicativos”.
Os fornecedores de plataformas de baixo código/sem código estão cada vez mais direcionando sua atenção para fornecer forte garantia de segurança para suas plataformas, mas há um longo caminho a percorrer. Embora os clientes corporativos tenham se acostumado com os benefícios de segurança fornecidos pelos fornecedores de nuvem pública, com suas equipes de segurança maduras, programas de divulgação de vulnerabilidades e SOCs de última geração, plataformas de código/não código de baixo código estão apenas se acostumando com o fato de que agora são sistemas críticos aos negócios.
É claro que os fornecedores que investem na segurança de sua plataforma não são suficientes. Os clientes também têm que manter sua parte do modelo de responsabilidade compartilhada. Enquanto os fornecedores de plataforma estão melhorando sua postura de segurança, as empresas que usam plataformas de código/não código de baixo código devem descobrir como abordar esses aplicativos com o mesmo nível de vigor de segurança que seus aplicativos pró-código. Afinal, o impacto de ambos os tipos de aplicativos em dados, identidade e empresa como um todo é o mesmo.
Veja os testes de segurança, por exemplo. Para pegar problemas de segurança precocemente, os aplicativos pró-código são normalmente construídos com ferramentas de digitalização de código e configuração no local, como parte do CI/CD. Há uma série de ferramentas para ajudar a detectar problemas em todo o SDLC, incluindo SAST, DAST e SCA, que se tornou muito popular nos últimos anos com o aumento de problemas de segurança de código aberto. Aplicativos de código/não código são propensos aos mesmos problemas que essas ferramentas detectam, como ataques baseados em injeção, configuração incorreta de segurança e dependências não confiáveis. No entanto, esses aplicativos normalmente dependem de processos manuais para garantia de segurança ou tentam usar ferramentas pró-código para digitalizar artefatos gerados com código baixo; infelizmente, as ferramentas pró-código não entendem a lógica de negócios de aplicativos de baixo código/sem código e, portanto, fornecem pouco valor.
Preocupação nº 3: AppSec
De acordo com 26% dos entrevistados, “não sei como verificar se há vulnerabilidades de segurança nesses aplicativos”.
Como faço para garantir que meu código faça sentido, e que seja seguro e robusto, sem acesso a esse código? Este ponto é complicado, e novas soluções são necessárias para enfrentá-lo.
Quando os provedores de nuvem pública começaram a introduzir o conceito de plataforma como serviço para serviços de computação, como máquinas virtuais gerenciadas (VMs), clusters Kubernetes gerenciados ou funções sem servidor, o mesmo tipo de preocupações foram levantadas. Toda a nossa estratégia, como uma comunidade de segurança, para garantir instâncias de computação foi baseada em nossa capacidade de observar e aproveitar a máquina host executando nossas aplicações. Ao mesmo tempo em que retirava as complexidades do gerenciamento de VMs, os provedores de nuvem também retiravam a capacidade das equipes de segurança de observá-las e protegê-las. Como resultado, novas soluções tiveram que ser introduzidas para fornecer o mesmo nível de garantia de segurança com blocos de construção nativos da nuvem.
A mesma abordagem é desesperadamente necessária em aplicativos de código/não-código baixo. Em vez de tentar aplicar ferramentas existentes, como digitalização de código ou monitoramento de segurança da Web em artefatos gerados por código/não-código, as equipes de segurança devem adotar soluções que entendam a linguagem de código/não-código para identificar vulnerabilidades lógicas nesses aplicativos.
Preocupação nº 4: Visibilidade
De acordo com 25% dos entrevistados, “a equipe de segurança não sabe quais aplicativos estão sendo criados”.
Este ponto é particularmente importante porque você não pode proteger o que você não pode ver. A maioria das plataformas de código/não código têm pouco ou nenhum recursos para permitir que os administradores visualizem aplicativos construídos nessas plataformas. Perguntas básicas como: “Quantas aplicações temos?” são simplesmente irrespondíveis sem medidas generalizadas. Por exemplo, algumas plataformas permitem que os administradores se tornem os proprietários de cada aplicativo separadamente, mas não permitem que eles vejam o aplicativo de outra forma. Assim, os administradores devem recorrer a uma mudança ativa na plataforma para dar uma olhada no aplicativo.
Outras plataformas vão ainda mais longe, permitindo que os usuários de negócios criem aplicativos em uma pasta privada que os administradores não podem rever, além de saber o número de aplicativos que existem neles. Um fabricante poderia estar exfiltrando dados através de um aplicativo privado, e o administrador fica sem nenhuma maneira de saber nada além do fato de que o aplicativo existe.
A visibilidade se torna ainda mais complicada quando as empresas percebem que estão usando mais de uma plataforma de código/não código. Na verdade, a maioria das grandes empresas já está usando várias plataformas. Com plataformas de código/não código se tornando mais populares, ferramentas de desenvolvimento de cidadãos sendo introduzidas de baixo para cima, e fornecedores de software como serviço (SaaS) se tornando plataformas em si, é claro por que as empresas estão de repente se encontrando usando várias plataformas diferentes.
Preocupação nº 5: Conhecimento e Conscientização
De acordo com 33% dos entrevistados, “não tenho nenhuma preocupação com a segurança”, “Outro” ou “Não sei”.
Uma vez que plataformas de código/não-código de baixo código geralmente encontram seu caminho para a empresa através de unidades de negócios em vez de de cima para baixo através da TI, elas podem facilmente escapar pelas rachaduras e serem perdidas pelas equipes de segurança e TI. Embora as equipes de segurança sejam, na maioria dos casos, parte do processo de aquisição, é fácil tratar uma plataforma de baixo código/sem código como apenas mais um aplicativo SaaS usado pela empresa, não percebendo que o resultado da adoção desta plataforma seria capacitar toda uma gama de novos desenvolvedores cidadãos no negócio.
Em uma grande organização, os desenvolvedores de cidadãos da equipe financeira construíram um aplicativo de gerenciamento de despesas para substituir um processo manual cheio de e-mails de ida e volta. Os funcionários rapidamente adotaram o aplicativo, pois facilitava o reembolso. A equipe financeira ficou feliz porque automatizou parte de seu trabalho repetitivo. Mas TI e segurança não estavam no circuito. Levou algum tempo para eles notarem o aplicativo, entenderem que ele foi construído fora da TI e entrar em contato com a equipe financeira para trazer o aplicativo sob o guarda-chuva de TI.
As equipes de segurança e de TI estão sempre em um estado onde o atraso de preocupações é muito maior do que sua capacidade de investir. Para garantir que os recursos sejam alocados para os riscos mais críticos de segurança, as equipes devem primeiro estar cientes da criticidade dos aplicativos de baixo código/não-código para a empresa e dos riscos de segurança que eles introduzem. Para o primeiro, isso significa que o impacto dos aplicativos de código/não código na empresa deve ser demonstrado e claro. As equipes de segurança devem fazer parte da discussão quando se pensa em adotar o desenvolvimento do cidadão.
Para este último, nós, como comunidade, temos que pesquisar, categorizar e compartilhar riscos concretos de segurança que identificamos para ajudar outras pessoas a construir aplicações mais seguras. Trazer TI e segurança para a conversa de baixo código/sem código permitiria que a adoção dessas tecnologias acelerasse, liberando todo o seu potencial para aumentar a velocidade e a produtividade dos negócios.
FONTE: DARK READING