A segurança em desenvolvimento de softwares atuais não acompanham o ritmo das ameaças, do desenvolvimento e do home office. Impactos geram novas tendências
Mesmo que boa parte dos interesses de acionistas, colaboradores e clientes de uma organização girem em torno de alguns softwares críticos, décadas de desenvolvimento ainda não foram suficientes para compreendermos como manter a segurança desde o desenvolvimento de softwares.
Pelo menos é o que se vê no relatório da Forrester The state of application security 2021, que mostra que, quando se trata de segurança, os aplicativos continuam sendo o principal vetor de ataque . Veja estes resultados:
- 39% dos entrevistados afirmaram que as aplicações web foram a porta de entrada dos ataques.
- 35% dos entrevistados que o ataque veio da exploração de ativos perdidos/roubados.
E só depois que vêm problemas como malware, vulnerabilidade de software, phishing, ransomware e engenharia social.
O resultado, segundo o levantamento, não surpreende. Com tantas empresas forçadas a criar ou atualizar aplicativos rapidamente para alcançar seus clientes, não é surpreendente que os aplicativos da web sejam a forma mais comum de ataque externo, com vulnerabilidades de software não muito atrás.
Afinal, cada vez mais complexas, as aplicações se apoiam em elementos internos e de parceiros externos, além de serem constantemente ampliadas para suportar novas funcionalidades e operações.
Neste post, a fim de ajudar você a identificar problemas em seu programa de segurança de softwares, vamos fazer um balanço das causas das vulnerabilidades em segurança, o que as organizações já estão fazendo e, por fim, que tendências estão embasando os melhores programas modernos.
Por que a segurança de softwares continua a ser um problema?
O relatório da Forrester aponta três principais causas dos problemas com segurança de softwares:
1. Open source softwares - OSS
Embora necessários para que o time de desenvolvimento ganhe tempo para focar no que gera valor no software, OSSs têm tanto valor quanto riscos. Suas vulnerabilidades, aliás, aumentam ano a ano, segundo o levantamento.
2. Novas arquiteturas, novas portas de entrada
Pontos de APIs inseguros, payloads invalidados e scripts desprotegidos são problemas que surgem junto com os inúmeros benefícios das novas arquiteturas, gerando a necessidade de abordagens em segurança de software diferentes das utilizadas nas tradicionais aplicações monolíticas.
Leia mais: Microsserviços: conceito, vantagens e desvantagens
3. Velocidade de desenvolvimento
Com práticas DevOps e metodologias ágeis como Scrum, Scrumban e XP, a velocidade de desenvolvimento é cada vez maior. Porém, muitas organizações estão com dificuldades de adaptar a esse passo de desenvolvimento as ferramentas e processos de segurança no desenvolvimento.
Como as organizações estão respondendo a esses problemas
De acordo com o relatório da Forrester, apenas 14% das organizações integram de fato a segurança em todo o ciclo de desenvolvimento de softwares, numa abordagem DevSecOps, e as que estão começando a fazê-lo iniciam a integração normalmente pela fase de testes.
Notam-se, apesar disso, alguns movimentos positivos. Vejamos.
- Implementação de escaneamento pré-release no desenvolvimento e um pouco mais lento no design.
- Implementação de segurança de contêineres na fase de desenvolvimento e um pouco menos, de design.
- Implementação de SCA – software composition analysis para lidar com vulnerabilidades em OSS antes de que avancem pelo ciclo de desenvolvimento.
Disso já podemos observar que tendências em segurança de softwares se desenham.
4 novas tendências em segurança de softwares
A indicação da Forrester é que as organizações terão dificuldade de manter seguras suas aplicações com as novas linguagens e métodos de delivery sem ter um amplo uso de automação e ferramentas, e se continuarem a construir softwares sem antecipar falhas. Nós adicionaríamos, sem ter processos e pessoas engajadas para esse fim.
Isso porque são poucas as ferramentas que não adicionam complexidade e problemas de integração que rapidamente conduzem a equipe a um enfado por ferramentas.
Como se isso não fosse o bastante, 2020 trouxe uma variável a mais nessa equação: o home office e toda a cascata de vulnerabilidades que vieram com ele.
Leia mais: Cibersegurança no home office: sua empresa está segura?
Por isso, segundo a consultoria, a segurança em softwares nunca foi tão urgente e, ao mesmo tempo, desafiadora para as organizações.
Vejamos algumas tendências que devem ganhar tração, junto com o que as organizações já estão fazendo em seus programas de segurança em software:
1. Puxar testes de segurança mais cedo no ciclo de desenvolvimento
Criar esforços redobrados para identificar e lidar com problemas de segurança em software cedo e facilmente no ciclo de desenvolvimento.
A Synopsys, em seu CISO Guide to Modern AppSec, aponta para uma tendência das organizações para uma abordagem em segurança de softwares orientada ao desenvolvimento, em vez de uma estrutura na qual um time de segurança dirige as questões de segurança separadamente.
Essa abordagem está em estreita consonância com a adoção de práticas DevOps, mas também à consciência do time de segurança de que nem todos os problemas em segurança de softwares serão resolvidos antes do desenvolvimento.
Outro benefício é fazer com que desenvolvedores vejam a segurança como responsabilidade deles também.
2. Fazer testes automatizados
Substituir a governança manual pela automação leva a menos vulnerabilidades e educa os desenvolvedores em tempo real, pois quanto mais testes, mais rapidamente as falhas são consertadas. De acordo com os analistas da Forrester:
Se para aplicações escaneadas acima de 260 vezes por ano o tempo médio de conserto é de 19 dias, esse tempo salta para 68 dias para aplicações escaneadas menos de 12 vezes por ano.
Incluir ferramentas de CI, testes de segurança de softwares ao longo do pipeline de desenvolvimento e viabilizar o escaneamento automático, para que as vulnerabilidades sejam remediadas antes de que progridam no ciclo de vida de desenvolvimento e estimular os desenvolvedores a melhorar seu próprio código, está virando a norma.
No entanto, combinar e integrar ferramentas de segurança em software pode ser desafiador sem uma boa orientação.
3. Implementar autoremediação
Há players em SCA que não apenas identificam vulnerabilidades em softwares open source, como recomendam maneiras de remediá-las, permitindo que desenvolvedores as implementem com apenas um clique.
Apesar de requerer alto nível de confiança na ferramenta, construí-la pode ser mais uma maneira de escalar o desenvolvimento com segurança.
Para isso, será fundamental fornecer aos desenvolvedores um guia sobre quando aceitar as recomendações das ferramentas ou quando buscar uma aprovação adicional.
4. Ter desenvolvedores campeões em segurança
A indicação da Forrester, mas também da Synopsys, de ter desenvolvedores campeões em segurança é outra tendência que a sua organização pode adotar em seu programa de segurança de software.
No entanto, não espere encontrar esse profissional completamente pronto desde a graduação. Segurança é notoriamente um tema negligenciado nos cursos, sendo bem conhecido o gap em boas práticas de segurança em desenvolvimento.
A organização, no entanto, pode treinar profissionais que já adotem práticas seguras de programação, ou contar com o apoio da Supero para encontrar profissionais com essa skill no mercado.
Leia mais: Como funciona o Outsourcing de TI da Supero?
Campeões em segurança serão os pontos de referência do time, oferecendo conselhos e ajuda na resolução de problemas, mas também fazendo a ponte de contato com o time de segurança.
Segurança em softwares: sua organização está agindo?
Como vimos, a falta de segurança no desenvolvimento de aplicações tem sido o maior vetor de ataques. Já sabemos algumas das causas desses problemas, vimos como as organizações estão agindo e algumas tendências que a sua organização pode adotar em um programa.
Agora, você sabe como está o seu programa em segurança de software? Seus sistemas seguem esses padrões ou, assim como 42% das empresas, estão servindo de porta de entrada para ataques?
Saiba como a Supero garante a segurança das aplicações que desenvolve em sua fábrica de softwares falando com um consultor.
