Bloqueie a cadeia de suprimentos de software com ‘Secure by Design’

Um software que prioriza a segurança em seu nível mais fundamental significa projetar o sistema tendo a segurança do cliente como objetivo principal, e não como um recurso adicional. E esse conceito – seguro desde a concepção – está a tornar-se cada vez mais crucial à medida que os atacantes começam a atacar as cadeias de abastecimento com mais frequência.

“Eles entendem que podem ter um impacto maior explorando com sucesso a cadeia de abastecimento”, diz Thomas Pace, CEO da NetRise. Como as soluções de segurança tradicionais, como EDR, firewalls e filtros de spam, se tornaram boas na prevenção de ataques frontais, diz ele, os invasores precisam procurar aberturas mais acima na cadeia.

E os sistemas colados proporcionam exatamente esse tipo de abertura. “Os ataques cibernéticos são mais fáceis quando as empresas e os fornecedores tentam ‘aproveitar’ a segurança após o fato”, diz David Brumley, CEO da ForAllSecure. “É como colocar um aparelho de som de reposição no seu carro – ele simplesmente não funciona exatamente direito.”

Para melhorar a segurança do software a nível mundial, a Agência de Segurança Cibernética e de Infraestruturas (CISA) propôs uma iniciativa que visa revolucionar as práticas de desenvolvimento, adotando princípios de “segurança desde a conceção” no ciclo de vida de desenvolvimento de software. Reflete uma mudança fundamental em direção a medidas de segurança proativas.

A pedido de informação concentra-se em abordar vulnerabilidades recorrentes de software, fortalecer a tecnologia operacional e avaliar o impacto de práticas seguras nos custos. A chamada para comentários, que está aberta até 20 de fevereiro de 2024, também enfatiza a responsabilidade coletiva dos fabricantes e consumidores de tecnologia na promoção de um futuro onde a tecnologia seja inerentemente segura e protegida.

“Seguro por design significa que a segurança faz parte de como você constrói o software desde o início”, explica Brumley. “Isso significa que é muito mais robusto contra ataques.”

Um nível fundamental de segurança

Ken Dunham, diretor de ameaças cibernéticas da Qualys Threat Research Unit, explica que a segurança desde o projeto começa com a arquitetura e os princípios de gerenciamento de risco nas operações antes de uma organização migrar ou começar a usar a nuvem.

“Este é um elemento crítico da infraestrutura híbrida moderna e complexa”, diz ele. “Num mundo de responsabilidade partilhada, as organizações devem decidir que risco é aceitável para ser partilhado, e potencialmente de maior risco, com terceiros versus aquele que é totalmente detido e gerido internamente.”

Ele salienta que o ciclo de vida da produção de software é cada vez mais complexo, com muitas partes interessadas que devem estar seguras para reduzir os riscos. Dunham pergunta: “Seus desenvolvedores, que se preocupam com a funcionalidade e as experiências do usuário, são adeptos dos princípios de codificação segura, dos ataques modernos, das contramedidas de segurança e do SecOps?”

As expectativas de segurança organizacional pressionam uma equipe de integração para implementar, configurar e monitorar adequadamente o software dentro da arquitetura de negócios. “Quão maduros são os seus serviços de resposta a incidentes e de inteligência contra ameaças cibernéticas?” ele pergunta. “Você confia neles em um mundo de nuvem híbrida, onde você pode ter um ataque de intrusão complexo em alta velocidade?”

“Quando você tiver as pessoas certas, o processo será bem compreendido”, concorda Brumley. “Você arquiteta o produto com defesa profunda, garante que suas dependências e software de terceiros estejam atualizados e usa uma técnica moderna como fuzzing para encontrar vulnerabilidades desconhecidas.”

Para Brumley, seguro por padrão significa projetar uma segurança que funcione de acordo com a forma como as pessoas usam o software. “Existem princípios de design que abrangem vários princípios – assim como na construção de um arranha-céu, você precisa pensar em tudo, desde o suporte estrutural até o ar condicionado”, explica ele.

Mudança de paradigma necessária em segurança de TI

Dunham observa que 2023 foi cheio de exemplos onde condições da corrida existiu por zero dias - as vulnerabilidades foram revertidas e transformadas em armas por atores mal-intencionados mais rápido do que organizações poderiam corrigi-los.

“Ainda existem algumas organizações lutando para corrigir as vulnerabilidades do Log4J depois de todo esse tempo”, ressalta.

Ele diz que as organizações devem identificar sua superfície de ataque, interna e externa, e priorizar ativos e gerenciamento de riscos adequadamente, a fim de sair na frente quando a exploração e o risco de ataque relacionado a uma vulnerabilidade aumentarem.

Do ponto de vista de Pace, o setor de segurança de TI deve passar por uma mudança de paradigma na forma como considera o risco e como priorizá-lo da melhor forma – e isso só pode acontecer com visibilidade na cadeia de fornecimento. Ele compartilhou um exemplo em que uma “organização muito grande” não sabia quais dependências seu sistema de segurança tinha quando o atualizou devidamente. “Após a atualização, ele foi verificado por um scanner de vulnerabilidade e foi determinado que o recente vulnerabilidade crítica do Apache Struts estava presente”, diz ele. “Agora, esta organização introduziu um grave risco para a sua organização.”

Design seguro na era IoT

John Gallagher, vice-presidente do Viakoo Labs na Viakoo, diz que um dos principais desafios é projetar segurança em dispositivos de longa duração, como aqueles que fazem parte da Internet das Coisas (IoT), que podem não ter inicialmente a segurança como consideração de design.

“Isso requer testes mais extensos e pode exigir novos recursos de engenharia”, diz ele. “Da mesma forma, criar novos recursos de segurança é uma forma de introduzir novas vulnerabilidades de segurança.”

Gallagher diz que os fabricantes de software deveriam adotar o uso de listas de materiais de software (SBOMs) para encontrar e remediar vulnerabilidades mais rapidamente. Ele observa que as empresas estão incorporando práticas seguras desde o design em novos produtos, o que acabará sendo um fator competitivo no mercado.

“Além do MFA e dos privilégios de acesso restrito, outras medidas, como a eliminação de senhas padrão e o fornecimento de mecanismos para atualizar o firmware de maneira mais fácil e rápida, estão sendo incorporadas aos produtos”, diz ele.

Evitar a “segurança através da obscuridade” é outro princípio da segurança desde a concepção, salienta Gallagher. SBOMs e software de código aberto, por exemplo, fornecem segurança ao oferecer transparência em torno do código do software.

Pace diz que uma das áreas que o entusiasma mais no que diz respeito à segurança por padrão e à segurança por design é uma visibilidade significativamente melhor da cadeia de fornecimento de software. “Uma vez alcançada esta visibilidade, poderemos começar a compreender verdadeiramente onde estão os nossos problemas a partir de um nível fundamental e depois começar a priorizá-los de uma forma que faça sentido”, diz ele.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design