Na palestra de abertura do 2022 Black Hat conferência de segurança, Chris Krebs, ex-diretor de segurança cibernética do Departamento de Valores Mobiliários Internos, afirmou que a segurança vai piorar antes de melhorar. Por que? Krebs disse que “o software permanece vulnerável porque os benefícios de produtos inseguros superam em muito as desvantagens”. Em vez de garantir a segurança, o foco em todo o ciclo de vida de desenvolvimento de software (SDLC) é vencer a concorrência no mercado. Na verdade, a inovação é muitas vezes vista em desacordo com a segurança – a primeira é considerada rápida e produtiva, e a segunda é um obstáculo que sufoca o rápido desenvolvimento de aplicações. Essa visão está se mostrando desatualizada no atual cenário de ameaças.
Com o aumento dos ataques cibernéticos, a cadeia de fornecimento de software é um alvo popular para os cibercriminosos, que reconhecem a enorme perturbação que causam ao infectar códigos inseguros. Por exemplo, o agora infame Log4Shell A vulnerabilidade representava um grande risco porque o Log4j de código aberto é muito comumente usado em aplicativos de software e serviços online em todo o mundo, e a exploração da vulnerabilidade requer muito pouco conhecimento. Mais recentemente, o 25,000 plug-ins maliciosos encontrados em sites WordPress destacam o risco de segurança cibernética que muitas empresas enfrentam, apesar de acreditarem que estavam usando aplicativos e programas seguros em seus sites.
A inovação e a segurança devem, portanto, ser vistas através de uma única lente; um não é possível sem o outro. Ainda mais importante, a segurança não pode mais ser responsabilidade de uma equipe isolada. Deve ser uma prioridade para todos no SDLC.
O dilema da AppSec
Apesar do aumento do investimento no desenvolvimento de aplicações, a mesma importância não está sendo aplicada à segurança. Num espaço tão competitivo, os pioneiros tendem a receber a recompensa. Aqueles que entram no mercado com o seu “primeiro produto viável” estão provavelmente a analisar como este produto pode servir os clientes e não como pode ser utilizado de forma segura. Com essas altas expectativas, as demandas de código por parte dos desenvolvedores aumentaram vezes 100 nos últimos 10 anos, com 92% se sentindo pressionados a escrever código mais rapidamente. Combine isso com o fato de que 53% não têm treinamento profissional em codificação segura, enquanto o número de novas vulnerabilidades dentro do NIST O Banco de Dados Nacional de Vulnerabilidades aumentou mais de 200% nos últimos anos e parece que estamos em uma espécie de dilema de segurança de aplicativos.
Contudo, não é um dilema insolúvel. A solução requer uma mudança completa na forma como muitos veem a codificação e a inovação, com foco específico na mentalidade das pessoas. Ela coloca a segurança em primeiro lugar e reconhece que não há problema em demorar mais para chegar ao mercado se o produto final for mais seguro. De acordo com Lei de Boehm, “o custo de encontrar e corrigir um defeito cresce exponencialmente com o tempo” — um conceito que pode beneficiar os resultados financeiros das organizações que priorizam a segurança desde o início.
Estabelecer essa mentalidade de segurança em primeiro lugar é crucial — não apenas para a equipe de desenvolvimento, mas para todos que desempenham uma função no SDLC. Gerentes de produtos e projetos, DevOps, designers de experiência do usuário (UX) e profissionais de garantia de qualidade (QA) influenciarão o resultado final e, portanto, precisarão reconhecer o dilema atual da segurança de aplicativos e como esse desafio pode ser superado.
Obtendo a educação integrada certa
Se as equipes não entenderem porque uma mentalidade de segurança em primeiro lugar é tão importante no desenvolvimento de aplicativos que eles nunca vão acreditar como isso pode ser alcançado. A educação integrada e contínua em segurança de aplicações para toda a organização de desenvolvimento nunca foi tão importante. Para aqueles que criam o código, é importante fornecer aprendizado básico antes de exercícios práticos que abordem diretamente os problemas que enfrentam diariamente. Essa educação específica para desenvolvedores deve ser realizada em paralelo com programas de treinamento básicos e avançados em segurança de aplicativos para aqueles com funções no SDLC que podem não necessariamente precisar de experiência prática. Este tipo de iniciativas capacitará toda a equipa a pensar de forma diferente, a tomar decisões mais informadas e a integrar a segurança em todos os aspectos do desenvolvimento.
No entanto, é importante que as organizações compreendam que a segurança das aplicações evolui e muda constantemente. Construir uma equipe preocupada com a segurança que aplique os principais princípios de AppSec em todas as etapas do ciclo de desenvolvimento não pode ser realizado com um programa de treinamento “pronto”. Para garantir que as equipes mantenham essa mentalidade de segurança em primeiro lugar, é fundamental um programa educacional contínuo e em evolução.
Muitas organizações envolvem as equipes reconhecendo e celebrando os campeões de segurança, que lideram uma mudança no comportamento de segurança em toda a equipe. Ao oferecer incentivos ou recompensas àqueles que aplicam consistentemente as melhores práticas de segurança no seu trabalho diário, incentivam os defensores a envolver outras pessoas e a influenciar organicamente a mudança. Por exemplo, ao medir os resultados – como o número de vulnerabilidades num código antes e depois dos programas de formação – e ao reconhecer o sucesso, também é muito mais fácil obter a adesão do conselho e justificar o investimento na educação de codificação segura para os decisores. .
Inovar rapidamente e vencer a concorrência no mercado, ao mesmo tempo que coloca a segurança em primeiro lugar, é possível quando as pessoas do SDLC fazem da segurança uma prioridade máxima. Na verdade, à medida que o número de vulnerabilidades aumenta e os ataques cibernéticos não mostram sinais de desaceleração, a codificação segura é essencial para o sucesso de qualquer aplicativo. Contanto que todo o SDLC seja considerado em iniciativas educacionais contínuas, personalizadas e mensuráveis, a segurança não piorar antes de melhorar.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
