*Por Simon Pearce
Com a escala e a sofisticação das ameaças de crimes cibernéticos crescendo a cada dia, a segurança de aplicativos tornou-se um enorme desafio para os técnicos nos últimos dois anos. As equipes de TI têm operado sob grande pressão para aumentar a velocidade dos aplicativos e oferecer experiências digitais cada vez mais intuitivas e personalizadas para clientes e funcionários. E, como resultado, a segurança dos aplicativos não conseguiu acompanhar o ritmo.
A pesquisa mais recente da Cisco AppDynamics – A mudança para uma abordagem de segurança para toda a pilha de aplicativos – revela que 85% dos técnicos brasileiros relataram uma expansão de ataques cibernéticos em suas organizações nos últimos dois anos, e 96% afirmam que as empresas poderiam contribuir mais para garantir a segurança em todo o ciclo de vida do aplicativo.
Os componentes das plataformas de low code e no code para desenvolver esses sistemas mais velozes são realizados, principalmente, em uma combinação de plataformas e bancos de dados locais, aumentando a superfície de ataques e tornando os aplicativos cada vez mais vulneráveis a falhas de segurança.
Conscientes dos riscos, os profissionais estão procurando urgentemente evoluir sua abordagem de segurança de aplicativos para gerenciar riscos nos sistemas e arquiteturas cloud native. A pesquisa da Cisco AppDynamics identificou seis etapas que todas as organizações precisam seguir para garantir uma segurança robusta nos aplicativos modernos:
1- Adote uma abordagem de segurança para todo o portifólio de aplicativos
Com a tecnologia de autoproteção de aplicativos em tempo de execução (RASP), os desenvolvedores podem preservar os aplicativos de dentro para fora e gerar insights direcionados que lhes permitem responder a ameaças em escala – seja em contêineres, no local ou na nuvem – protegendo todo o ciclo de vida do aplicativo, evitando explorações conhecidas e simplificar as correções de vulnerabilidade.
2- Detecção e priorização contínuas
Além de aumentar a eficiência e agilidade, uma automação robusta pode reduzir o erro humano e gerar maior agilidade no desenvolvimento, permitindo que as equipes consigam avaliar a importância das ameaças com base na pontuação de gravidade e considerando o seu contexto, correlacionando o risco em relação a outras áreas-chave como aplicação, usuário e negócio.
Isso significa que eles podem priorizar ameaças que podem danificar uma área crítica de negócios do ambiente ou aplicativo, podendo reduzir o ruído de dados causado por grandes volumes de alertas de segurança e se concentrar nas coisas que realmente importam.
3- Adote uma abordagem DevSecOps
Sem desacelerar o processo, a segurança com a abordagem DevSecOps é levada em consideração em cada estágio do ciclo de vida do aplicativo. Em vez de a segurança ser uma reflexão tardia, o DevOps trabalha com o SecOps para identificar e priorizar problemas de segurança em cada etapa, resultando em produtos melhores e mais seguros, e gerenciamento de segurança aprimorado antes, durante e após o lançamento.
4- Invista no aprimoramento das habilidades de desenvolvedores e engenheiros
Atualmente, menos da metade dos profissionais estão totalmente confiantes de que eles próprios e suas equipes possuem as habilidades necessárias para gerenciar as atuais ameaças de segurança de aplicativos. Essa lacuna de habilidades é algo que as organizações precisam abordar como uma questão prioritária, por meio de aprimoramento e cross-skilling.
Em particular, a mudança para uma abordagem DevSecOps exigirá que todos os técnicos, independente da sua área de atuação, desenvolvam novas habilidades e maior compreensão na elaboração de aplicativos, e os desenvolvedores precisarão se tornar mais informados sobre segurança. De acordo com a pesquisa, 94% dos profissionais brasileiros acreditam que faltam habilidades e recursos para a segurança de aplicativos.
5- Incorporar Inteligência Artificial em processos de segurança de aplicativos
À medida que cibercriminosos utilizam de novas tecnologias para ameaçar organizações, a Inteligência Artificial (AI) e o Aprendizagem de Máquina (ML) são essenciais para identificar lacunas, prever vulnerabilidades e automatizar processos para remediar quaisquer falhas de segurança.
Os AIOps ampliam os recursos humanos em várias tarefas de segurança cibernética, incluindo monitoramento, avaliação e resolução de problemas de segurança. Dessa forma, as equipes de segurança conseguem se concentrar em adversidades de maior valor e permitindo que colaborem de maneira mais eficaz e estratégica durante todo o ciclo de vida do desenvolvimento.
Ainda segundo o estudo da AppD, 76% dos profissionais acreditam que a IA desempenhará um papel cada vez mais importante ao enfrentar os desafios de velocidade, escala e habilidades que sua organização enfrenta na segurança de aplicativos.
6- Adote um modelo SRE (Site Reliability Engineer)
Muitas equipes de desenvolvimento e operações tradicionalmente operam com uma “mentalidade de silo”, com objetivos essencialmente conflitantes. Os desenvolvedores priorizaram a velocidade de lançamento e os recursos do produto acima de tudo, enquanto as equipes de operações se concentraram exclusivamente na estabilidade da produção, garantindo que os aplicativos não sofram com problemas de desempenho ou interrupções.
O papel do SRE é crucial para superar esse antigo conflito de interesses, reunindo essas duas funções para o benefício geral do projeto, dos usuários finais e do negócio. Uma estratégia holística e integrada para segurança de aplicativos agora é essencial para que as organizações colham os benefícios das tecnologias nativas da nuvem, enquanto gerenciam um cenário de risco cada vez mais complexo.
*Simon Pearce é Executive CTO, APAC na Cisco AppDynamics
