Novas tecnologias e abordagens irão proteger aplicativos em ambiente cloud native

Cenário de risco tem exigido que profissionais de TI e SI busquem métodos para protegrem aplicações dentro de suas infraestruturas de nuvem

Compartilhar:

*Por Simon Pearce

 

Com a escala e a sofisticação das ameaças de crimes cibernéticos crescendo a cada dia, a segurança de aplicativos tornou-se um enorme desafio para os técnicos nos últimos dois anos. As equipes de TI têm operado sob grande pressão para aumentar a velocidade dos aplicativos e oferecer experiências digitais cada vez mais intuitivas e personalizadas para clientes e funcionários. E, como resultado, a segurança dos aplicativos não conseguiu acompanhar o ritmo.

 

A pesquisa mais recente da Cisco AppDynamics – A mudança para uma abordagem de segurança para toda a pilha de aplicativos – revela que 85% dos técnicos brasileiros relataram uma expansão de ataques cibernéticos em suas organizações nos últimos dois anos, e 96% afirmam que as empresas poderiam contribuir mais para garantir a segurança em todo o ciclo de vida do aplicativo.

 

Os componentes das plataformas de low code e no code para desenvolver esses sistemas mais velozes são realizados, principalmente, em uma combinação de plataformas e bancos de dados locais, aumentando a superfície de ataques e tornando os aplicativos cada vez mais vulneráveis a falhas de segurança.

 

Conscientes dos riscos, os profissionais estão procurando urgentemente evoluir sua abordagem de segurança de aplicativos para gerenciar riscos nos sistemas e arquiteturas cloud native. A pesquisa da Cisco AppDynamics identificou seis etapas que todas as organizações precisam seguir para garantir uma segurança robusta nos aplicativos modernos:

 

1- Adote uma abordagem de segurança para todo o portifólio de aplicativos

Com a tecnologia de autoproteção de aplicativos em tempo de execução (RASP), os desenvolvedores podem preservar os aplicativos de dentro para fora e gerar insights direcionados que lhes permitem responder a ameaças em escala – seja em contêineres, no local ou na nuvem – protegendo todo o ciclo de vida do aplicativo, evitando explorações conhecidas e simplificar as correções de vulnerabilidade.

 

2- Detecção e priorização contínuas

Além de aumentar a eficiência e agilidade, uma automação robusta pode reduzir o erro humano e gerar maior agilidade no desenvolvimento, permitindo que as equipes consigam avaliar a importância das ameaças com base na pontuação de gravidade e considerando o seu contexto, correlacionando o risco em relação a outras áreas-chave como aplicação, usuário e negócio.

 

Isso significa que eles podem priorizar ameaças que podem danificar uma área crítica de negócios do ambiente ou aplicativo, podendo reduzir o ruído de dados causado por grandes volumes de alertas de segurança e se concentrar nas coisas que realmente importam.

 

3- Adote uma abordagem DevSecOps

Sem desacelerar o processo, a segurança com a abordagem DevSecOps é levada em consideração em cada estágio do ciclo de vida do aplicativo. Em vez de a segurança ser uma reflexão tardia, o DevOps trabalha com o SecOps para identificar e priorizar problemas de segurança em cada etapa, resultando em produtos melhores e mais seguros, e gerenciamento de segurança aprimorado antes, durante e após o lançamento.

 

4- Invista no aprimoramento das habilidades de desenvolvedores e engenheiros

Atualmente, menos da metade dos profissionais estão totalmente confiantes de que eles próprios e suas equipes possuem as habilidades necessárias para gerenciar as atuais ameaças de segurança de aplicativos. Essa lacuna de habilidades é algo que as organizações precisam abordar como uma questão prioritária, por meio de aprimoramento e cross-skilling.

 

Em particular, a mudança para uma abordagem DevSecOps exigirá que todos os técnicos, independente da sua área de atuação, desenvolvam novas habilidades e maior compreensão na elaboração de aplicativos, e os desenvolvedores precisarão se tornar mais informados sobre segurança. De acordo com a pesquisa, 94% dos profissionais brasileiros acreditam que faltam habilidades e recursos para a segurança de aplicativos.

 

5- Incorporar Inteligência Artificial em processos de segurança de aplicativos

À medida que cibercriminosos utilizam de novas tecnologias para ameaçar organizações, a Inteligência Artificial (AI) e o Aprendizagem de Máquina (ML) são essenciais para identificar lacunas, prever vulnerabilidades e automatizar processos para remediar quaisquer falhas de segurança.

 

Os AIOps ampliam os recursos humanos em várias tarefas de segurança cibernética, incluindo monitoramento, avaliação e resolução de problemas de segurança. Dessa forma, as equipes de segurança conseguem se concentrar em adversidades de maior valor e permitindo que colaborem de maneira mais eficaz e estratégica durante todo o ciclo de vida do desenvolvimento.

 

Ainda segundo o estudo da AppD, 76% dos profissionais acreditam que a IA desempenhará um papel cada vez mais importante ao enfrentar os desafios de velocidade, escala e habilidades que sua organização enfrenta na segurança de aplicativos.

 

6- Adote um modelo SRE (Site Reliability Engineer)

Muitas equipes de desenvolvimento e operações tradicionalmente operam com uma “mentalidade de silo”, com objetivos essencialmente conflitantes. Os desenvolvedores priorizaram a velocidade de lançamento e os recursos do produto acima de tudo, enquanto as equipes de operações se concentraram exclusivamente na estabilidade da produção, garantindo que os aplicativos não sofram com problemas de desempenho ou interrupções.

 

O papel do SRE é crucial para superar esse antigo conflito de interesses, reunindo essas duas funções para o benefício geral do projeto, dos usuários finais e do negócio. Uma estratégia holística e integrada para segurança de aplicativos agora é essencial para que as organizações colham os benefícios das tecnologias nativas da nuvem, enquanto gerenciam um cenário de risco cada vez mais complexo.

 

*Simon Pearce é Executive CTO, APAC na Cisco AppDynamics

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

ANPD volta a defender protagonismo na regulamentação da IA

Em evento organizado pela PUC-Rio, a diretora Miriam Wimmer lembrou que a Lei Geral de Proteção de Dados atribui à...
Security Report | Overview

Procuradores do MPF participam de curso sobre combate à Cibercriminalidade

Treinamento teve como objetivo proporcionar novas competências práticas na investigação de crimes cometidos pela internet...
Security Report | Overview

Dark Web: ambiente profundo é o Pré-Sal do Cibercrime de dados?

Da mesma forma que a reserva petrolífera na costa brasileira se tornou essencial à economia de combustíveis fósseis do país,...
Security Report | Overview

42% dos consumidores tiveram contato com ciberataques em mobile

A pesquisa da Appdome ressalta que tanto os próprios usuários quanto pessoas próximas a eles entraram no radar do Cibercrime....