Os profissionais de Segurança da Informação enfrentam grandes desafios para gerenciar uma grande quantidade de ferramentas usadas para lidar com os riscos cibernéticos em aplicações e infraestruturas multicloud.
E quando falamos em Segurança voltada as aplicações sempre surgem dúvidas: Como dividir o orçamento entre ferramentas e pessoas? Quais ferramentas funcionarão melhor para o conjunto de tecnologias existentes?
Com tantas opções não há respostas fáceis, e escolher as opções erradas podem custar tempo e dinheiro mais tarde.
Um relatório recente descobriu que o mercado de ferramentas de segurança de aplicativos experimentará um crescimento explosivo entre agora e 2025. Esta é uma forte indicação de seu papel indiscutível em práticas DevSecOps bem-sucedidas, e de crescente relevância da indústria em face de volumes crescentes de potenciais códigos com vulnerabilidades de segurança.
Infelizmente, quase metade de todas as organizações conscientemente rodam códigos vulneráveis em seus ambientes produtivos, apesar de usar uma série de ferramentas AppSec projetadas para impedir exatamente isso. Uma afirmação que faz pouco sentido quando falamos de um mercado com uma demanda ganhando força, não faz?
Por que tantos comprariam ferramentas de segurança sofisticadas, apenas para ignorar suas descobertas ou simplesmente não usá-las? É tipo comprar uma casa de frente para a praia e dormir em uma barraca na areia.
Existem algumas razões pelas quais as ferramentas AppSec não são utilizadas como esperávamos, e a questão aqui é menos sobre as ferramentas e sua funcionalidade e mais sobre como elas se integram a um programa de segurança como um todo:
Ter mais ferramentas plugadas em seu ambiente não significam menos problemas.
Conforme as empresas evoluem seus processos de desenvolvimento de software, passando de Agile para DevOps e DevSecOps, é inevitável que vários scanners, monitores, firewalls e todos os tipos de ferramentas AppSec sejam adquiridos ao longo do caminho.
Embora possa parecer um caso de “quanto mais, melhor”, muitas vezes isso leva a uma pilha de tecnologias, um verdadeiro “Frankenstein”, com toda a imprevisibilidade que isso implica.
Com orçamentos e recursos especializados cada vez mais limitados para o escopo do trabalho necessário, tentar desfazer a bagunça e encontrar a melhor estratégia de uso de soluções se tornou uma tarefa difícil, e o código que precisa ser verificado e corrigido continua chegando.
Não é de se admirar que muitas organizações tenham mantido o código vulnerável em produção, embora seja bastante alarmante e ainda represente um risco imenso para nossos dados e privacidade.
O resultado final é um conjunto de ferramentas que pouco se integram, não importa o quão novas e brilhantes sejam, e que não permitem uma organização “plug and play” e um processo DevSecOps funcional.
Análise de vulnerabilidade lenta, afetando a agilidade de liberação do código.
Alcançar a segurança ao codificar com velocidade se tornou um grande desafio para muitas organizações, e ainda estamos tentando acertar, mesmo quando pensamos em uma abordagem DevSecOps.
A revisão de código meticulosa e manual pode ter funcionado para maximizar a segurança na década de 1990, mas em uma época em que produzimos centenas de bilhões de linhas de código, é muito lenta e não mais eficaz.
Não existe ferramenta perfeita que encontre todas as possíveis vulnerabilidades, e existem alguns problemas gritantes com os resultados que uma equipe de segurança normalmente recebe após uma varredura como:
– falsos positivos (e negativos), fazendo com que um especialista em segurança ainda tenha que se sentar e fazer uma revisão manual para separar os bugs reais dos bugs fantasmas.
– Muitas vulnerabilidades comuns são reveladas e deveriam ter sido detectadas antes mesmo de seu primeiro commit, em fase de code review ainda. Não dá para pedir que seus caros especialistas em segurança sejam distraídos dos grandes e complexos problemas de segurança com erros que podiam ser corrigidos lá atrás ainda em fase inicial de codificação. (shift-left Security)
Scanners encontram problemas, eles não os corrigem.
Mesmo em uma organização que está dando o melhor de si para atender às melhores práticas de segurança cibernética e incluir segurança em todas as fases do processo, se sua dependência for apenas de scanners, certamente ainda não encontrou o verdadeiro benefício do DevSecOps.
É difícil encontrar um equilíbrio entre ferramentas e pessoas.
As empresas que adotam o DevSecOps se esforçam para tornar a segurança uma responsabilidade compartilhada, trazendo toda a área de tecnologia da empresa junto na jornada para garantir um nível mais alto de segurança.
As ferramentas não fazem tudo e nem mesmo é a maneira mais barata. Os melhores resultados são alcançados trabalhando para manter a segurança na mente da equipe de desenvolvimento, aprimorando-os e construindo uma cultura de segurança positiva liderada por humanos, com uma ferramenta que lhes proporcione uma visão integrada, de fácil implementação, integração, identificação de ameaças e controle, que funciona para complementar seus esforços.
A Agility através de sua oferta XaaS Proteção de aplicações Multicloud endereça esta visão integrada de vulnerabilidades de uma maneira simples e rápida, adicionando uma camada de segurança em qualquer esteira DevOps, criando o DevSecOps com tecnologias, serviços, e de forma plug and play.