*Por Michele Pasini, Arquiteta de Segurança Cibernética da Service IT
Desenvolver, manter e aprimorar a presença digital passou a ser questão de sobrevivência para os negócios a partir de 2020, com o início da pandemia e o crescente das incertezas geopolíticas. A necessidade de digitalização para se conectar aos clientes e se manter relevante tornou-se absolutamente crucial. Segundo o International Data Corporation (IDC), estima-se que em 2021 foram lançadas 195 milhões de novas aplicações e o número continuará crescendo, atingindo 750 milhões de lançamentos em 2025. Os dados demonstram que as organizações acolheram rapidamente a necessidade de digitalização, além de explicitarem que as áreas de desenvolvimento de aplicações continuarão como um setor estratégico.
Mediante esse cenário, as equipes vinculadas à área de desenvolvimento (Dev) devem realizar melhorias contínuas em suas metodologias, buscando agilidade, qualidade e conformidade com as entregas. Por outro lado, equipes vinculadas à área de segurança da informação (Sec) enfrentam o aumento da superfície de ataque relacionado à contínua digitalização das organizações, e buscam por métodos eficazes para reduzir os riscos inerentes ao desenvolvimento de software.
As aplicações são vulneráveis
Se há uma certeza que a área de segurança pode sustentar é que as aplicações desenvolvidas são nativamente vulneráveis. De acordo com o State of Software Security 2023 da Veracode, mais de 74% das aplicações possuem pelo menos uma vulnerabilidade identificada, quando submetida à primeira análise em sua plataforma. Vulnerabilidades classificadas como “High Severity” apareceram em 19.2% das aplicações na primeira análise. Ou seja, representa um risco alto aos negócios.
Como resposta, é comum encontrarmos o uso de testes de intrusão manual (pentest) em Aplicações Web ou Mobile de forma pontual. Vale ressaltar que seu uso isolado para tratar o risco das aplicações não é efetivo, apesar de importante. Realizar apenas testes de intrusão manual, mesmo que a cada nova versão da aplicação, não é o equivalente a ter um modelo DevSecOps implementado. De acordo com o NIST, o custo e o risco para corrigir uma falha ou vulnerabilidade no desenvolvimento de aplicações pode ser até 30x mais alto, quando realizado em produção.
Ao utilizar apenas essa estratégia, já há um prejuízo de até 30% para a empresa no que tange o custo financeiro, mesmo que todas as vulnerabilidades identificadas sejam corretamente tratadas. Adicionalmente, é comum que o relatório de Pentest permaneça por um longo período em backlog frente a outras prioridades das áreas de negócio. Por fim, quando o backlog das vulnerabilidades identificadas no relatório do Pentest é priorizado, em diversos casos, a aplicação já passou por mudanças em sua estrutura ao longo das sprints anteriores, ou seja, o resultado perdeu sua validade e uma nova análise deve ser realizada, reiniciando, assim, o ciclo de investimento e esforço da área de segurança, porém como pouquíssimo resultado efetivo para garantir a segurança dos negócios digitais.
Como tratar o risco de forma efetiva?
O primeiro passo é compreender que as equipes precisam trabalhar juntas em prol da segurança das aplicações. Para que este encontro entre Dev e Sec seja bem-sucedido, a aproximação deve ir muito além de entregar relatórios pontuais para a equipe de desenvolvimento e definir prazos. Na verdade, a aproximação precisa compreender os processos e a metodologia de desenvolvimento das aplicações e utilizar-se de toda a inovação em favor da segurança.
Um ótimo exemplo de uma evolução na área de desenvolvimento foi a iniciativa do DevOps. De acordo com o IDC, DevOps significa um processo de melhoria contínua, ou seja, à medida que as equipes de engenharia de software escalam rapidamente, as organizações devem se concentrar nas táticas certas para gerenciar, capacitar e impulsionar o crescimento em escala.
Como iniciar sua jornada DevSecOps?
O primeiro passo é desconstruir o mito de que DevSecOps é um conceito muito complexo para sua organização. O DevSecOps não é complexo e está longe de ser uma metodologia apenas para grandes empresas, a realidade é que as equipes de desenvolvimento já estão utilizando metodologias ágeis há alguns anos.
O segundo passo é a aproximação entre as equipes de segurança e de desenvolvimento. De acordo com a Veracode, DevSecOps combina cultura, processos e tecnologia, para tornar todos responsáveis pela segurança das aplicações desenvolvidas.
O terceiro passo é investir no conceito de Shift-left, realizar análises contínuas de segurança desde o início do SDLC (Software Development Life Cycle), garantido assim, os feedbacks frequentes para os desenvolvedores sobre vulnerabilidades, priorização da segurança na cultura do desenvolvimento e remediações com menor custo e menor risco aos negócios.
Desta forma, será possível demonstrar os avanços do programa com o DevSecOps e a organização poderá expandir sua presença digital com maior visibilidade e segurança, mantendo-se assim competitiva no mercado.