A segurança de aplicações na era de microsserviços

0
464

This post is also available in: Inglês Francês Alemão Italiano Espanhol Russo

À medida que as organizações dividem suas aplicações em microsserviços, utilizando contêineres como a arquitetura perfeita para isso, a responsabilidade de proteger esses ambientes muda, expondo as empresas a uma variedade mais ampla de riscos de segurança e lacunas na proteção.

Na verdade, estamos em um ponto de inflexão cultural entre o papel do DevOps e o CISO. Embora os CISOs enfrentem a responsabilidade de manter sua organização segura a todo custo, para as equipes de DevOps, a agilidade é fundamental para as operações da empresa e, por isso, frequentemente se inclinam para uma abordagem “boa o suficiente” (e às vezes até uma abordagem “nem pensar!”) em relação à segurança.

Então, o que isso significa para as empresas e o panorama da cibersegurança?

Concentramos nossa pesquisa de mercado de 2019 em torno da comunidade de DevOps e DevSecOps. Queríamos descobrir quão comum o DevOps tinha se tornado e qual era grau de influência em relação às decisões sobre segurança da informação. Para isso, entrevistamos quase 300 profissionais de empresas de todos os portes ao redor do mundo. Veja abaixo um resumo das nossas descobertas.

Empresas adotam tecnologias e conceitos emergentes

As empresas estão cientes de que, como parte da transformação digital, a introdução de novas estruturas exige mente (e carteira) abertas quando se trata de novas soluções. E elas estão tentando e/ou adquirindo medidas de segurança adicionais.

[Você também pode se interessar por: 4 desafios emergentes para a proteção de aplicações modernas]

Por exemplo, 67% das empresas entrevistadas executam microsserviços/contêineres, e, das quais 53% já usam algum tipo de tecnologia de segurança para contêineres. Além disso, 43% usam uma solução dedicada para proteger funções sem servidor durante o tempo de execução para que não haja interrupções ou vazamentos de dados.

Embora isso pareça promissor, parece que as empresas estão adotando uma estratégia de “tentativa e erro”, acumulando inúmeras tecnologias, mas não necessariamente otimizando sua interoperabilidade. Em vez disso, elas esperam que a solução seja ter várias soluções disponíveis.

Como os microsserviços e o gerenciamento de contêineres ainda são considerados tecnologias emergentes, é imperativo que as empresas ainda estejam na fase de aprendizado para combinar as soluções e práticas certas com as novas infraestruturas e fluxos de dados. No entanto, a falsa confiança em modelos de segurança existentes prevalece, gerando lacunas de segurança inesperadas que causam violações de dados.

Empresas seguem as práticas de segurança necessárias

As empresas não estão apenas dispostas a adotar tecnologias de segurança emergentes, como também seguem amplamente o “livro sagrado” das práticas de segurança da informação. Bons exemplos:

  • 70% das empresas têm controles de segurança no tráfego Leste-Oeste.
  • Mais da metade executa revisões de código, além dos testes de segurança e das soluções de WAF utilizadas.
  • 52% consideram que o principal critério para selecionar tecnologias de segurança de aplicações é a qualidade da segurança.

Essa noção é bem demonstrada pelas práticas de segurança de API. Segundo o gráfico abaixo, as empresas estão cientes dos riscos de segurança provenientes das APIs e os abordam, de maneira ativa, uma medida inteligente, já que as APIs são hoje a “cola” que une ferramentas, aplicativos, sistemas e ambientes.

[Você também pode se interessar por: Como impedir o abuso de API em tempo real]

Seguir práticas de segurança básicas e adotar cargos como DevSecOps (mais de 90% das empresas já têm equipes de DevOps ou DevSecOps, e 58% relataram uma proporção de 1:6 e 1:10 DevSecOps para a equipe de desenvolvimento), além de acumular tecnologias de segurança de aplicações, são medidas que ajudam as empresas a desenvolver um alto senso de confiança:

As aplicações ainda são hackeadas

Apesar disso, os hackers ainda prevalecem, visto que os ataques às aplicações continuam sendo uma ameaça constante. 88% dos respondentes relataram ataques ao longo do ano e 90% sofreram uma violação de dados. A amplitude dos ataques enfrentados diariamente pelos respondentes incluía violações de acesso, envenenamento de sessão/cookie, injeções de SQL, negação de serviço, ataques a protocolos, cross-site scripting (XSS), falsificação de solicitação entre sites e manipulações de API.

[Você também pode se interessar por: Ameaças em APIs e aplicativos móveis]

Dos respondentes, 56% apontaram uma falha no entendimento dos limites da responsabilidade pela segurança entre eles e o provedor de serviços de nuvem pública. Muitos ainda enfrentam diferentes tipos de ataques contra suas aplicações semanalmente.

A propósito, os gateways de APIs não parecem ser eficazes. Eles são usados principalmente para autenticação (37%) e filtragem de IP (30%), além de balanceamento de carga básico (28%), mas certamente não conseguem bloquear todos os tipos de manipulações e abusos de API.

Em geral, soluções baseadas em regras estáticas e heurística rígida não podem fornecer o nível adequado de segurança de aplicações, pois elas mudam o tempo todo. Metade dos respondentes relata que seus aplicativos estão em constante mudança, e comumente várias vezes por dia, uma tarefa impossível de ser controlada por seres humanos. Para fazer isso, é necessário detectar a mudança, ajustar, validar e aplicar a política. Ninguém consegue fazer isso, é preciso automação.

O ritmo acelerado das mudanças transfere parte do poder para o novo comprador, que é responsável pelo rápido desenvolvimento e entrega de aplicações e microsserviços, além de criar o ambiente de SLDC e selecionar as ferramentas. O papel emergente dos DevOps e DevSecOps vem tendo uma maior influência sobre as decisões e práticas de segurança. Você deve ser lembrar, essa era a hipótese que queríamos testar.

[Você também pode se interessar por: O DevOps é seu maior risco de segurança?]

Quem está dando as ordens?

Definitivamente não é a equipe de segurança. TI ainda é influenciador #1 na seleção de ferramentas, definição de políticas e implementação de soluções de segurança de aplicações (TI controla o orçamento, mas, ainda assim, é alarmante saber que 70% dos CISOs não têm a palavra final).

A transformação digital é mais do que digital

Nossa conclusão com base nessa pesquisa é que os ataques ainda prevalecem porque as empresas não consideram totalmente o impacto da transformação digital em seus negócios.

Na transformação digital, a tecnologia lidera a mudança. E, embora novas tecnologias e estruturas sejam adquiridas e adotadas (essa é a parte fácil!), a tecnologia por si só não consegue cumprir a promessa. Apesar da disposição das empresas para seguir práticas de segurança adequadas, os ataques continuam tendo sucesso. Por quê?  Porque as empresas não deram o segundo passo da transformação digital: o passo não digital de adquirir novos conjuntos de habilidades, ajustar processos de negócios e redefinir papéis e responsabilidades.

É aí que a segurança de aplicações falha. Se os profissionais de segurança puderem fazer seu trabalho e transformar a segurança em um facilitador de negócios, poderemos, finalmente, ver a segurança funcionando a todo vapor nas empresas.

Next articleBitcoin e o seu provável impacto no cenário de ameaças
Ben Zilberman is a director of product-marketing, covering application security at Radware. In this role, Ben specializes in web application and API protection, as well as bot management solutions. In parallel, Ben drives some of Radware’s thought leadership and research programs. Ben has over 10 years of diverse experience in the industry, leading marketing programs for network and application security solutions, including firewalls, threat prevention, web security and DDoS protection technologies. Prior to joining Radware, Ben served as a trusted advisor at Check Point Software Technologies, where he led channel partnerships and sales operations. Ben holds a BA in Economics and a MBA from Tel Aviv University.

LEAVE A REPLY

Please enter your comment!
Please enter your name here