Proteger os aplicativos na era da API pode ser uma batalha difícil. À medida que o desenvolvimento acelera, a responsabilidade se torna obscura e fazer com que os controles funcionem se torna um desafio em si. É hora de repensarmos nossas estratégias de segurança de aplicativos para refletir novas prioridades, princípios e processos na era da API. A proteção dos aplicativos de amanhã começa com a avaliação dos riscos do negócio hoje.
As tendências e riscos que moldam os aplicativos de hoje
À medida que o mundo continua a se tornar cada vez mais interconectado por meio de dispositivos, e das APIs que os conectam, os indivíduos estão se acostumando com a experiência sem atrito que eles fornecem. Embora essa realidade sem atrito seja sem dúvida mais amigável, ou seja, mais rápida e conveniente, ela também exige uma compensação. Essa conveniência exige abertura, e a abertura é um risco quando se trata de segurança cibernética.
De acordo com Sidney Gottesman, vice-presidente sênior de inovação de segurança da Mastercard, a situação acima leva a uma das maiores tendências que moldam a postura de segurança para os aplicativos de hoje: uma crise de confiança entre os indivíduos e os aplicativos que eles usam.
Uma segunda tendência importante é a da cadeia de abastecimento. Simplesmente lidar com seus próprios riscos não é suficiente, pois os ataques cada vez mais penetram nos sistemas internos por meio de componentes de terceiros fornecidos pelo fornecedor. Em produtos digitais e até em produtos de hardware conectados, as cadeias de suprimentos agora são compostas por diferentes serviços agrupados no produto final por meio de APIs, criando um novo tipo de risco de integração enraizado na cadeia de suprimentos.
Se os recentes ataques na Colonial Pipeline e JBS indicam algo, é que outra grande tendência é a abundância de agentes maliciosos, tanto em nível individual quanto estadual. As empresas agora devem presumir que, mais cedo ou mais tarde, serão atacadas e devem estar preparadas.
A abundância de dados não pode ser ignorada. As empresas estão armazenando, gerenciando e permitindo o acesso a tantos dados, tornando a camada de aplicativo (e APIs) mais atraente para os invasores. Regulamentações crescentes destinadas a melhorar as posturas de segurança de empresas públicas e privadas também obtêm um lugar especial no panorama das tendências de segurança.
A segurança do aplicativo não é o que costumava ser
80% das empresas atualmente permitem acesso externo a dados e funcionalidades por meio de APIs, de acordo com uma pesquisa recente por especialistas de segurança. Os resultados vão ao encontro de outras pesquisas sobre o tema e concluem que as empresas estão muito mais abertas do que há alguns anos e estão crescendo.
Mas isso significa que a segurança do aplicativo foi além de seu status de “porteiro” de perguntar “quem tem permissão para entrar?” Hoje em dia, a segurança de aplicativos deve assumir que os usuários já estão dentro do aplicativo e se concentrar em perguntar, “o que permitimos que eles façam?”, “Qual é o uso esperado?” e “como paramos um comportamento indesejável?”.
De acordo com especialistas a mudança fundamental que as empresas devem fazer em sua abordagem à segurança de aplicativos é que proteger o perímetro do aplicativo contra penetração externa simplesmente não faz sentido na era das APIs.
Construir camadas de segurança em torno do aplicativo não funcionará quando o aplicativo for exposto por meio de APIs. Em vez disso, uma nova abordagem de dentro para fora é necessária. Esta nova abordagem pressupõe a penetração da aplicação no serviço do usuário, mas coloca mecanismos de proteção no local caso o ator seja malicioso.
Se você perguntar aos desenvolvedores, eles dirão que a segurança sempre existiu, mas agora se tornou crítica. No entanto, não é uma questão de adicionar novas ferramentas ou automações, mas sim uma questão de fazer uma mudança fundamental nas pessoas, processos e cultura.
Na corrida por entregas ágeis super-rápidas, muitas empresas estão adotando uma abordagem DevSecOps que exige a integração de práticas de segurança dentro do ciclo de vida de desenvolvimento. Mas enquanto muitos estão falando sobre fazer isso, apenas cerca de metade está realmente fazendo algo a respeito.
Gerenciar a segurança entre equipes distintas não é uma tarefa fácil
Em uma empresa de aviação americana Allegiant Airlines, o diretor de segurança da informação, Rob Hornbuckle, está liderando uma iniciativa interessante para melhorar a conscientização, a visibilidade e a colaboração entre as equipes e o ciclo de vida de desenvolvimento.
Para desenvolver e manter seus aplicativos voltados para o cliente, eles têm 10 equipes de desenvolvimento persistentes a qualquer momento. No entanto, orquestrar a segurança entre equipes distintas não é um problema. Requer visibilidade substancial e uma mudança de cultura que incentive a iniciativa e tomada de responsabilidades.
Para manter a segurança na vanguarda, eles estabeleceram um programa campeão de segurança que coloca duas pessoas em cada equipe com a responsabilidade de garantir certos padrões de segurança durante o desenvolvimento. Esses campeões ajudam o resto da equipe a impulsionar o conhecimento e a comunicação em todo o sistema.
Este programa permite a visibilidade da segurança do aplicativo no nível organizacional por meio de reuniões mensais que se concentram em tudo o que está acontecendo com a segurança nos diferentes grupos de programação de aplicativo. Essas reuniões permitem que a organização forneça indicadores sobre a integridade geral da segurança alcançada por diferentes equipes ao longo do tempo para ajudar a obter a adesão de executivos seniors e membros do conselho.
Visibilidade, ou: “Ser capaz de identificar o que precisa ser consertado primeiro”
Com muitas empresas usando dezenas, senão centenas ou mais, de diferentes ferramentas de segurança que abordam diferentes sistemas, os CISOs são desafiados a entender o que é de importância crítica, para que possam efetivamente priorizar vulnerabilidades para mitigar riscos.
Mas só porque um servidor está desatualizado não significa necessariamente que ele representa um verdadeiro risco para os negócios. O que é necessário não é apenas a visibilidade das vulnerabilidades, mas também da exposição que ela cria e do impacto comercial potencial em caso de violação.
Para realmente ser capaz de associar o risco do negócio a uma vulnerabilidade, especialistas acreditam que a gestão executiva precisa tanto de uma compreensão sólida da programação de aplicativos quanto de um conhecimento formidável do funcionamento interno do modelo de negócios de uma organização. Isso permite que eles priorizem a mitigação de acordo com o verdadeiro impacto comercial de uma violação potencial em seu modelo comercial exclusivo.
Mesmo que uma vulnerabilidade específica fosse capaz de interromper as operações na Colonial Pipeline, por exemplo, isso não significa que essa mesma vulnerabilidade representa qualquer risco para os resultados financeiros de outra organização, especialmente se seu modelo de negócios for diferente. Os ativos mais importantes a serem protegidos são os serviços e aplicativos que expõem funções críticas de negócios.
Desenvolvendo uma visão dos riscos do aplicativo no contexto do gerenciamento de riscos corporativos
Unir a organização em torno da segurança não é uma tarefa fácil, especialmente quando sua entrada por mais valiosa e importante que seja, geralmente cria atrasos e adiciona trabalho para as equipes de desenvolvimento apressadas. Garantir que todos os níveis da organização entendam a importância da equipe de segurança é uma etapa crítica na implementação de processos de desenvolvimento seguros.
O primeiro passo é a descoberta, saber o que você tem, como é usado, por que existe. Embora essa etapa seja bastante direta, na segunda etapa, governança, as empresas devem buscar entender quais etapas estão realizando em termos de desenvolvimento, manutenção e monitoramento contínuo de aplicativos. As organizações devem garantir que tenham um comitê de governança centralizado ou uma equipe terceirizada de risco de tecnologia para supervisionar as medidas de segurança internas da organização.
A terceira etapa é a de garantia em relação às medidas de segurança em andamento. O monitoramento de segurança contínuo que analisa continuamente novas vulnerabilidades à medida que são descobertas reduz significativamente os riscos, já que as vulnerabilidades exploradas são frequentemente aquelas que não eram conhecidas pela organização.
Por fim, a resiliência é outra capacidade fundamental a ser desenvolvida. Implementar procedimentos concretos para resposta a incidentes e reduzir a exposição é essencial caso as vulnerabilidades tenham sido exploradas. Como muitas organizações já estão usando diferentes soluções de segurança, garantir o uso eficaz dessas soluções na proteção de aplicativos de negócios críticos é fundamental.
A surpreendente vantagem dos regulamentos de segurança
Assim como os indivíduos, as equipes também têm reputação. Para as equipes de segurança, é muito importante garantir que, ao longo do tempo, elas não sejam vistas como um incômodo que atrapalha as entregas rápidas, mas sim como um facilitador de negócios. É aqui que os regulamentos podem realmente percorrer um longo caminho para garantir que esse não seja o caso.
Ao condicionar o lançamento de novas iniciativas à adesão às medidas de segurança, proteção e conformidade, as equipes de segurança se tornam uma necessidade. Assim que as equipes de segurança definirem claramente os limites entre os regulamentos, as vulnerabilidades que descobrem e o impacto nos negócios, as equipes de desenvolvimento deixarão de vê-los como um incômodo.
Isso eleva a segurança a um facilitador de negócios estratégico e até um diferencial competitivo.
Na Mastercard, por exemplo, sob a liderança de um CEO que tem se concentrado na segurança desde o início, sua equipe de segurança corporativa está no centro de seu modelo de negócios e fornece serviços de segurança para todos os seus clientes e para o ecossistema em geral .
Na era da API, as organizações devem repensar sua postura de segurança. Tendências como crise de confiança, interconectividade da cadeia de suprimentos, regulamentações e o número crescente de agentes mal-intencionados ditam a mudança para uma abordagem de dentro para fora em termos de segurança cibernética.
Com mais e mais empresas permitindo que os usuários acessem dados e funcionalidades por meio de APIs, a perspectiva de segurança deve mudar de restringir o acesso para melhores controles e permissões.
Para começar, as organizações devem primeiro garantir uma visibilidade clara das vulnerabilidades e a capacidade de priorizar de acordo com o impacto nos negócios. Garantir que toda a organização compreenda as ameaças e os riscos impostos a seus processos de negócios críticos também é fundamental.
Estabelecer processos formais, incluindo descoberta, garantia, monitoramento contínuo e resiliência e, finalmente, mudar a visão das equipes de segurança de um incômodo para uma necessidade é fundamental para o envio de produtos seguros.
REFERÊNCIAS:
https://thehackernews.com/2021/07/rethinking-application-security-in-api.html
https://www.bbc.com/news/world-us-canada-57318965
https://thehackernews.com/2021/05/ransomware-cyber-attack-forced-largest.html