BLOG | ESCRITÓRIO DO DIRETOR DE TECNOLOGIA

Estratégia de Aplicação do Estado 2022: A segurança muda para a identidade

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 06 de junho de 2022


Nos oito anos desde que lançamos a pesquisa anual que se tornaria o Relatório de Estratégia do Estado de Aplicativos, vimos a ascensão constante da segurança ao topo da pilha de serviços de entrega e segurança de aplicativos.

A disponibilidade como uma categoria geral, abrangendo tecnologias como balanceamento de carga, cache e CDNs, manteve a mais alta prioridade por quase o mesmo tempo que um servidor web recém-lançado levou para sobreviver sem ser incomodado na Internet em 2003. O que, para quem não sabe, não foi muito longo.

A segurança subiu quase imediatamente para o topo da pilha e permaneceu lá, sem ser desafiada, desde 2017.

Até agora.

Este ano, pela primeira vez, vimos um serviço de segurança não essencial chegar ao topo da lista de “mais implantados”. Esse serviço é identidade .

Implantação de todos os serviços de segurança e entrega

Mas não é só que a identidade e o acesso se tornaram as tecnologias mais implantadas. Há muitas evidências em nossa pesquisa que apontam para uma mudança significativa em direção à segurança baseada em identidade.

Considere a segurança da API. Sim, as pessoas estão implementando isso. Mas nos aprofundamos nos detalhes e perguntamos sobre tipos específicos de proteção que os entrevistados consideravam valiosos. Nós os agrupamos vagamente em três categorias:

  1. Tradicional. Essas proteções derivam em grande parte das proteções baseadas na web incluídas em firewalls de aplicativos da web há anos. Limitação de taxa, OWASP Top Ten e, claro, criptografia/descriptografia.
  2. Moderno. Essas proteções surgiram nos últimos anos e se tornaram uma fonte significativa de segurança para APIs. Este grupo inclui inspeção de carga útil (conteúdo), como busca por malware e conteúdo malicioso, e autenticação/autorização. Spoiler: essa é a parte da identidade.
  3. Adaptável. Proteções adaptativas são uma nova categoria, impulsionada pela capacidade de aproveitar IA e aprendizado de máquina para realizar análises comportamentais que podem diferenciar entre usuários humanos e não humanos. Essas técnicas tendem a formar a base para serviços antifraude e proteção contra bots.

Perguntamos aos entrevistados quais proteções consideravam as mais “valiosas” nesta lista. Os resultados mostraram um alto grau de sofisticação de segurança, especialmente entre aqueles que realmente implementaram proteções de API no ano passado. Assim como na implantação de serviços, a identidade estava no topo da lista de proteções mais valiosas para APIs.

Proteções de API mais valiosas

O valor atribuído aos métodos adaptativos é promissor. Isso não é totalmente surpreendente, dada a grande aceitação da IA e do aprendizado de máquina para impulsionar serviços de segurança. Dado o volume de dados e o impacto de perder um ataque, não é surpresa que todo o setor esteja se voltando para métodos de segurança mais avançados e adaptáveis para proteger tudo, desde a infraestrutura até os aplicativos e o próprio negócio.

Tanto a análise de identidade quanto a análise comportamental são partes importantes de uma estratégia de segurança abrangente, especialmente para APIs, dado o papel que elas desempenham cada vez mais no fortalecimento da economia digital. A inspeção também continua sendo essencial, já que muitos ataques — principalmente malware e conteúdo malicioso — costumam ser facilmente identificados por uma assinatura exclusiva que pode ser comparada à carga útil de uma transação de API. A velocidade de identificação é tão importante quanto a confiança na identificação de um possível ataque, e a inspeção continua sendo um método rápido e confiável de identificar conteúdo malicioso.

Por fim, vemos a implantação de tecnologia relacionada à identidade como resultado da transformação digital acelerada pela COVID. Perguntamos aos entrevistados que tipos de mudanças estavam sendo feitas em suas estratégias de segurança pós-COVID. Mais de um quarto (26%) implementaram uma solução de credential stuffing e 34% implementaram estruturas de segurança de API.

O primeiro número é relevante para este tópico, pois o credential stuffing tem como objetivo proteger a identidade (credenciais) das pessoas em um mundo digital. Dado o incrível aumento de opções digitais para todos os tipos de negócios ao longo da pandemia, é animador ver pelo menos alguns levando a sério sua responsabilidade de proteger a identidade.

Essa é uma tendência relativamente rápida em segurança e esperamos que ela continue a se tornar mais difundida à medida que as organizações expandem ainda mais sua presença na economia digital. A importância das APIs prevê a necessidade de identificar com mais precisão o "usuário" das APIs, especialmente com a crescente importância das APIs na automação, arquiteturas de aplicativos nativos da nuvem, ecossistemas digitais e, claro, IoT. Proteger APIs em uma economia digital não é apenas uma preocupação tecnológica, mas também empresarial.

Mas a tendência também indica o quão importante a identidade é em um mundo digital e por que é apenas um tanto surpreendente ver serviços relacionados à identidade chegarem ao topo das tecnologias de segurança e entrega de aplicativos mais implantadas em 2022.

Essa mudança em direção à identidade revelada por nossa pesquisa também é significativa à medida que o mercado adota a confiança zero como uma abordagem fundamental à segurança. A confiança zero foi nomeada por 40% dos entrevistados como a tendência ou tecnologia “mais empolgante”. Como modelo arquitetônico, a confiança zero se concentra em proteger e proteger aplicativos e infraestrutura projetando redes com microperímetros seguros e limitando riscos ao restringir privilégios e acessos de usuários.

No centro da confiança zero está uma questão simples: quem deve ter acesso a um recurso? Embora seja preciso muito mais para responder a essa pergunta e aplicar as políticas resultantes no núcleo, na nuvem e na borda, sem identidade toda a abordagem desmorona.

Ainda não se sabe se a identidade continuará sendo a principal prioridade, mas, considerando que tendências emergentes como a Web3 também colocam uma grande ênfase na identidade como uma construção central, achamos provável que a mudança na segurança em direção à identidade esteja apenas começando.

Confira outros blogs para aprofundar-se em tópicos selecionados:

Estratégia de Aplicação do Estado 2022: Desembalando 8 anos de tendências ›

Estratégia de Aplicação do Estado 2022: Cargas de trabalho de ponta se expandindo para aplicativos e dados ›

Estratégia de Aplicação do Estado 2022: Inovadores digitais destacam a importância da modernização ›

Estratégia de Aplicação do Estado 2022: A complexidade da multi-nuvem continua ›

Estratégia de Aplicação do Estado 2022: Tendências de desempenho ›

Estratégia de Aplicação do Estado 2022: Hora de modernizar as operações ›

Estratégia de Aplicação do Estado 2022: O futuro dos negócios é adaptável ›