BLOG

Esticando para a esquerda com monitoramento de segurança de aplicativos de pilha de ameaças

Miniatura F5
F5
Atualizado em 10 de agosto de 2020

O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .

Os desenvolvedores sempre trabalharam demais. Eles enfrentam um fluxo constante de trabalho focado em recursos da empresa e precisam equilibrar isso com trabalho envolvendo desempenho, qualidade, confiabilidade e dívida técnica. Embora o DevOps e os pipelines de CI/CD altamente automatizados tenham tornado os desenvolvedores mais produtivos ao remover tarefas de baixo valor não relacionadas ao desenvolvimento, na verdade, eles aumentaram ainda mais a pressão para entregar. De acordo com o DORA Accelerate de 2018: Relatório sobre o estado do DevOps : equipes de DevOps de alto desempenho têm 46 vezes mais implantações de código frequentes do que equipes de baixo desempenho. Isso representa muito mais trabalho para os desenvolvedores — mais trabalho de alto impacto, felizmente, mas ainda assim mais trabalho. 

Agora, surge o setor de segurança dizendo a essas organizações que elas precisam "mudar a segurança para a esquerda" e adotar o DevSecOps. Isso significa transferir a responsabilidade pela segurança para um estágio anterior do processo de desenvolvimento e incorporá-la à abordagem DevOps para desenvolvimento e entrega de software. Parece ótimo em princípio, mas as conversas sobre DevSecOps raramente começam com uma recomendação para contratar engenheiros de software adicionais. Então, como desenvolvedores já sobrecarregados devem assumir o fardo da segurança, além de recursos, qualidade, desempenho e dívida tecnológica? Não é que eles não se importem; é só uma questão de tempo. Em um relatório recente do Threat Stack, 44% dos profissionais de DevOps disseram que teriam que confiar em outra pessoa para resolver problemas relacionados à segurança. E mesmo que encontrem algum tempo para se dedicar à segurança, muitos desenvolvedores não têm a experiência necessária para saber como melhorar a segurança de seus aplicativos. Um estudo de 2016 descobriu que, dos 10 melhores programas de ciência da computação nos EUA, nenhum programa exige um curso de segurança cibernética para se formar. 

Para muitos desenvolvedores, “shift left” soa muito como “despeje mais trabalho em nós”.

As equipes de segurança não são antipáticas. Eles sentem o impacto de muito software com pouca cobertura de segurança há anos. Muitas organizações não têm uma equipe dedicada à segurança de aplicativos, e aquelas que têm uma estão extremamente sobrecarregadas. Empresas com uma equipe formal de segurança de software, de acordo com a pesquisa mais recente do BSIMM , precisam sobreviver com uma média de apenas um membro da equipe de segurança para cada 75 desenvolvedores! Você pode ter certeza de que o único profissional de segurança não quer ser aquele que atrapalha os 75 desenvolvedores que entregam o valor ao cliente que foi prometido à empresa! Na conferência RSA deste ano, 40% dos entrevistados disseram que o maior obstáculo à implementação de programas de segurança de aplicativos era seu impacto na agilidade e na velocidade do desenvolvimento ou implantação de aplicativos. 

Então qual é a solução? A segurança não pode ser simplesmente transferida para o backlog de equipes de desenvolvimento despreparadas e sobrecarregadas, mas as equipes de AppSec não têm mão de obra e acesso ao SDLC para abordar o risco do aplicativo no início do processo.

Recentemente, introduzimos o Threat Stack Application Security Monitoring (também conhecido como AppSec Monitoring) em nossa solução de observabilidade de segurança em nuvem full-stack como parte da Threat Stack Cloud Security Platform® (sem custo adicional). O AppSec Monitoring foi projetado para enfrentar esses desafios do DevSecOps de frente. Acreditamos que a segurança de aplicativos em um mundo DevOps é possível quando atendemos a três objetivos:

  1. Crie oportunidades para abordar a segurança do aplicativo o mais cedo possível no processo
  2. Forneça uma maneira para que os profissionais de segurança ajudem os desenvolvedores a priorizar o trabalho que terá o maior impacto
  3. Dê aos desenvolvedores o contexto e o treinamento de que precisam para reduzir o risco com o mínimo de ajuda

Os desenvolvedores adicionam o AppSec Monitoring ao seu aplicativo quando o desenvolvimento começa, adicionando-o como uma dependência, assim como qualquer outro componente de terceiros. Uma função de inicialização de uma linha é adicionada ao aplicativo, e isso é tudo o que é necessário para começar. Não há necessidade de instalar servidores ou ferramentas adicionais, nem de escrever ou gerenciar testes. O AppSec Monitoring funciona silenciosamente em segundo plano sempre que o aplicativo é executado, para que o desenvolvedor possa continuar o trabalho de desenvolvimento sem ficar lento. Desse ponto em diante, até o restante do SDLC, o AppSec Monitoring continua sendo executado dentro do aplicativo para ajudar a equipe a proteger e reduzir riscos.

 

Uma adição de código de linha única adiciona o Threat Stack AppSec Monitoring a qualquer aplicativo Node.js

(Uma adição de código de linha única adiciona o Threat Stack AppSec Monitoring a qualquer aplicativo Node.js.)

Cada vez que o aplicativo é executado — seja na máquina local de um desenvolvedor, no ambiente de construção, em teste ou em produção — o Threat Stack analisa o aplicativo para identificar riscos potenciais. Isso pode ser um risco decorrente do uso de criptografia fraca, invocações de métodos inseguros, configurações inadequadas de banco de dados ou até mesmo do uso de componentes de terceiros conhecidos como vulneráveis. Os profissionais de segurança da equipe (ou os próprios desenvolvedores) podem revisar as descobertas para decidir quais devem ser abordadas primeiro — e o Threat Stack ajuda categorizando-as por nível de risco. 

O risco só pode ser reduzido quando os desenvolvedores têm as informações necessárias para lidar com ele. O AppSec Monitoring fornece isso na forma de conteúdo de e-Learning que explica o risco aos desenvolvedores em sua própria linguagem, com exemplos de código e links para mais conteúdo de aprendizagem externo. Ele também ajuda os desenvolvedores a identificar a localização exata do risco em seu aplicativo — destacando o nome do método e do módulo, o nome do arquivo e até mesmo o número da linha — esteja o risco em seu próprio código nativo ou em um componente de terceiros. Os desenvolvedores ganham uma compreensão do problema e têm o contexto para encontrá-lo e corrigi-lo em seu código, tudo nos estágios iniciais do desenvolvimento, quando é mais fácil e barato consertar.

Com esses três benefícios — identificação antecipada de riscos, ajuda com priorização e contexto e treinamento para lidar com os riscos — a segurança do aplicativo não é deslocada para a esquerda: Está esticado para a esquerda. Ele está incorporado ao processo e facilita a cooperação entre as equipes de Desenvolvimento e Segurança.

Mesmo com os melhores esforços de segurança durante o desenvolvimento, agentes mal-intencionados ainda podem tentar atacar um aplicativo em produção. Se isso acontecer, o Threat Stack Application Security Monitoring também poderá detectar e bloquear esses ataques em tempo real. Abordaremos exatamente como isso funciona no próximo post. 

Para saber mais sobre o Application Security Monitoring do Threat Stack, que está disponível como parte da Threat Stack Cloud Security Platform sem custo extra, inscreva-se para uma demonstração. Nossos especialistas em segurança terão prazer em discutir seus requisitos específicos de segurança e conformidade.

O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .