Explore a segurança contínua

  • 6 minutos

A Segurança Contínua é um dos oito recursos da taxonomia de DevOps.

Descubra por que a Segurança Contínua é necessária

A cibercriminalidade é um facto inevitável dos tempos digitais em que vivemos. Muitas organizações estão sendo atacadas diariamente por criminosos que fazem isso para causar danos ou por hackers que fazem isso por diversão. Assim como nossas organizações, nós, como usuários de serviços de terceiros, também somos possíveis alvos desses ataques.

Aqui estão alguns exemplos da vida real.

Empresa Histórias do mundo real
Icon for issue affecting YahooYahoo Em 2013, todas as 3 bilhões de contas de usuário do Yahoo foram afetadas pelo roubo de dados. A investigação indicou que as informações roubadas não incluíam senhas em texto não criptografado, dados de cartões de pagamento ou detalhes de contas bancárias.
Icon for issue affecting UberUber Em 2016, hackers acessaram as informações pessoais de 57 milhões de usuários. No momento da violação, a Uber pagou aos hackers US$ 100 mil para destruir os dados. Eles não disseram aos reguladores ou usuários que suas informações foram roubadas. Eles divulgaram a violação um ano depois.
Icon for issue affecting InstagramInstagram Em 2017, um hack no Instagram afetou milhões de contas e resultou na exposição dos números de telefone dos usuários. Os números acabaram em uma base de dados onde as pessoas podiam pesquisar as informações de contato da vítima por US $ 10 por pesquisa.
Icon for issue affecting FacebookFacebook Em 2018, hackers roubaram dados pessoais detalhados de 14 milhões de usuários do Facebook. Os dados roubados incluíam resultados de pesquisa, localizações recentes e cidades de origem.
Icon for issue affecting EquifaxEquifax Em 6 de março de 2017, a Apache Foundation anunciou uma nova vulnerabilidade e um patch disponível para sua estrutura Struts 2. Logo depois, a Equifax, uma das agências de relatórios de crédito que avaliam a saúde financeira de muitos consumidores nos EUA, começou a notificar clientes selecionados de que sofreu uma violação. Em setembro de 2017, a Equifax anunciou publicamente a sua violação em todo o mundo. A violação afetou 145,4 milhões de consumidores nos EUA e 8000 no Canadá. Um total de 15,2 milhões de registros foram comprometidos no Reino Unido, incluindo dados confidenciais que afetaram 700.000 consumidores. Em março de 2018, a Equifax anunciou que mais 2,4 milhões de consumidores dos EUA foram afetados do que o divulgado originalmente.

Hoje, o conselho dado por Michael Hayden (ex-diretor da NSA e da CIA) é assumir que você foi violado, e que a defesa em profundidade em cada nível deve ser central para a postura de segurança de uma organização. Segundo Hayden, existem dois tipos de empresas: as que foram violadas e as que ainda não sabem.

A filosofia do grupo de produtos da Microsoft, que inspira sua abordagem DevSecOps, é:

  • presumir que foi violado
  • os maus atores já estão na rede com acesso interno
  • A defesa em profundidade é essencial.

As organizações estão instalando aplicativos em todos os lugares. Eles dependem de aplicativos web e móveis para envolver clientes e software para executar uma nova onda massiva de dispositivos de Internet das Coisas (IoT). Mas esses aplicativos estão expondo as empresas a riscos crescentes; Quando questionados sobre como os atacantes externos realizaram ataques bem-sucedidos, os tomadores de decisão de segurança do caminho de rede global cujas empresas haviam sido violadas nos 12 meses anteriores disseram que os dois principais métodos de ataque eram ataques diretos a aplicativos da Web e tirar proveito de software vulnerável. E as empresas só vão canalizar mais clientes e dados através desses alvos vulneráveis num futuro próximo. A Forrester prevê que a maioria das empresas verá 76% a 100% de suas vendas totais por meio de produtos digitais e/ou produtos vendidos on-line em 2022. Portanto, os profissionais de segurança devem se concentrar em proteger os aplicativos.

Diagram depicts the results of the State of Application Security, 2020 showing that applications remain the most common attack vector. 42% of external attacks were carried out through software vulnerability. 35% were carried out through web applications. 27% were carried out through use of stolen credentials. 25% were due to exploitation of lost or stolen asset, and 24% due to strategic web compromise. 24% were distributed denial of service attacks. 22% were due to mobile malware. 21% were DNS attacks. 18% were due to phishing. 15% were ransomware attacks. 6% of the attacks were committed through social engineering.

Fonte da imagem: The State Of Application Security, 2020, Forrester Research, Inc., 4 de maio de 2020

O que é Segurança Contínua?

Segurança é a aplicação de tecnologias, processos e controles para proteger sistemas, redes, programas, dispositivos e dados contra acesso não autorizado ou uso criminoso.

A segurança fornece garantias de confidencialidade, integridade e disponibilidade contra ataques deliberados e abuso de dados e sistemas valiosos.

Importante

É importante destacar que a segurança não está focada em erros, mas em ataques deliberados. Isso é importante, porque exigiriam contramedidas diferentes: para erros, uma simples notificação ou pedido de confirmação pode fazer, para ações maliciosas, definitivamente não.

A Segurança Contínua é uma prática que garante que a segurança é parte integrante do ciclo de vida de entrega do software. A segurança contínua em DevOps deve abranger uma visão holística da segurança, incluindo cultura de segurança, fornecimento seguro de software e infraestrutura segura.

A segurança contínua requer mudança de mentalidade, educação e automação.

Existem três elementos para estabelecer a segurança contínua:

  • Um forte foco de segurança dentro da cultura da organização
  • Uma infraestrutura implementada e operada adotando as mais recentes práticas recomendadas de segurança
  • Um processo de entrega de software que se concentra na segurança, como o Microsoft Security Development Lifecycle (SDL)

Os três princípios em DevOps que precisam ser levados em consideração em todos os recursos, assim como na segurança contínua, são:

Princípio Description
Icon for shift left
Virar para a esquerda		 Deslocar-se para a esquerda significa antecipar as atividades de segurança e conduzi-las mais cedo no processo de entrega de software, em vez de a jusante do processo. Estudos demonstraram que a correção de bugs no início do ciclo de desenvolvimento tem um impacto significativo nos custos e perdas.
Icon for automationAutomatização A automatização de ações repetitivas é fundamental para ajudar a reduzir a possibilidade de erros. Essa abordagem permite que tarefas e processos que normalmente são pouco frequentes, como a implantação, sejam conduzidos com mais frequência.
Icon for continuous improvementMelhoria contínua A melhoria contínua é alcançada através da análise dos comportamentos atuais e identificação de possibilidades de otimização.

Diagram depicts the elements of continuous security: shifting left, continuous improvement and automation. These elements combined with the secure infrastructure, security culture and secure software delivery, and represent a holistic approach to security.

Importante

Quando os três princípios de mudança para a esquerda, automação e melhoria contínua são combinados com os elementos de segurança contínua: Cultura, Entrega de Software e Infraestrutura, eles representam uma abordagem holística à segurança.