O que é Shift Left Security e qual a sua importância?
A segurança Shift Left incorpora a segurança nas primeiras fases do processo de desenvolvimento de aplicativos. O código vulnerável é identificado à medida que é desenvolvido, e não na fase de testes, o que reduz os custos e resulta em aplicativos mais seguros.
Segurança de aplicativos e a proteção de cargas de trabalho são preocupações crescentes à medida que as organizações avançam em suas transformações digitais e colocam mais de seus ativos na nuvem. A velocidade dos lançamentos de software, o uso de serviços baseados em nuvem, a incorporação da automação no processo de desenvolvimento de software e a taxa de inovação na cadeia de ferramentas de desenvolvimento são tendências que corroem a segurança dos aplicativos.
Os atacantes e os agentes adversários estão sempre procurando pontos fracos que possam explorar para atingir sua carga útil. E como organizações de todos os tamanhos reforçaram sua segurança cibernética, os hackers voltaram sua atenção para o aproveitamento de aplicativos e cargas de trabalho vulneráveis para atingir seus objetivos. Agora que “toda empresa é uma empresa de software”, as oportunidades de exploração de aplicativos são abundantes.
Tradicionalmente, o código é submetido à segurança como a última fase antes do lançamento. Isso cria uma limitação de tempo, pois os desenvolvedores geralmente trabalham até o último minuto, deixando a equipe de segurança com pouco tempo para garantir que o código seja seguro.
Quando as vulnerabilidades são expostas, o lançamento é adiado ou a equipe de desenvolvimento tem de se esforçar para corrigir cada problema de segurança, enquanto a equipe de segurança tem de se esforçar para verificar as revisões. Isso gera muitas despesas e atrasa o lançamento e o lançamento de aplicativos.
Além disso, se as iterações forem lançadas às pressas, as chances de ignorar ou não priorizar uma vulnerabilidade são significativas. A segurança de aplicativos é uma parte essencial do ciclo de vida de desenvolvimento de software, e fazer isso corretamente deve ser uma prioridade máxima.
As organizações estão buscando maneiras de tornar a segurança um aspecto fundamental do processo de desenvolvimento e dar aos desenvolvedores a capacidade de fornecer soluções seguras e confiáveis sem precisar se tornar especialistas em segurança – e sem travar o processo de desenvolvimento de aplicativos. A segurança do Shift Left as ajuda a alcançar esse objetivo, reduzindo significativamente as preocupações de segurança relacionadas ao desenvolvimento de aplicativos e software nativos da nuvem.
Benefícios da segurança Shift Left
Automação
Os processos automatizados resultam em menos erros humanos e menos problemas de produção. A cobertura dos testes aumenta porque vários testes podem ser realizados ao mesmo tempo, e os testadores ficam livres para se concentrar em outras tarefas.
Maior velocidade de entrega
A segurança do Shift Left reduz o tempo entre as versões, permitindo que o DevOps e a segurança trabalhem em paralelo. A qualidade do software também é aprimorada porque as equipes têm tempo para identificar e resolver problemas o mais cedo possível no processo de desenvolvimento.
Aplicativo e desenvolvimento seguros
Os testes são um dos principais motivos dos atrasos nas versões. A segurança do Shift Left suporta a entrega mais rápida de aplicativos porque não há pausa na codificação enquanto a segurança realiza suas análises. Os testes contínuos significam que as falhas de segurança são detectadas mais cedo, de modo que as correções são menores em escala e consomem menos tempo. As equipes de DevOps e de segurança são poupadas de muita frustração e de noites em claro, enquanto novos recursos que agradam aos usuários são implementados mais rapidamente.
Tipos de ferramentas e tecnologias de segurança do Shift Left
As ferramentas de segurança da Shift Left podem ser categorizadas em dois tipos: ferramentas de varredura de segurança e ferramentas de proteção em tempo de execução. As ferramentas de varredura de segurança são ferramentas de teste que simplificam a integração da segurança com o DevOps, e as ferramentas de proteção em tempo de execução são ferramentas de segurança cibernética que protegem um aplicativo durante sua execução.
Ferramentas de varredura de segurança/avaliação de imagens
Teste estático de segurança de aplicativos (SAST)
O SAST é uma metodologia de segurança de aplicativos usada para encontrar vulnerabilidades em um aplicativo. É um método de teste de “caixa branca”, o que significa que ele testa o funcionamento interno de um aplicativo, em vez de sua funcionalidade. O SAST representa a maneira como um desenvolvedor analisa o código, e não como um hacker. Uma ferramenta SAST analisa o código-fonte sem executar o aplicativo, de modo que pode encontrar vulnerabilidades no início do ciclo de vida do desenvolvimento do software. Isso torna a implementação de correções menos dispendiosa. Embora o SAST seja compatível com todos os tipos de software, ele não pode descobrir problemas relacionados ao ambiente e ao tempo de execução porque analisa apenas o código estático.
Análise de composição de software (SCA)
A SCA identifica o código-fonte aberto em uma base de código. As licenças de código-fonte aberto têm limitações que são difíceis de rastrear manualmente. A SCA automatiza o processo de inspeção de gerenciadores de pacotes, manifestos, código-fonte, arquivos binários, imagens de contêineres etc. e compila suas descobertas em uma “lista de materiais” (BOM), que, por sua vez, é comparada a vários bancos de dados para expor vulnerabilidades, problemas de licenciamento e problemas de qualidade de código. Os resultados permitem que as equipes de segurança identifiquem rapidamente vulnerabilidades críticas de segurança e legais e as priorizem adequadamente para mitigação.
Teste dinâmico de segurança de aplicativos (DAST)
O DAST é um método de teste de “caixa preta” usado na segurança de aplicativos da Web que se concentra em encontrar vulnerabilidades nas funcionalidades de um aplicativo em execução. O DAST representa uma abordagem de hacker, pois o testador não tem visibilidade do funcionamento interno do aplicativo. Essa forma de teste encontra vulnerabilidades no final do ciclo de vida de desenvolvimento do software. Como o DAST analisa dinamicamente um aplicativo em execução, ele só é compatível com aplicativos e serviços da Web.
Ferramentas de proteção em tempo de execução
Autoproteção de aplicativos em tempo de execução (RASP)
O RASP detecta ataques a um aplicativo em tempo real, analisando o comportamento do aplicativo no contexto. Ele intercepta todas as chamadas do aplicativo para um sistema e valida as solicitações de dados de dentro do aplicativo, usando efetivamente o próprio aplicativo para monitorar seu próprio comportamento. O RASP pode ser usado em aplicativos Web e não Web porque seus recursos de proteção operam no servidor do aplicativo e são iniciados quando o aplicativo é iniciado.
Firewalls de aplicativos da Web (WAF)
Os WAFs filtram, monitoram e bloqueiam o tráfego mal-intencionado que tenta entrar em um aplicativo e impedem que dados não autorizados saiam do aplicativo. Seu comportamento é determinado por conjuntos de políticas que os ajudam a distinguir o tráfego malicioso do tráfego seguro, de modo que sua eficácia é tão forte quanto as políticas de segurança da organização. Como uma empresa pode ter milhares de WAFs e milhões de políticas, a automação é fundamental para garantir que todos os WAFs estejam atualizados.
Gerenciamento de bots
O gerenciamento de bots detecta e impede que bots mal-intencionados executem ataques como ataques DDoS na camada de aplicativos (L7), injeção de SQL e preenchimento de credenciais por meio do uso de soluções como listas de bloqueio/permissão, armadilhas de bots e limitação de taxa. É necessário ter cuidado, pois o gerenciamento de bots muito rígido pode bloquear o tráfego legítimo da Web e também pode bloquear bots criados internamente para fins de teste e automação. O gerenciamento de bots está no caminho certo para ultrapassar os WAFs nos próximos anos, já que os ataques de bots assumem uma nova proeminência em um mundo transformado digitalmente.
Imagem de contêiner e varredura de função “Serverless”
Atualmente, o desenvolvimento de aplicativos usa contêineres para agrupar o código-fonte de um aplicativo com todas as suas dependências em um único arquivo. Uma imagem de contêiner é um arquivo que é mesclado com o arquivo de contêiner. A imagem do contêiner contém o código do aplicativo, o tempo de execução, as ferramentas do sistema, as bibliotecas do sistema e as configurações. O escaneamento de imagens de contêineres analisa o conteúdo de um contêiner e o processo de criação de uma imagem de contêiner para expor problemas de segurança e práticas inadequadas.
A necessidade de varredura de computação sem servidor está aumentando, pois a maioria dos aplicativos modernos usa algum tipo de computação sem servidor para adquirir funções que são muito complicadas ou caras para valer a pena uma construção interna. O uso desses serviços, que são hospedados na AWS, Azure etc., exige a movimentação de dados da infraestrutura corporativa para o provedor de serviços em nuvem e para outros locais. A proteção desses dados em trânsito e em repouso é de responsabilidade do proprietário do aplicativo, e não do provedor de serviços em nuvem, que protege apenas sua própria infraestrutura. A verificação de funções sem servidor requer um tipo diferente de monitoramento e depuração do que os aplicativos hospedados tradicionalmente. As soluções nativas da nuvem são a melhor opção para essa finalidade.
Proteção da carga de trabalho
Os aplicativos modernos são distribuídos pela infraestrutura de nuvem em contêineres, Kubernetes e arquiteturas sem servidor. Esses ambientes estão sempre evoluindo. A adição de novos serviços aumenta a superfície de ataque, e é difícil obter visibilidade em um ecossistema tão complexo e mutável.
A proteção da carga de trabalho coloca os controles de segurança no nível das cargas de trabalho de aplicativos individuais. Ela permite que as organizações identifiquem e corrijam vulnerabilidades em todo o ciclo de vida do aplicativo, reforçando a conformidade e implementando a configuração de segurança e as práticas recomendadas em contêineres, kubernetes e qualquer carga de trabalho. Uma solução de proteção de carga de trabalho na nuvem deve conter o movimento lateral, expor anomalias comportamentais, rastrear a conformidade e reduzir a superfície de ataque.
Práticas recomendadas para mudança de segurança do Shift Left
Inclua a segurança no desenvolvimento de novos aplicativos
Até que ponto a segurança deve ser deslocada no modo shit left? Até o fim. A segurança deve fazer parte do processo de desenvolvimento desde o primeiro momento em que os desenvolvedores começam a codificar. Use APIs para integrar a segurança aos conjuntos de ferramentas de desenvolvimento para que as equipes de segurança possam encontrar problemas antes que o código seja enviado para a ramificação principal.
Integre a segurança de aplicativos e contêineres à cadeia de ferramentas do DevOps
A segurança de aplicativos do Shift Left começa com varreduras, mas essas varreduras não são úteis a menos que os resultados estejam disponíveis para a equipe de DevOps. O poder do deslocamento para a esquerda está em fornecer os meios para que o DevOps trabalhe em conjunto com a segurança, portanto, coloque esses resultados em um IDE da Web e em um relatório de pipeline da Web onde os desenvolvedores possam consumi-los. Automatize a criação de uma “lista de materiais de software” (SBOM) que compila um inventário de todas as dependências em um projeto e use a varredura de imagens de contêineres e a varredura de funções sem servidor para expor vulnerabilidades conhecidas que existem em uma imagem de contêiner, diretório de projeto ou serviço sem servidor.
Combine varreduras para melhorar a visibilidade e obter a priorização correta
Varreduras diferentes servem a propósitos diferentes. O SAST e o DAST se complementam e cada um é fundamental para a segurança do aplicativo. Uma organização que usa bibliotecas de código aberto, que é a norma, também se beneficiará da SCA. Todas as varreduras devem ser integradas em várias etapas do pipeline de integração contínua/entrega contínua para bloquear vulnerabilidades antes que elas cheguem a um registro. As varreduras em tempo de execução devem ser executadas para proteger o aplicativo contra novas vulnerabilidades e exposições comuns (CVEs).
Saiba mais.
Fonte
Douglas Bernardini
Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.
Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)
Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.
Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).
PDF's
