DevSecOps: Desenvolvimento rápido sem sacrificar a segurança

DevSecOps: Desenvolvimento rápido sem sacrificar a segurança. O DevOps tem sido uma benção para empresas que buscam encurtar o ciclo de desenvolvimento de sistemas, forçando os desenvolvedores de software e as operações de TI a trabalharem juntos e ajudarem suas empresas a cumprir seus objetivos de negócios.

Mas embora o DevOps tenha sido adotado relativamente rápido, o mesmo não pode ser dito para adicionar segurança ao mix, embora muitos desenvolvedores de software e profissionais de TI e segurança concordem que seria bem-vindo e os efeitos dessa fusão na segurança do aplicativo estão documentados e claros .

De DevOps para DevSecOps

O processo de adicionar Sec ao DevOps não é fácil e requer um compromisso com mudanças culturais dentro da empresa: todos precisam assumir a responsabilidade pela segurança, estar na mesma página sobre seus deveres e trabalhar juntos durante os processos de desenvolvimento e entrega.

Ele também requer o desempenho da análise de segurança do aplicativo em todas as etapas do ciclo de vida da entrega de software, uma dose considerável de automação e a implementação das ferramentas certas.

“O departamento de segurança é frequentemente visto nas organizações como um bloqueador de inovação porque os requisitos e processos que eles acrescentam diminuem o ritmo dos lançamentos de código. Se a segurança quer trabalhar melhor com as equipes de DevOps, precisa adotar abordagens que melhorem a segurança e, ao mesmo tempo, capacitem a inovação”, diz Andrew Peterson, CEO da Signal Sciences, empresa de segurança de aplicativos web .

As equipes de segurança devem seguir três princípios para reunir as tribos SecOps e DevOps:

• Construir uma ponte entre as culturas de segurança e engenharia
• Criar laços de feedback adequados que capacitam as equipes de desenvolvimento a atingir a velocidade de entrega desejada
• Insistir em que tudo, inclusive a infraestrutura, seja tratado como código, ou componentes, para ser gerenciado e testado de forma eficaz em uma base contínua.

“A busca desses três princípios é um esforço contínuo, e as ferramentas e processos que permitem que as equipes de segurança alcancem com sucesso esses objetivos serão aquelas que se mostrarem mais efetivas”, observa ele.

A nuvem, aplicativos e visibilidade

Segundo o site Help Net Security, os princípios-chave do DevOps – automação, melhoria contínua e adoção de arquitetura baseada em microsserviço – fazem parte da competitividade de uma organização no mercado.

Mas mover-se rapidamente dentro do contexto da nuvem e desenvolver e implantar aplicativos e serviços na nuvem ou um híbrido de on-premise e cloud tornou-se praticamente a norma e significa mais oportunidades para os invasores passarem.

“A computação em nuvem apresenta desafios e amplia o cenário de ameaças. A execução de sistemas distribuídos e aplicativos em provedores de terceiros, como o Amazon Web Services (AWS), o Microsoft Azure ou o Google Cloud Platform, altera (ou deve mudar) a forma como pensamos sobre incidentes de segurança e movimentação lateral ”, diz Peterson ao Help Net Security.

“É menos provável que os invasores consigam se firmar em sua organização por meio de seus sistemas por meio de segmentos de rede, mas, em vez disso, atacarão a configuração do seu provedor de nuvem e tentarão abrir brechas nesse ambiente“.

Infelizmente, uma das principais fraquezas que a maioria dos departamentos de segurança da empresa concentra, é a falta de preparo para lidar com a mudança no panorama de segurança de nuvem e aplicativos. De fato, como observa Peterson, especialistas do setor o apelidaram de “buraco negro” devido à desconexão que frequentemente sentem com essas novas arquiteturas de tecnologia.

“Para lidar com isso, os provedores de nuvem, como a AWS, fornecem um registro de auditoria completo chamado CloudTrail, que registra todas as alterações em todas as configurações da sua arquitetura de nuvem. Enquanto isso, a auditoria monitora todos os comandos do sistema executados nos hosts. Combinar esses dois vetores de registro e auditoria fornece uma imagem mais clara das mudanças que ocorrem em todo o ambiente ”, explica Peterson.

Mas ainda assim, isso não é suficiente: as equipes de desenvolvimento que desejam integrar segurança em suas operações e ciclos de desenvolvimento precisam de ferramentas que forneçam ampla visibilidade de possíveis ataques na camada de aplicativo da Web, independentemente de onde os aplicativos, APIs e microsserviços funcionem.

“A adoção de ferramentas que fornecem visibilidade em tempo real de possíveis ameaças e bloqueio automatizado irá capacitar e imbuir o DevOps com segurança que funciona dentro de um framework CI/CD – (continuous integration e continuous delivery)” , observa e diz que um dos principais objetivos da empresa é “tornar segurança visível para as equipes do grupo de tecnologia ”.

Nome Novo para Coisa Antiga

Ano passado publicamos aqui no Blog o artigo Segurança e DevOps – Conceito Novo para uma Necessidade Antiga onde colocamos que a integração de Segurança no ciclo de Desenvolvimento é importante para reduzir o retrabalho e diminuir falhas devido a requerimentos de segurança não seguidos e que a integração correta de pessoal e tecnologia de segurança, incluindo certificados digitais, pode melhorar as métricas organizacionais, evitar atrasos caros e melhorar a experiência do usuário final.

A Segurança da Informação é sempre “uma pedra no sapato” quando é chamada somente ao final do ciclo de Desenvolvimento. Usualmente quando um processo estruturado não acontece a Segurança é chamada ao final para liberar “regras de firewall” ou “criar usuários” e então descobre-se que o produto não implementa questões importantes de segurança e o desenvolvedor precisa voltar para a “prancheta” ou o produto entra em produção com deficiências importantes e coloca a organização exposta a riscos desnecessários.

Uma boa integração de Segurança com Desenvolvimento, aqui dê-se o nome que quiser,  DevOps ou outro, mapeia as fases do desenvolvimento e define-se os entregáveis de ambas as áreas para que se tenha as orientações e avaliações de segurança necessárias ao mesmo tempo que se tem as informações e implementações realizadas nos produtos.

A algum tempo atrás, em 2007, bem antes de falarmos de DevOps, tive o prazer de liderar uma equipe excelente de profissionais de segurança em um banco, onde definimos o que chamamos na época de ASTI que representava um indíce de “Aderência à Segurança de TI”. Para criar o ASTI, mapeamos cada fase da metodologia de desenvolvimento e definimos os entregáveis em cada uma delas.

Passamos a reportar mensalmente, nos comitês de TI e no book mensal da área, a aderência média de cada superintendência de desenvolvimento (o banco tinha várias, uma para cada área de negócio). Mas claro que antes comunicamos a todos o que iríamos fazer nos reunindo e explicando a cada uma das áreas individualmente.

No início causamos certo desconforto pois ninguém queria ver um número ruim na sua área, com o passar dos meses as equipes de Dev entenderam o propósito e “compraram” ideia, pois viram o benefício de ter a área de segurança envolvida desde o início no ciclo de desenvolvimento ajudando a definir os caminhos necessários para um desenvolvimento seguro e aderentes as normas do banco e não sendo mais a “pedra no sapato” na hora de subir para produção.

Um ano depois conseguimos fazer com que um percentual do indíce de qualidade do geral do projeto fosse relativo a avaliação ASTI.  Sucesso!!!!  Estava implementado o melhor processo de integração de segurança e desenvolvimento do qual tive oportunidade de participar e ver implementado. Claro que tive alguns problema com o ajuste de workload da área, mas isto a gente sempre resolve de alguma forma, e ali não foi diferente, a equipe era realmente boa.

Pelo que sei o sistema funcionou e evoluiu ainda mais até a venda do banco em 2016, quase 10 anos depois.

Portanto, seja qual for a forma de integração de segurança ao processo de desenvolvimento e de novos projetos de infraestrutura que use, seja qual for a metodologia “da moda” que adote, ou que desenvolva a sua própria metodologia, afirmo, sem medo que errar, que um bom processo de integração de segurança no ciclo de desenvolvimento de projetos, desde a geração da demanda até a pós implementação, o processo agrega e muito na robustez do ambiente e reduz o tempo de “go-live” e custo de cada solução (devido ao não retrabalho). De quebra o CSO poderá dormi mais tranquilo !

Me coloco a disposição para um visita caso queira saber compartilhar e discutir um pouco da minha experiência neste processo, é só mandar um email kleber.melo@mindsec.com.br que iremos nos falar.

Fonte: Help Net Security & Blog Minuto da Segurança 

Veja também:

• CrowdStrike aterriza no Brasil com o melhor Next Generation AV do mercado!
• CrowdStrike expande presença internacional para atender à crescente demanda do cliente 
• Falha no software da SAP coloca em risco milhares de empresas
• Vazam dados financeiros da Oracle, Airbus, Toshiba e Volkswagen após ataque
• Cisco adverte sobre falha crítica no Nexus 9000 e outros equipamentos
• Docker sofre violação e 190k usuários são afetados
• MPDFT pede indenização de 10Milhões operadora de Bitcoins por vazamento de dados
• Complexidade das Senhas: É PRECISO SIMPLIFICAR!
• Marcus Hutchins, “herói” do WannaCry, se declara culpado pelo malware Kronos
• 60 Milhões registros do LinkedIn “aparecem” e “desaparecem” atualizados em diferentes IPs na Web
• MPDFT requisita que Vivo elabore DPIA sobre informações coletadas pelo Vivo Ads
• Facebook coleta emails de contatos de mais de 1,5Milhões de usuários sem consentimento
• Patch Tuesday de Abril da Microsoft Afeta McAfee, Sophos e Avast
• Amazon Alexa compartilha gravações de voz de usuários com milhares de “escutadores”