No centro de ataques cibernéticos, falhas em programas de segurança de software desafiam organizações
15 de dezembro de 2020Os ataques cibernéticos aumentaram com a pandemia e no centro do problema estão os programas de segurança de software atuais, que não acompanham o ritmo das ameaças, do desenvolvimento e do home office
Por Ronald Glatz
Somente de janeiro a setembro deste ano, foram mais de 3,4 bilhões de tentativas no país, segundo a Fortinet, líder global em segurança cibernética.
No terceiro trimestre, a ameaça com mais investidas no Brasil – foram 284 milhões – se aproveitou do uso de softwares sem atualização pelas empresas. Esses impactos geram novas tendências, e as organizações precisam estar preparadas para que falhas de segurança não se repitam e 2021 não seja mais um ano de vulnerabilidades.
Outro relatório recente sobre o tema, da empresa de pesquisas norte-americana Forrester Research, intitulado “The state of application security 2020” (“O estado da segurança de aplicativos 2020”, numa tradução livre), reforça a urgência de se tratar o tema. Quase metade dos entrevistados (42%) afirmou que os ataques externos experimentados por suas organizações exploraram as vulnerabilidades de um software.
Na prática, isso se traduz em programas que se infiltram nos sistemas de forma ilícita para alterar ou roubar informações, chamados de malware; no uso de e-mails e outros tipos de mensagens eletrônicas em nome de instituições confiáveis na tentativa fraudulenta de obter informações confidenciais como nomes de usuário, senhas e detalhes de cartão de crédito, o phishing; e no bloqueio de sistemas cuja liberação é condicionada ao pagamento de resgate, sob ameaça de publicação ou até mesmo destruição de arquivos, o atualíssimo ransomware; só para citar os mais comuns.
Os resultados mapeados pelas duas pesquisas estão longe de surpreender. Cada vez mais complexas, as aplicações exploradas nesses ataques se apoiam em elementos internos e de parceiros externos, além de serem constantemente ampliadas para suportar novas funcionalidades e operações, o que as fragiliza ao longo do tempo.
Para piorar o quadro, a pesquisa da Forrester indica que só uma menor parte das organizações está respondendo a esses problemas: apenas 14% das empresas respondentes integram de fato a segurança em todo o ciclo de desenvolvimento de softwares, e as que estão começando a fazê-lo iniciam a integração normalmente pela fase de testes.
O diagnóstico dessas análises é que, agindo assim, as organizações terão dificuldade de manter seguras suas aplicações. Sem o amplo uso de automação e ferramentas, bem como processos e pessoas engajadas, é inviável construir e manter softwares antecipando falhas. Como se isso não fosse o bastante, 2020 trouxe uma variável a mais nessa equação: o home office e toda a cascata de vulnerabilidades que veio com ele.
Nesse contexto, é possível observar quais tendências em segurança de softwares devem se desenhar e ganhar tração junto às organizações no novo ano que se aproxima. A primeira delas é a implementação de testes de segurança mais cedo no ciclo de desenvolvimento. É preciso criar esforços redobrados para identificar e lidar com problemas de segurança em software precoce e facilmente, durante todo o desenvolvimento.
Essa abordagem está em estreita consonância com a adoção de práticas que aproximam os desenvolvedores de software (Devs) e os operadores do software/administradores do sistema (Ops). Ela ajudará o time de segurança a ganhar consciência de que nem todos os problemas serão resolvidos antes do desenvolvimento e a fazer com que desenvolvedores vejam a segurança como responsabilidade deles também.
A segunda tendência é automatizar os testes. Substituir a governança manual pela automação diminuirá vulnerabilidades e educará os desenvolvedores em tempo real, pois quanto mais testes e mais precoces eles forem, mais rapidamente as falhas são reparadas e por quem escreveu o código.
Também já se percebem mais investimentos em SCA – Software Composition Analysis -, que não apenas identifica vulnerabilidades em softwares de código aberto, como recomenda maneiras de remediá-las, permitindo que desenvolvedores as implementem com apenas um clique.
Apesar de requerer alto nível de confiança na ferramenta, construí-la pode ser mais uma maneira de escalar o desenvolvimento com segurança. Mas, para isso, será fundamental fornecer aos desenvolvedores um guia sobre quando aceitar as recomendações da ferramenta ou quando buscar uma aprovação adicional.
Por último, é preciso ter na equipe desenvolvedores campeões em segurança. Eles serão os pontos de referência do time, oferecendo conselhos e ajuda na resolução de problemas, mas também fazendo a ponte de contato com a equipe de segurança.
No entanto, as empresas não devem ter a ilusão de encontrar esse profissional completamente pronto no mercado. Segurança é notoriamente um tema negligenciado nos cursos de graduação da área, sendo bem conhecido o gap em boas práticas de segurança em desenvolvimento.
Tudo indica que o cenário forçará as empresas a assumir parte da demanda por educação da força de trabalho e a desenvolver essas skills, priorizando treinamentos e capacitações dentro do plano de carreira.
O próximo ano seguirá sendo sensível no que tange à cibersegurança, tendo em vista a possibilidade real de o home office ser mantido nas organizações – trabalhadores remotos se tornam alvos fáceis porque não há investimento em cibersegurança em casa, como na empresa.
Portanto, é preciso considerar esta área no planejamento do orçamento para 2021, a fim de não expor a organização a riscos desnecessários.
US Agencies and FireEye Were Hacked Using SolarWinds Software Backdoor
RansomEXX e Egregor: famílias de ransomware intensificam ataques