Tentando adotar a cultura DevSecOps? Ou já está pensando nisso?
Quantos artigos você leu que começaram com alguma variação de “a transformação digital acelerada pela pandemia de COVID-19?” Esse conceito não é novo, mas você pode estar se perguntando como essas mudanças repentinas afetarão a segurança. Exploraremos as previsões da Trend Micro Research para 2022 e o impacto no DevSecOps – a abordagem cultural que ajuda você a criar aplicativos seguros tão rápido quanto você pode dizer “a pandemia de COVID-19 acelerou a transformação digital”.
Devido à mudança repentina para o trabalho remoto (WFH), as empresas foram forçadas a migrar rapidamente para a nuvem. O Gartner prevê que os gastos globais com serviços em nuvem atingirão mais de US$ 482 bilhões em 2022, um aumento de 54% em relação a 2020. Com o aumento dos gastos e do número de usuários, os cibercriminosos certamente migrarão seus ataques para a nuvem.
Embora os cibercriminosos continuem a atacar funcionários em golpes de phishing e BEC para obter credenciais e acesso aos servidores da empresa, esperamos que mais cibercriminosos contornem o vetor de ataque humano e ataquem a infraestrutura diretamente, explorando vulnerabilidades conhecidas que são negociadas e vendidas em mercados clandestinos. O gerenciamento de patches será crucial, mas não há necessidade de se encolher, isso não significa necessariamente mais trabalho para você. As equipes de segurança podem aproveitar os patches virtuais automatizados para manter os sistemas protegidos, especialmente aqueles que não recebem mais atualizações.
Também prevemos que grupos de cibercriminosos terão como alvo o vasto poder de computação da nuvem para minerar criptomoedas à medida que mais moedas digitais surgirem. Fique de olho em seus recursos – se você estiver usando um serviço de segurança com uma estrutura de pagamento por uso, grandes picos em sua conta podem apontar para criptojacking.
Por fim, espere que os atores mal-intencionados continuem visando ferramentas e pipelines de DevOps. De acordo com um relatório da ThycoticCentrify , “57% das organizações sofreram incidentes de segurança relacionados a segredos expostos no DevOps”. À medida que as equipes de DevSecOps mudam para a esquerda, evidentemente os cibercriminosos estão seguindo o exemplo, realizando mais campanhas em cadeias de suprimentos, ambientes Kubernetes, implantações de infraestrutura como código (IaC) e pipelines. Como o token e as senhas dos desenvolvedores são as chaves das operações de uma empresa, nós espere ver os desenvolvedores e sistemas de construção servirem como um ponto de entrada inicial para os invasores.
Embora os agentes mal-intencionados possam estar testando novos truques, as equipes de DevSecOps podem contar com as diretrizes de segurança fundamentais para proteger seu ambiente de nuvem. Aqui estão algumas práticas eficazes de segurança testadas e comprovadas:
> Gerenciamento de patches mais forte por meio de automação
> Aderindo ao princípio do privilégio mínimo
> Entendendo o modelo de responsabilidade compartilhada
> Monitoramento e gerenciamento de código-fonte aberto
> Verificações contínuas de configuração e auditorias de sistema
> Rastreamento do uso de recursos e serviços baseados em nuvem
2021 foi um ano recorde: 770 vulnerabilidades foram detectadas nos primeiros seis meses – mais do que em qualquer outro ano registrado. Alguns podem ser rápidos em apontar o dedo para a qualidade do código, mas é provável que outros fatores sejam responsáveis, como o crescente interesse da mídia em cobrir explorações lucrativas “inspirando” mais cibercriminosos a entrar no jogo de caça às vulnerabilidades.
Atores mal-intencionados também mudaram suas técnicas de estudar código para falhas para explorar a lacuna do patch. Depois de identificarem possíveis falhas não corrigidas no sistema, os cibercriminosos podem personalizar seu código de malware. Também prevemos o surgimento de um “cão de guarda” dedicado à procura de quaisquer vulnerabilidades divulgadas e patches implantados em empresas específicas, ajudando os cibercriminosos a agilizar seus ataques.
Embora não culpemos apenas o código fraco pelo aumento previsto nos ataques de dia zero, as equipes de DevSecOps precisam continuar melhorando o gerenciamento de código-fonte aberto. Aproveitar bancos de dados de vulnerabilidade legítimos e confiáveis em conjunto com ferramentas de segurança com recursos automatizados de verificação de código aberto é a maneira mais simples de manter seu código limpo.
As equipes de segurança podem fazer sua parte verificando regularmente o inventário e monitorando as atualizações de segurança dos fornecedores para que possam implantar patches virtuais o mais rápido possível.
Os cabos AUX são quase obsoletos, com a maioria dos novos modelos fornecendo recursos sem fio Apple CarPlay ou Android Auto. Carros hiperconectados serão alvo de agentes mal-intencionados em 2022, pois podem resgatar grandes quantidades de dados valiosos coletados por câmeras, lasers e outros sensores. A demanda por informações sobre carros inteligentes já é um negócio substancial e a oferta está acompanhando o ritmo; A Toyota prevê que os carros conectados produzirão 10 exabytes de dados por mês.
Além de gerar um grande lucro, prevemos um aumento na demanda por filtros de dados ilegais que podem bloquear o relatório de dados de risco, ou os hackers poderão limpar qualquer mau comportamento de direção coletado pelo carro inteligente.
Também vimos empresas fazendo a transição de tarefas de coleta de dados mais complexas para a nuvem. Muitos aplicativos e sistemas usados por modelos mais recentes já estão hospedados em servidores de nuvem de back-end. Embora isso agilize as operações, também expõe as montadoras a outras ameaças, como ataques de negação de serviço (DoS) e man-in-the-middle (MitM).
Uma forte parceria com fornecedores é vital para carros conectados seguros e à prova de futuro. Iniciativas como a Open EV Software Platform, liderada pelo Mobility in Harmony (MIH) Consortium e seus parceiros, Arm, Microsoft e Trend Micro, são o começo para criar uma base sólida para a indústria automobilística desenvolver um sistema operacional dedicado para veículos inteligentes.
Se você estiver no setor automotivo, as equipes de desenvolvedores e de segurança devem realizar um inventário completo de aplicativos e sistemas que podem ser comprometidos. Quando todos estiverem na mesma página sobre o que precisa ser protegido, escolha cuidadosamente um fornecedor de segurança que tenha as ferramentas capazes de atender às necessidades de segurança sem atrasar os desenvolvedores ou forçá-los a começar do zero. A integração com as arquiteturas e serviços existentes é fundamental para que os desenvolvedores continuem desenvolvendo no ritmo da evolução da indústria de carros conectados.
Aqui estão nossas recomendações abrangentes de estratégia de segurança cibernética para equipes de DevSecOps em 2022:
> Volte aos fundamentos de segurança: estamos falando sobre o modelo de responsabilidade compartilhada, estruturas AWS e Azure Well-Architected, verificação de código aberto e verificações de configuração automatizadas.
> Reforce a segurança do servidor e o controle de acesso: Surpreendentemente, o zelador não precisa de acesso aos seus projetos mais secretos. Só dê acesso a quem precisa para fazer o seu trabalho.
> Priorize a visibilidade: para ajudar os desenvolvedores a criar aplicativos seguros, as equipes de segurança precisam de visibilidade total para garantir que nada malicioso entre durante o processo de criação. A conscientização de todos os provedores, contas e serviços de nuvem minimiza riscos e configurações incorretas.
Talvez a recomendação mais importante seja encontrar as ferramentas e os parceiros de segurança certos para consolidar e otimizar os esforços de segurança à medida que você continua crescendo e evoluindo. Procure plataformas com APIs personalizáveis, integrações robustas de terceiros e automação. Caso você não saiba por onde começar, entre em contato conosco para capacitar a sua equipe de TI.