BT

Disseminando conhecimento e inovação em desenvolvimento de software corporativo.

Contribuir

Tópicos

Escolha a região

Início Artigos Melhorando as práticas de segurança na era da informação na nuvem: entrevista com Christopher Gerg

Melhorando as práticas de segurança na era da informação na nuvem: entrevista com Christopher Gerg

Pontos Principais

  • Aproveite algumas das ofertas de serviços no provedor de nuvem e reconheça que os fundamentos de segurança - segregação de rede, patches e atualizações, monitoramento e alerta, autenticação e autorização, criptografia e antimalware - permanecem os mesmos.
  • Uma boa segurança precisa ser incorporada desde o início e não aparafusada depois que algo acontece.
  • Os desenvolvedores precisam pensar como hackers e fazer uma validação vigorosa dos dados inputados, juntamente com análises de segurança proativas.
  • Não se apaixone por ferramentas avançadas de segurança, se você não domina os fundamentos, como gerenciamento de patches.

Desenvolvedores e líderes de TI dizem que a segurança é uma prioridade. Pesquisa após pesquisa mostram que é fácil dizer e difícil de fazer. O relatório DevSecOps Community Report de 2019 diz que quase metade dos entrevistados não encontra tempo para incorporar práticas de segurança em seu ciclo de vida de desenvolvimento de software. O relatório Global Developer Report de 2019, do GitLab, destaca que 49% dos profissionais de segurança não conseguem que os desenvolvedores priorizem a correção de vulnerabilidades. Pesquisas recentes do Enterprise Strategy Group apontam que 83% dos entrevistados estão preocupados com o uso indevido de contas privilegiadas e 35% acreditam que vários controles de segurança estão levando ao aumento da complexidade da TI.

Para esclarecer as práticas eficazes de segurança na era da nuvem, o InfoQ conversou com Christopher Gerg, chefe de segurança da informação na Gillware, uma empresa de recuperação de dados e forense digital.

InfoQ: À medida que as empresas estendem sua arquitetura à nuvem pública, o que devem continuar fazendo, começar a fazer, e parar de fazer?

Gerg: Eu encorajo a mudança para a nuvem pois isso pode ser uma economia significativa de custos para alguns casos de uso. Entretanto, existem algumas coisas que se deve ter em mente:

Lembre-se de que, no final, são os computadores de outra pessoa no data center de outra pessoa executando na infraestrutura de rede de outra pessoa. A conformidade e a confidencialidade dos dados podem ser um desafio. Por exemplo, se sua empresa é relevante para a HIPAA, então é preciso criptografar não apenas os dados quando eles estão armazenados, mas também quando são transmitidos entre servidores em seu ambiente de nuvem. Além disso, deve-se adotar a mesma abordagem dos seus servidores e serviços - autenticar usuários da maneira mais robusta possível e autorizá-los a acessar os serviços e dados necessários para realizar seus negócios, e nada menos do que isso (é o princípio do "menor privilégio" "). Embora os provedores de nuvem façam um bom trabalho para garantir que as coisas estejam disponíveis e lidando com os detalhes do hardware e das partes físicas do ambiente do servidor, proteger os dados e serviços é exatamente o mesmo, seja na "nuvem" ou no centro de dados.

Você paga apenas pelo que usa. Isso deve ajudá-lo a decidir quais cargas de trabalho migrar primeiro. Se tiver um grande esforço de análise de dados que é executado por vários dias, aumente os recursos necessários para fazer esse trabalho e, em seguida, tenha a disciplina para desligar esses recursos quando não forem necessários. É aqui que o uso da nuvem para hospedar seus servidores e serviços começa a fazer muito sentido. Considere usar o contêiner e mecanismos robustos de orquestração como o Kubernetes para aumentar a capacidade com base na demanda (e reduzi-la para níveis mais baixos com base na demanda menor).

Aproveite algumas das ofertas de serviços no provedor de nuvem - não apenas leve suas máquinas virtuais até o provedor de nuvem. Continuando a discussão sobre serviços em contêineres e orquestração, você não precisa executar servidores inteiros para administrar seus negócios. Requer um pouco mais de planejamento, mas os serviços "sem servidor" ou em contêiner permitem que se mova a camada de abstração ainda mais na pilha - facilitando o uso de menos recursos e, portanto, pagando menos pelo mesmo (ou provavelmente muito mais) recurso.

As regras de segurança não mudam. Segregação de rede, patches e atualizações, monitoramento e alerta, autenticação e autorização, criptografia, anti malware, etc., ainda são relevantes. Isso faz a necessidade de uma análise robusta de como o provedor de nuvem está protegendo seus serviços e dados se você mudou as coisas para a nuvem deles. Não deixe apenas por conta deles para cuidar de tudo isso.

InfoQ: Você menciona que os usuários da nuvem devem aproveitar o que é oferecido, mas lembra que as "regras de segurança não mudam. Você vê empresas enfrentando desafios para descobrir quem é responsável pelo que entre esses serviços? Alguns serviços de nuvem corrigem a infraestrutura, outros não. Alguns têm superfícies de ataque mais amplas que outros. Como recomenda que as empresas conciliem as distinções?

Gerg: Absolutamente - eu não disse que era necessariamente fácil. Por fim, você precisa entender qual é a sua responsabilidade e qual é a responsabilidade do provedor de serviços (ou quais alterações de configuração você precisa fazer com o serviço envolvido). Pode ser que o serviço não seja uma opção, pois não suporta suas obrigações de conformidade ou trata dos riscos para sua satisfação. Não se pode simplesmente "jogá-lo por cima da cerca" e assumir que está resolvido. Precisa de um bom entendimento visceral de como o serviço funciona. Um bom exemplo são os serviços hospedados do Kubernetes fornecidos pelos diferentes provedores de nuvem. A solução da AWS é diferente da fornecida pelo Google Cloud de várias maneiras que têm um impacto potencial em suas obrigações de conformidade em relação à criptografia dos dados entre "servidores".

InfoQ: Qual sua recomendação para que as empresas incorporem ou alavancem as habilidades do InfoSec em uma equipe de produtos no estilo DevOps?

Gerg: Cedo e frequentemente. Um excelente recurso para ajudar a uma empresa DevOps a integrar a segurança da informação é o Manual do DevOps, de Gene Kim Et al. O ponto principal é que uma boa segurança precisa ser incorporada desde o início e não aparafusada somente depois. É preciso pensar sobre todos os aspectos de segurança da informação relativo ao que estão fazendo - ter um especialista em segurança da informação participando da fase de definição de requisitos do planejamento de desenvolvimento, verificações de segurança da informação como parte da revisão de código por pares, listas de verificação de segurança como parte do processos de release, etc. O uso de ferramentas automatizadas pode ajudar - análise estática de código, ferramentas integradas de análise de código, teste automatizado de controle de qualidade que integra verificações de segurança, etc.

InfoQ: Em que aspectos os desenvolvedores de software precisam melhorar em relação à segurança?

Gerg: Primeiramente, não confie em nada que o "usuário" diga - a validação de entrada é enorme. Além disso - pense como um hacker. A solução de problemas proativa é muito útil - "como isso pode ser interrompido", "se eu fizer essa alteração, o que acontece no futuro?" Ter conhecimento de pelo menos os dez maiores riscos de vulnerabilidade da OWASP (e outros recursos da appsec, da owasp.org) é um bom começo. Tornar o treinamento em segurança de aplicativos uma prioridade para a equipe de DevOps.

InfoQ: Existem ferramentas ou serviços que que ajudem os desenvolvedores a fazer a coisa certa quando se trata de práticas de segurança? Serviços como gateways de API oferecem proteções padrão que mantêm os serviços downstream seguros, mesmo que um desenvolvedor não aplique todas as proteções por serviço?

Gerg: Existem algumas ferramentas realmente boas (e amplamente automatizadas) que podem ajudar os desenvolvedores - existem ferramentas estáticas de análise de código, ferramentas de verificação de aplicativos (como o Appscan), ferramentas automatizadas de teste de controle de qualidade e até firewalls de aplicativos da web que podem ajudar a mitigar alguns dos riscos.

InfoQ: Em que área da cibersegurança as empresas precisam melhorar muito? Como eles deveriam começar?

Gerg: Evite a graduação "MBM - Management by Magazine". A distração com ferramentas atraentes pode fazer você esquecer os fundamentos. Eu já vi muitas empresas que possuem algumas ferramentas de segurança da informação incrivelmente capazes (e caras), mas não possuem um mecanismo para manter suas estações de trabalho e servidores atualizados com patches e atualizações. Adotar uma abordagem baseada em risco para seus gastos com segurança da informação (tempo e dinheiro) é a melhor abordagem. Recomenda-se a contratação de um especialista para ajudar no processo.

InfoQ: Falamos sobre onde as empresas precisam melhorar a segurança, mas existem áreas em que você acha que as empresas investiram demais, ou prematuramente, antes de lidar com os fundamentos?

Gerg: Eu acho que as empresas se apaixonam por ferramentas atraentes que prometem ser a solução de segurança para resolver todas as suas necessidades. Um bom exemplo são as várias ferramentas SIEM, SOAR e USM disponíveis - não estou dizendo que elas não fazem o que prometem, mas gastar milhares de dólares em uma solução SIEM / SOAR / USM não faz sentido se você tiver estações de trabalho sem patch (desprotegidos), ou a senha do administrador for "password123".

InfoQ: Como você vê a nuvem pública ajudando as empresas a serem mais seguras? Ou menos?

Gerg: A segurança da informação está preocupada com a tríade CIA - Confidencialidade, Integridade, e Disponibilidade. Independentemente de onde os servidores / serviços / dados estejam localizados, a confidencialidade e a integridade ainda são de responsabilidade da empresa para garantir que os controles estejam em vigor. O ponto forte dos provedores de nuvem é a disponibilidade. Seu tempo de atividade é surpreendente e sua capacidade de se replicar em várias regiões geográficas para fornecer redundância é excelente. Eles possuem mecanismos que podem ajudar com confidencialidade e integridade, mas são necessários algum planejamento e disciplina para serem eficazes. Existe uma forte tendência a simplesmente jogar as coisas na "nuvem" e esquecer a segurança, porque não há uma caixa com luzes piscando em uma sala no corredor.

Sobre o autor

Christopher Gerg é um profissional de cibersegurança com mais de 20 anos de experiência. Ele é o CISO e vice-presidente de gerenciamento de riscos cibernéticos da Gillware. Gerg simplifica os meandros complicados de segurança da informação, conformidade e gerenciamento de riscos cibernéticos, avaliando pragmaticamente as organizações e fornecendo recomendações diretas para melhorar a postura de segurança. Fora do escritório, Gerg gosta de viajar com sua família e torcer pelo clube de futebol, Chelsea.

Avalie esse artigo

Relevância
Estilo/Redação

Conteúdo educacional

BT