DevSecOps: O que as empresas precisam saber

À medida que a tecnologia se torna cada vez mais complexa, o mesmo acontece com os métodos de segurança destinados a protegê-la e protegê-la.

Os problemas de segurança existentes estão sempre presentes e em evolução, e novos problemas surgem continuamente, exigindo medidas de segurança cibernética cada vez mais avançadas – o DevSecOps é um deles.

DevSecOps é definido como a prática de abordar desenvolvimento, segurança e operações simultaneamente durante todo o ciclo de vida do aplicativo.

“As considerações de segurança de dados são abordadas em todo o pipeline, e não apenas no ultimate”, disse Meredith Bell, CEO da AutoRABIT, empresa de plataforma DevSecOps.

“Isso é para garantir que as vulnerabilidades de segurança sejam encontradas e tratadas com a mesma qualidade, escala e velocidade dos processos de desenvolvimento e teste”, bem como para ajudar a garantir que cada atualização suporte um sistema estável, disse ele.

Mike O’Malley, vice-presidente sênior de estratégia da empresa de serviços de TI SenecaGlobal, concordou que “significa pensar na segurança de aplicativos e infraestrutura desde o início”.

Os esforços de segurança cibernética e desenvolvimento de device são combinados, disse ele, para que a segurança seja integrada em todas as fases do ciclo de vida de desenvolvimento de device – desde o design inicial até a integração, teste, implantação e entrega de device.

Em alguns casos, as empresas estão incorporando medidas de segurança ainda mais cedo no ciclo de desenvolvimento – uma espécie de “pré-passo antes do devops”, ou como O’Malley chamou de “PlanSecOps”.

“Portanto, a segurança não está apenas sendo incorporada durante o desenvolvimento, está sendo incorporada às estruturas antes mesmo que (os desenvolvedores) comecem a codificar”, disse ele.

DevSecOps e devops se sobrepõem

Ainda assim, não há uma definição ou abordagem padrão do setor para DevSecOps, disse o analista do Gartner VP George Spafford – tornando-o muito parecido com o DevSecOps, do qual deriva.

O termo devops foi cunhado há cerca de uma década e o conceito envolve a combinação de desenvolvimento de device e operações de TI. O objetivo ultimate disso é encurtar os ciclos de vida de desenvolvimento de sistemas e fornecer entrega contínua e alta qualidade de device. O Devops, por sua vez, engloba vários aspectos da metodologia ágil, que envolve dividir os projetos em várias fases para permitir colaboração e melhoria contínuas.

Como Spafford observou, “DevSecOps ainda é devops, mas está explicitamente afirmando que a Segurança da Informação deve ser colaborada e os controles necessários para mitigar o risco devem ser considerados”.

As vantagens são as mesmas do DevOps, assumindo que as organizações consideram “todas as partes interessadas” – ou seja, a capacidade aprimorada de entregar valor ao cliente na cadência/velocidade que o cliente precisa enquanto gerencia o risco.

Desenvolvimento ágil e devops/DevSecOps podem ser poderosos quando combinados, principalmente quando se trata de IA e outros esforços que exigem experimentação e aprendizado amplos e contínuos.

Ainda assim, “não deve ser perseguido apenas porque parece uma boa ideia. As pessoas devem usar devops/DevSecOps onde fizer sentido, onde houver necessidade”, disse Spafford.

Particularmente em comparação com a metodologia em cascata – uma abordagem linear ao gerenciamento de projetos em que cada estágio deve ser concluído antes de passar para o próximo – o ágil é benéfico em situações em que há ambiguidade sobre as necessidades ou mudanças rápidas estão ocorrendo. O calcanhar de Aquiles da Waterfall, disse Spafford, é que os usuários devem identificar os requisitos antecipadamente quando as necessidades são menos compreendidas. Isso significa que um plano de projeto é criado com uma enorme quantidade de trabalho em processo e dependências.

O Agile permite que os desenvolvedores concentrem seus esforços nos resultados do cliente e realizem lançamentos regulares com “a lista de pendências de recursos sendo preparada para refletir as últimas lições aprendidas”, disse Spafford.

“Esta é uma abordagem poderosa porque permite uma entrega sluggish de valor para o cliente, aprendizado e melhoria contínua”, disse Spafford.

Mas as organizações também devem considerar as desvantagens: Superar a cultura existente e fazer com que as pessoas aprendam e mudem. Estes podem ser abordados, observou Spafford, mas devem ser considerados desde o início e durante todo o processo.

E, finalmente, devops e DevSecOps “não são uma progressão que você começa com um e depois passa para o outro”, disse Spafford. “Em ambos os casos, comece pequeno, aprenda, melhore, demonstre valor e aumente a pegada.”

Conceito crescente, adoção

À medida que as vulnerabilidades de segurança aumentam, o DevSecOps está se tornando mais definido como um conceito, além de crescer em adoção.

De acordo com a Emergen Analysis, o mercado world de DevSecOps atingirá US$ 23,42 bilhões em 2028. Isso representa um aumento significativo de 32,2% na taxa de crescimento anual composta (CAGR) de US$ 2,55 bilhões em 2020.

Isso acompanha o crescimento do mercado de devops, que deve registrar ganhos de mais de 20% de 2022 a 2028, de acordo com a International Marketplace Insights. A empresa espera que o segmento aumente de cerca de US$ 7 bilhões para mais de US$ 30 bilhões nesse período.

Uma necessidade crescente de processos repetitivos e adaptáveis, segurança de código personalizado e monitoramento e teste automatizados está impulsionando esse crescimento, relata a Emergen. E um número crescente (e iteração) de plataformas e ferramentas está surgindo – de empresas como Unisys, Kryptowire, Crimson Hat e Rackner.

Maior proteção em um cenário ‘feio’

“DevSecOps não é mais uma opção” – é uma necessidade”, disse Bell. Da mesma forma, “a segurança não é uma reflexão tardia”. Em vez disso, deve ser integrado em todas as fases do ciclo de desenvolvimento do DevOps.

O’Malley concordou, ressaltando que a prática comum tem sido agregar segurança ao device no ultimate do ciclo de desenvolvimento.

Este não generation um problema significativo até que novas práticas de desenvolvimento, incluindo ágil e devops, se tornassem cada vez mais predominantes como meio de reduzir os ciclos de desenvolvimento, apontou ele. Em meio a essa adoção, a abordagem de adesão criou muitos atrasos ou foi totalmente ignorada para oferecer novos recursos aos clientes, criando assim mais lacunas de segurança.

O DevSecOps está “se tornando ainda mais crítico”, disse O’Malley, ressaltando que “é feio lá fora em segurança”.

Notavelmente, os hackers se tornaram mais inteligentes e sofisticados. Eles estão desenvolvendo cada vez mais maneiras de ignorar diretamente a autenticação multifator por meio de pontos de acesso em nuvens públicas, aplicativos, dispositivos móveis e IoT; direcionar diretamente as organizações e forçá-las a pagar resgate; e usar os chamados aplicativos “stalkerware” para gravar conversas, localização e tudo o que um usuário digita, “tudo enquanto camuflado como uma calculadora ou calendário”, disse O’Malley.

Ele também apontou para a integração da computação em nuvem como um fator. Conforme previsto pelo Gartner, 70% de todas as cargas de trabalho corporativas serão implantadas na nuvem até 2023, contra 40% em 2020. Além disso, espera-se que as empresas de todos os setores tenham pelo menos nove ambientes de nuvem diferentes até 2023.

Hospedar dados e aplicativos em tantos lugares adiciona um nível de complexidade que pode dificultar o gerenciamento de operações de segurança na nuvem (ou CloudSecOps). E embora tenha vários benefícios – entre os quais custo e flexibilidade – a nuvem também abre mais pontos de entrada. As organizações têm áreas maiores para proteger e, com acesso não limitado à localização física, “qualquer um e todos são uma ameaça potencial”, disse O’Malley.

Os invasores podem usar aplicativos de terceiros, credenciais de funcionários e bots para obter acesso, aumentando assim a necessidade de medidas modernas de segurança cibernética.

A mudança para o trabalho remoto e a transformação virtual contínua aumentaram as vulnerabilidades das organizações, apontou Bell. Aplicativos seguros e atualizações contínuas permitem que as empresas se adaptem a isso sem se abrirem a ataques.

“As empresas que implantam soluções DevSecOps terão menos simulações de incêndio em estágios posteriores e fornecerão código mais seguro e de maior qualidade”, disse Bell. “Empurrar um projeto de desenvolvimento através da produção e criar dívida técnica é uma receita para o desastre.”

Alcançar a ‘resiliência cibernética’

Quando se trata de proteção, ferramentas adequadas são cruciais, disse Bell.

O gerenciamento automatizado de versões é um aspecto essencial de toda estratégia de DevSecOps. Este é o processo de planejamento e trabalho através do pipeline de desenvolvimento de aplicativos – desde os primeiros estágios de preparação, desenvolvimento, teste, implantação e monitoramento contínuo após o lançamento.

As ferramentas de integração contínua e implantação contínua (CI/CD) ajudam a fortalecer os processos de teste, reforçando áreas potenciais de ataque antes do estágio de produção, disse Bell. As ferramentas de backup de dados também podem ser empregadas para rotear automaticamente os dados para o native apropriado e manter uma interface consistente para funcionários e clientes.

A proteção também se resume a ajudar os funcionários a se tornarem mais “ciberresilientes”.

Desde a comunicação de melhores práticas, como permissões de usuário atualizadas, até a implementação de senhas fortes e o reforço da capacidade de detectar tentativas de phishing, Bell ressaltou que “a comunicação aberta é a chave para o sucesso”.