Se você não é da área de tecnologia, talvez esteja se perguntando: mas o que exatamente é AppSec? Segurança de aplicações é o nome que se dá ao processo de construir, lançar e manter aplicações seguras – sempre por meio das melhores práticas aplicadas ao desenvolvimento.
Você pode também ouvir a versão em áudio deste conteúdo:
Isso ocorre, em grande parte, durante o processo de desenvolvimento das aplicações – mas pode e deve ser continuado por meio de estratégias e ferramentas também depois que a aplicação já foi implementada. Afinal, ao contrário do que muitos pensam, segurança de aplicações não se resume apenas a testes, temos que entender que é um processo.
Na Conviso, trabalhamos com a ideia de segurança de aplicações de forma contínua, conforme demonstado no gráfico acima, que representa a cultura DevSecOps. Acreditamos que o AppSec deve estar inserido na cultura de uma empresa, por meio de treinamentos e boas práticas.
Mas para quê serve AppSec?
O mundo agora gira em torno de aplicações para a realização de todo tipo de tarefas diárias, como transações bancárias e compras online. E todas essas aplicações são criadas por humanos, por meio de códigos de computador.
Por isso, a ideia por trás da segurança de aplicações é impedir que vulnerabilidades possam expor dados ou permitam acesso às funcionalidades de sistemas a pessoas mal intencionadas.
É importante salientar que não existem aplicações completamente invulneráveis. Toda e qualquer aplicação pode ser alvo de invasões – algumas, mais facilmente do que outras – e por isso que a segurança de aplicações se faz tão necessária.
Dados importantes sobre AppSec
De acordo com a Grand View Research, o mercado global de segurança de aplicações foi estimado em U $4.2 bilhões em 2019 e a expectativa é que em 2020, ele feche em U $4.9 bilhões. Ou seja: não estamos falando de um mercado pequeno.
Além disso, estudos do Gartner mostram que 75% dos ataques procuram explorar vulnerabilidades ao nível da aplicação. Além da dor de cabeça e dos impactos financeiros e econômicos, um ataque a aplicações pode desencadear uma crise na empresa.
É obrigação de cada empresa proteger os dados de seus clientes da melhor forma possível. Com a Lei Geral de Proteção de Dados, o assunto se torna ainda mais sério e passível a sanções no caso de negligências.
No entanto, na Conviso defendemos que a segurança de aplicações deve ser um investimento realizado não apenas para entrar em conformidade com leis e normas – e sim, por uma questão de ética e boas práticas, e é claro – como uma forma de oferecer serviços e produtos mais seguros para o consumidor.
Afinal, garantir a segurança de aplicações significa investir não apenas em proteção – mas também na reputação e longevidade da empresa. E essa questão cultural envolve o conceito de Shift-Left.
O conceito Shift – Left
Se você já estudou um pouco sobre Segurança de Aplicações, certamente já se deparou com o gráfico acima. No processo de desenvolvimento de softwares, estabeleceu-se que o fluxo de implementação siga uma orientação horizontal – como no desenho – da esquerda para a direita.
Desta forma, na ponta esquerda fica o planejamento da aplicação. Já lá no final do gráfico, na ponta direita, é onde ocorre a operacionalização e o monitoramento da aplicação.
Mas o que então é o shift-left? Como podemos ver na imagem, temos cerca de oito etapas no CI/CD, e os testes de segurança normalmente começam a ser realizados nos últimos 2 passos (Operações e Monitoramento).
O que o shift-left sugere é que, em vez de deixar o pensamento sobre AppSec apenas para o final do desenvolvimento, nós devemos “puxar” esse pensamento para a esquerda do fluxo, dando início ao processo de desenvolvimento já de forma mais estruturada quando pensamos em segurança de aplicações – ou seja, deve ser aplicado desde o começo até o final do processo!
Quando surgiu a segurança de aplicações? Um breve histórico do AppSec
Garantir a segurança de informações, de forma geral, não é nada novo. No entanto, a segurança de aplicações, por sua vez, surgiu junto com as aplicações – de forma bem mais simplória do que conhecemos hoje, é claro – e foi se desenvolvendo desde então. E isso é bem menos recente do que possa parecer.
Foi ao decorrer da Segunda Guerra Mundial que o primeiro grande ataque “hacker” aconteceu. Foi com ajuda do Bombe, ferramenta criada pelos poloneses para decifrar dados registrados em códigos secretos pela Alemanha, que por sua vez usava uma ferramenta ironicamente chamada Enigma.
Talvez nossa falsa ideia de segurança de aplicações como algo muito recente venha do fato que computadores ficaram acessíveis para o usuário comum há poucas décadas. Mas indústrias que lidam com informações altamente sensíveis, como a aeroespacial e a militar já usavam computadores muito antes disso, e foi na década de 1960 que a segurança de informação passou a ver um rápido crescimento.
Esta década, aliás, foi muito importante para a área de AppSec. Afinal, até o início dos anos 60, o armazenamento de senhas, por exemplo, ocorria de forma muito simples e com controles de acesso altamente vulneráveis. Foi no final da década de 1960 que a área de segurança de informações passou a crescer e ganhar mais importância.
No entanto, nos anos 1970 e na maior parte dos anos 1980, a segurança do código especificamente não era exatamente considerada um risco. Naquela época, a maioria dos riscos de um computador girava em torno da integridade física da máquina – eles eram muito caros, então precisavam ser protegidos de roubos e ameaças mais óbvias, como o acesso a documentos privados.
A segurança de aplicações nos anos 2000
É claro que tivemos fatos importantes nas décadas seguintes, que influenciaram muito o mercado de appsec – a primeira versão do HTTPS surgiu em 1994, por exemplo. Um ano antes, em 1993, um software chamado a priori de SATAN – e depois rebatizado de SANTA – foi um dos primeiros softwares de scan de vulnerabilidades a ser registrado.
No entanto, no início dos anos 2000, quando computadores e celulares ficaram muito mais acessíveis à população, a Segurança de Aplicações como conhecemos hoje foi tomando mais forma. Foi quando começamos a ver as primeiras empresas e ferramentas focadas em AppSec surgindo, e tratando AppSec como um negócio.
Em 2001 foi fundada a OWASP, o Open Web Application Security Project – instituição que lidera muitos dos padrões apresentados para a segurança de aplicações – e o que seguimos aqui na Conviso.
Em 2004, por sua vez, foi quando o PCI (Payment Card Industry) lançou o primeiro Data Security Standard (PCI-DSS), definindo os padrões mínimos de segurança para lidar com dados de cartão de crédito.
Gostou do conteúdo? Inscreva-se em nossa newsletter!
Como está o mercado de AppSec atualmente?
Embora o mercado de segurança de aplicações tenha se desenvolvido muito, há ainda um longo caminho a ser trilhado – principalmente quando se trata de encarar a appsec como uma cultura a ser implementada, e não apenas como um combo de ferramentas a serem adquiridas. E este é um problema global.
Na Conviso, sempre destacamos que AppSec não se limita apenas à código ou prática de testes. No caminho para a implementação de uma cultura de segurança, há uma série de outros elementos envolvidos no processo. E esta cultura deve ser fomentada e disseminada em toda a empresa.
Os desenvolvedores precisam estar cientes acerca das questões de segurança, mas também precisam ser treinados continuamente em práticas e tecnologias atualizadas, para que a segurança se torne presente em todas as etapas do desenvolvimento.
