Artigo

Fortaleça sua estratégia de cibersegurança com o Seguro por Design

Saiba mais sobre o Seguro por Design, conceitos relacionados e quais etapas seguir para integrar a segurança nos processos de desenvolvimento de software.

October 29, 2024 6 min de leitura

Joel Krooswyk CTO Nacional

A abordagem de cibersegurança de uma empresa deve evoluir constantemente conforme as superfícies de ataque aumentam e sabe-se mais sobre possíveis ameaças. Ao compreender que as ameaças podem entrar em qualquer ponto da cadeia de suprimentos de software, uma abordagem com princípios de Seguro por Design integra segurança nas fases de design, programação, teste e implantação do desenvolvimento de software. Sendo este o padrão para agências federais nos EUA (e qualquer empresa que tenha contato com os softwares que elas usam), os princípios do Seguro por Design se tornaram um benchmark imprescindível para incorporar a segurança ao ciclo de vida do desenvolvimento de software.

Com o tempo, o Seguro por Design se ramificou em conceitos relacionados, como Seguro por Padrão e Seguro por Demanda, que focam em diferentes maneiras de abordar o Seguro por Design:

Seguro por Padrão se concentra em garantir que todos os produtos de software sejam seguros quando estão prontos para uso.
Seguro por Demanda estende os princípios de Seguro por Design ao processo de aquisição.

Saiba mais sobre o Seguro por Design e essas abordagens relacionadas, incluindo um guia passo a passo sobre como as empresas podem adaptar suas estratégias para evitar vulnerabilidades exploráveis e ataques à cadeia de suprimentos de software.

O que é o Seguro por Design?

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) apresentou sua Iniciativa Seguro por Design em abril de 2023, com foco em três princípios fundamentais de segurança de software:

Assumir a propriedade dos resultados de segurança do cliente
Adotar transparência e responsabilidade radicais
Construir a estrutura organizacional e a liderança para atingir esses objetivos

O Seguro por Design integra princípios e protocolos de segurança em todas as etapas do processo de desenvolvimento de software. Isso significa que as medidas de segurança são incorporadas nas fases de design, programação, teste e implantação do desenvolvimento de software, em vez de serem adicionadas posteriormente.

O objetivo do Seguro por Design é criar uma base segura para o software desde o princípio, reduzindo vulnerabilidades e possíveis superfícies de ataque.

O que é o Seguro por Padrão?

Seguro por Padrão é um desdobramento do Seguro por Design que se concentra em garantir que qualquer software ou hardware esteja definido com a configuração mais segura sem exigir que o usuário faça sua reconfiguração. Os produtos que adotam os princípios do Seguro por Padrão ativam automaticamente os controles de segurança mais importantes necessários para proteger as empresas do acesso não autorizado de agentes mal-intencionados. Ou seja, os usuários não precisam executar outras etapas para garantir que o produto esteja protegido contra técnicas de exploração predominantes.

As táticas de Seguro por Padrão incluem eliminar senhas padrão e exigir autenticação multifator e logon único para que apenas usuários autorizados tenham acesso aos recursos. Essa abordagem também inclui atualizações e patches automáticos, assim como configurações seguras para todos os dispositivos e todas as contas do usuário.

O que é o Seguro por Demanda?

Seguro por Demanda combina os princípios de Seguro por Design com contratos de orçamento e aquisição com o objetivo de impulsionar o Seguro por Design como uma exigência para fornecedores e terceirizados. O Guia Seguro por Demanda da CISA fornece respostas e recursos que os compradores de software podem usar para entender melhor a abordagem de cibersegurança de um possível fornecedor. Ele inclui dúvidas sobre práticas de autenticação do fornecedor, segurança da cadeia de suprimentos de software e relatórios e divulgação de vulnerabilidades.

Ao exigir que os fornecedores sigam os princípios e protocolos de Seguro por Design em seus produtos e serviços, as empresas podem evitar que possíveis vulnerabilidades entrem em sua cadeia de suprimentos de software. A abordagem Seguro por Demanda também incentiva ainda mais os fornecedores a melhorar continuamente sua própria abordagem de cibersegurança.

Como construir uma estratégia de cibersegurança com os princípios do Seguro por Design

Conforme as empresas priorizam o Seguro por Design, as etapas incluem a utilização de práticas eficazes de DevSecOps, a manutenção de uma lista de materiais de software (SBOM) e a incorporação da IA para se defender contra ameaças que podem entrar em qualquer ponto do ciclo de vida do desenvolvimento de software.

Adoção de práticas de DevSecOps

Um dos primeiros passos para dar sustentação a uma postura de Seguro por Design é ter um processo de desenvolvimento de software seguro: desenvolver, compilar, proteger e implantar software usando uma abordagem abrangente de DevSecOps.

Hoje em dia, muitos desenvolvedores utilizam conjuntos de ferramentas complexos para criar novos programas. Uma pesquisa recente do GitLab mostra que 62% dos participantes usam seis ou mais ferramentas de desenvolvimento e 20% usam 11 ou mais. Essa prática ineficiente aumenta os riscos de entrada de possíveis vulnerabilidades de segurança.

Os desenvolvedores devem ter acesso a todas as ferramentas necessárias para os fluxos de trabalho do DevSecOps em uma única interface fácil de usar. Utilizando uma solução de ponta a ponta, como uma plataforma DevSecOps, as empresas podem implementar uma abordagem de Seguro por Design sem aumentar a carga dos desenvolvedores.

Como criar e manter SBOMs

Adotar a transparência é outra parte significativa da integração dos princípios de Seguro por Design. As empresas devem entender o que compõe seu software, especialmente quando podem haver componentes de várias fontes.

SBOMs são ferramentas essenciais para alcançar essa transparência. Essas ferramentas oferecem inventários detalhados de componentes de software, incluindo detalhes de versão, licença e dependência, que ampliam a visibilidade sobre possíveis vulnerabilidades ou códigos maliciosos.

A manutenção desse inventário permite que as empresas entendam completamente as possíveis vulnerabilidades e riscos que podem surgir quando os elementos são retirados de repositórios de código aberto e componentes licenciados de terceiros. Uma plataforma DevSecOps pode ajudar a gerar e atualizar automaticamente os SBOMs, integrá-los aos fluxos de trabalho e vinculá-los às vulnerabilidades associadas.

Embora muitas empresas usem SBOMs, eles devem ser dinâmicos, conectados a ferramentas de análise de segurança e atualizados continuamente para serem totalmente eficazes. Quando integrados a ferramentas de análise e painéis de controle, os SBOMs podem ser uma opção para identificar os riscos associados a uma aplicação. Mesmo quando não são necessários, os SBOMs podem auxiliar a conformidade com os regulamentos de segurança, validando que o código é seguro.

Como usar a IA no desenvolvimento de software

Conforme as empresas exploram maneiras de usar a IA, os fluxos de trabalho de desenvolvimento de software são um ponto de entrada valioso para essa tecnologia, que tem o potencial de acelerar os processos de desenvolvimento e aprimorar a segurança.

Empresas de todos os setores começaram a explorar essas aplicações: 39% dos participantes da pesquisa do GitLab afirmam já usar a IA no ciclo de vida do desenvolvimento de software.

Aplicar a IA a todo o ciclo de vida do desenvolvimento de software pode ajudar as empresas a evitar backlogs e silos orientados pela IA nos fluxos de trabalho de desenvolvimento. A IA pode executar funções importantes, como:

Explicação de código e refatoração de código legado em linguagens seguras para memória
Análise da causa raiz de pipelines DevSecOps, acelerando a resolução de problemas complexos durante os testes
Resolução de vulnerabilidades para lidar com vulnerabilidades conhecidas, possibilitando uma remediação mais completa

Conforme os líderes integram a IA em seus fluxos de trabalho, é crucial priorizar a privacidade e a segurança dos dados. Um aspecto essencial da adoção de uma abordagem com princípios de Seguro por Design é desenvolver uma estratégia de IA que proteja dados confidenciais e os direitos de propriedade intelectual.

O que vem por aí

Em breve, o Seguro por Design pode se tornar a abordagem padrão para criar um ecossistema de software mais confiável. O governo dos EUA tem colaborado com desenvolvedores de software para criar estruturas que incentivem legalmente o setor privado a produzir e lançar software com os princípios de Seguro por Design, levando as empresas a investir mais em tecnologia e práticas de segurança.

Com a segurança integrada ao desenvolvimento de software desde o princípio, a transparência por meio de SBOMs eficazes e a IA aprimorando o processo de desenvolvimento, todos os envolvidos no ciclo de vida do desenvolvimento de software estarão posicionados para ter bons resultados.

Guia para SBOMs dinâmicos: um elemento integral do desenvolvimento de software moderno

Saiba como ganhar visibilidade sobre riscos organizacionais não identificados anteriormente com uma lista de materiais de software (SBOM).
Acesse o guia

Principais conclusões

Seguro por Design, Seguro por Padrão e Seguro por Demanda evitam vulnerabilidades e ataques à cadeia de suprimentos de software, incentivando fabricantes a incorporar segurança em todas as etapas do design e desenvolvimento de produtos.
Adotar uma abordagem abrangente de DevSecOps e criar e manter listas de materiais de software (SBOMs) são etapas essenciais para seguir os princípios de Seguro por Design.
Incorporar a IA ao ciclo de vida do desenvolvimento de software também pode agilizar os processos de desenvolvimento, aprimorar a segurança e ajudar na resolução de vulnerabilidades.