BLOG

Principais descobertas de segurança no relatório F5 State of Application Delivery

Miniatura F5
F5
Publicado em 29 de junho de 2017

Como leitores frequentes do blog F5 sabem, lançamos a terceira edição do relatório State of Application Delivery (SOAD). O relatório de 2017 representa os resultados de uma pesquisa com quase 2.200 executivos e profissionais de TI e abrange todos os aspectos da entrega de aplicativos, incluindo local, nuvem híbrida e nuvem. Várias das descobertas do relatório abordam como os entrevistados se relacionam com o ambiente de segurança. Quase um em cada cinco entrevistados tem cargos na área de segurança e, nesta publicação, vamos nos concentrar em alguns dos itens que são mais lembrados por seus pares.

Descoberta: Há uma lacuna de experiência em nuvem e segurança.

Surpreendentemente, quatro em cada cinco entrevistados adotarão estratégias de multinuvem em 2017. E um desses cinco já tem metade ou mais de seus aplicativos na nuvem! Mas as organizações têm especialistas em nuvem suficientes para lidar com pelo menos uma única nuvem hoje? Conheço pessoas que são especialistas em AWS e não sabem nada sobre Azure, e vice-versa.

Talvez não seja surpresa para quem lê minha coluna (ou a de Jon Oltsik ) que uma em cada três organizações cite a lacuna de habilidades de segurança como um desafio de segurança significativo. Simplesmente não estamos treinando whitehats o suficiente para acompanhar todos os blackhats que estão se treinando ao redor do mundo. Há uma chance de que a lacuna de habilidades em segurança seja fechada por uma combinação mágica de aprendizado de máquina e automação; o DARPA Cyber Grand Challenge anunciado na DEF CON 24 já está apontando nessa direção. Mas até que isso aconteça, viva a credibilidade da segurança nas ruas.

Um exemplo: o relatório SOAD perguntou aos entrevistados quais serviços de aplicativos eles planejam implantar nos próximos doze meses, e a resposta número um, com 40%, é segurança.

Descoberta: As implantações de serviços de aplicativos de segurança estão se tornando mais sofisticadas.

O relatório perguntou aos participantes da pesquisa sobre suas estratégias para derrotar ameaças emergentes, proteger seus aplicativos e seus dados. A boa notícia deste ano é que, em geral, as organizações se sentem mais confiantes em sua capacidade de lidar com seus principais desafios de segurança do que no ano passado.

Em todas as áreas desafiadoras, exceto na lacuna de habilidades, as organizações se sentem um pouco menos assustadas. Perguntei a Lori MacVittie , uma das autoras do relatório, por que isso acontece: 

“Achamos que isso significa que eles estão menos medrosos, em geral. Supomos que isso pode ser devido ao fato de que os orçamentos de segurança estão aumentando e, portanto, eles são capazes de implementar as soluções necessárias para enfrentar seus desafios. Não está no relatório público, mas o "orçamento é muito pequeno" como um desafio de segurança caiu de 41% em 2016 para 30% em 2017, daí nossa suposição.”

Globalmente, as organizações com mais confiança em sua capacidade de resistir a um ataque expandiram-se além de uma simples abordagem de perímetro para segurança. Muitos planejam implantar mitigação de DDoS (21%), proteção DNSSEC (25%) e um firewall de aplicativo web (20%) no próximo ano.

Descoberta: A pior coisa sem a qual eu poderia implementar um aplicativo é…

Todos os anos, a pesquisa SOAD pergunta aos participantes qual é a pior coisa que eles acham que poderiam fazer para implementar um aplicativo sem ela. 

A segurança ocupa o primeiro lugar com uma margem ainda maior do que há um ano. Em 2016, a disponibilidade superou a segurança. Talvez as organizações estejam finalmente se conscientizando de que uma violação pode ter um efeito negativo muito mais duradouro do que uma interrupção. O constante aumento de violações provavelmente está impulsionando essa conscientização. Isso é uma coisa boa.

A resposta mais comum para a segurança de aplicativos é, obviamente, o firewall de aplicativo web (WAF). Mais da metade de todos os entrevistados que priorizam a nuvem relatam ter um WAF implantado. Isso não é muito surpreendente, embora faça você se perguntar o que os outros 48% estão fazendo...

 Relatório sobre o estado da entrega de aplicativos de 2017

Os espectadores interessados podem encontrar o relatório completo sobre o estado da entrega de aplicativos de 2017 aqui .