Digital como Padrão: Lidando com consequências não intencionais

O destino da transformação digital sempre foi um modelo operacional "digital como padrão". Não me lembro da última vez que alguém deixou uma lista telefônica na minha varanda ou me entregou um DVD de um filme novo para assistir. Quando quero jogar um jogo novo, uso a loja no meu console. Eu certamente não me levanto mais e dirijo até uma loja física de jogos para procurar cartuchos. E atualizações? Eles são entregues automaticamente.  Sério, até meus RPGs de mesa favoritos são digitais hoje em dia. Não preciso arrastar treze livros e vários quilos de dados para a casa de alguém para jogar. Só preciso do meu laptop.

Não que eu esteja desistindo dos meus dados. Porque isso é só conversa fiada.

Mas estou usando mais o digital porque as empresas estão nos dando mais digital.

No ano passado, todos os setores progrediram rapidamente – motivados pela necessidade – para a segunda e terceira fases da transformação digital.

Fase 1

Automação de tarefas 

Nesta fase, a digitalização leva as empresas a transformar tarefas empresariais orientadas para o ser humano em várias formas de "automação", o que significa que mais aplicativos são introduzidos ou criados como parte do fluxo de negócios. Isso começou com a automatização de tarefas individuais bem definidas para melhorar a eficiência. Um exemplo comum são os sistemas IVR que respondem a perguntas comuns sobre um produto ou serviço, mas podem precisar repassar a resposta a um representante humano. Nesta fase, as tarefas individuais são automatizadas, mas não integradas de forma consistente. 

A consequência não intencional: Mais código 

Não é apenas mais código resultante de mais aplicativos, é também mais código como resultado de novas arquiteturas de aplicativos. Um aplicativo médio para iPhone ocupa menos de 50.000 linhas de código. Google? Mais de 2 milhões. A maioria dos aplicativos fica em algum lugar no meio. Todo esse código precisa ser mantido, atualizado e protegido, e as organizações vêm expandindo sua base de código entre arquiteturas há anos. Agora eles operam cinco arquiteturas distintas e cerca de três a quatro bases de código diferentes, de COBOL a C, JS e Go.

E isso não conta o uso crescente de JSON, YAML e Python à medida que as organizações adotam "infraestrutura como código". Isso é mais da metade (52%) com base em nossa pesquisa anual , e só tende a crescer à medida que as organizações que estão se aprofundando em IA e ML começam a adotar práticas operacionais que incluem "modelos e algoritmos" como código também.

Fase 2

Expansão Digital 

À medida que as empresas começam a aproveitar as vantagens das infraestruturas nativas da nuvem e a impulsionar a automação por meio do desenvolvimento de seu próprio software, isso leva a uma nova geração de aplicativos para dar suporte ao dimensionamento e à expansão adicional de seu modelo digital. O impulsionador por trás desta fase são os líderes empresariais que se envolvem nas decisões de aplicação projetadas para diferenciar ou fornecer um envolvimento único com o cliente. Por exemplo, os prestadores de cuidados de saúde estão cada vez mais integrando os registros e o faturamento dos pacientes com os sistemas de admissão, alta e agendamento. Lembretes de compromissos automatizados podem então eliminar processos manuais. O foco na melhoria dos processos de negócios de ponta a ponta é o tema comum nesta fase.   

A consequência não intencional: Mais conexões

Mas espere, tem mais. O digital como padrão e a modernização da TI significam mais conexões — entre aplicativos, sistemas, dispositivos, consumidores, parceiros e APIs. Cada um deles é um ponto de entrada em potencial, que pode resultar em uma violação significativa ou comprometimento dos sistemas.

As apostas aqui são altas. Malware. Ransomware. Fraude. Perda de receita. Os custos de não proteger tudo o que pode ser atacado são enormes – assim como a maneira como você fará isso.

Fase 3

Negócios Assistidos por IA 

À medida que as empresas avançam ainda mais em sua jornada digital e aproveitam recursos mais avançados em plataformas de aplicativos, telemetria empresarial e análise de dados e tecnologias de ML/IA, as empresas se tornarão assistidas por IA. Esta fase abre novas áreas de ganhos de produtividade empresarial que antes não estavam disponíveis. Por exemplo, um varejista descobriu que 10% a 20% de suas tentativas de login malsucedidas eram de usuários legítimos com dificuldades no processo de validação. Negar acesso por padrão representava uma perda de receita potencialmente significativa. A análise comportamental pode ser usada para distinguir usuários legítimos de bots que tentam obter acesso. A tecnologia e a análise permitiram a identificação assistida por IA desses usuários para deixá-los entrar, aumentando a receita e melhorando a retenção de clientes.    

As consequências não intencionais: Mais dados

Por fim, o digital como padrão necessariamente resulta em mais dados. Não apenas dados do cliente – pedidos, produtos, endereços, detalhes de pagamento – mas dados operacionais, como métricas e registros. Um negócio digital precisa de telemetria para entender visitantes, padrões de engajamento, desempenho, fluxos incomuns e comportamento anômalo. Essa telemetria não é algo que pode ser analisado e descartado, pelo menos não imediatamente. Podem ser necessários dias, se não semanas ou meses, de telemetria para estabelecer adequadamente as linhas de base operacionais e, então, descobrir padrões que alimentam decisões de negócios, bem como anomalias indicativas de um ataque.

Todos esses dados precisam de atenção. Ele precisa ser normalizado, armazenado, processado, analisado e curado. E precisa de segurança, porque alguns desses dados podem conter bits protegidos do cliente, exigindo conformidade e supervisão regulatória.

O resultado não intencional da transformação digital: Mais complexidade 

Não importa quão rápido ou lentamente uma organização progrida por essas fases, o resultado é o mesmo: mais complexidade.

E todos nós sabemos que a complexidade é inimiga da segurança.

Portanto, para os profissionais de segurança, o digital como padrão significa novos desafios. Uma das maneiras de lidar com esse conjunto de desafios de segurança é dividi-lo em categorias mais gerenciáveis.

Simplifique para manter sua sanidade

A maioria dos desafios de segurança pode ser amplamente agrupada em três categorias: aplicação, infraestrutura e negócios. Essas categorias de nível superior são boas para gerenciar quando você precisa de financiamento ou suporte executivo. Eles também são bons para triagem ao determinar a melhor abordagem para mitigá-los.  

Camada de aplicativo → DevSecOps

Vulnerabilidades na camada de aplicativo podem ser abordadas com uma abordagem de mudança para a esquerda, ou seja, tornando a segurança parte de cada pipeline, do desenvolvimento à implantação e à operação. Essas são quase sempre vulnerabilidades inadvertidas — aquelas que geralmente são causadas por uma ação humana — intencional ou acidental. Eles abrangem a pilha, desde segredos compartilhados por meio de repositórios pessoais de desenvolvedores até configurações incorretas de buckets do S3. As ferramentas podem identificar vulnerabilidades em componentes de terceiros e outras dependências para garantir que você esteja usando a versão mais recente, melhor e, com sorte, mais segura desse script.

De WAF a DAST, RASP e SAST, há muitas ferramentas para ajudar a escanear e proteger o código. A maioria deles é totalmente capaz de se integrar ao pipeline de desenvolvimento. Ao automatizar as verificações, você efetivamente elimina a transferência de responsabilidades e o desperdício de tempo associado. A indústria chama isso de DevSecOps, mas você também pode chamar de processamento paralelo ou multitarefa. Isso significa que o cronograma não para quando uma equipe ou indivíduo não está disponível ou está com reservas superlotadas. Isso significa uma análise mais completa e capacidade de detectar erros mais cedo no processo.

Vulnerabilidades de infraestrutura → Defesa distribuída

Vulnerabilidades mais tradicionais, como DDoS volumétrico e amplificação de DNS, residem na camada de infraestrutura. Você realmente não pode mudar para a esquerda para mitigar esses efeitos e definitivamente não pode eliminá-los, porque você não controla os invasores. Você só pode controlar sua resposta.

Vulnerabilidades na camada de infraestrutura precisam de uma abordagem mais de proteção correta, na qual os serviços de segurança se defendem contra ataques ao vivo, porque há maneiras de "processá-los".

O aplicativo é o perímetro hoje, e as organizações têm aplicativos em todo o mundo. Ignorando o SaaS, as organizações usam, em média, 2,7 nuvens públicas diferentes que estendem os data centers existentes. Isso é plural.

Eles também têm muitos endpoints distribuídos, como meu laptop corporativo. Mesmo antes de o trabalho em casa se tornar algo mais ou menos permanente, as pessoas viajavam — e isso significava pontos de extremidade móveis distribuídos.

Isso está gerando a necessidade de soluções centradas em aplicativos distribuídos e identidade para defender infraestrutura e aplicativos. Isso significa SASE e Zero Trust, e o uso de edge para mover serviços defensivos de infraestrutura para mais perto da origem dos ataques. SASE e ZTNA mudam a política de endereços IP e redes para usuários e dispositivos e exigem comprovação de identidade para acessar aplicativos e recursos.

Vulnerabilidades empresariais → Assistência de IA

Por fim, há as vulnerabilidades da camada de negócios. Assim como as vulnerabilidades da camada de infraestrutura, elas são inerentes; você não pode processá-las. Você não pode realmente eliminar uma página de login ou um processo de redefinição de senha, então você fica preso na defesa contra ataques que invariavelmente irão destruir suas defesas.

E eles vão espancá-los. A pesquisa do F5 Labs observa que o tamanho médio dos ataques DDoS aumentou 55% no ano passado, sendo a educação um dos setores mais visados no início de 2021. Ataques de preenchimento de credenciais foram lançados contra jogadores de videogame em 2020, com uma taxa de mais de 500.000 por hora. Elas devem ser tratadas em tempo real.

É por isso que não é nenhuma surpresa que a segurança assistida por IA esteja sendo adotada em um ritmo frenético, para acompanhar a velocidade alucinante com que novos ataques e novas maneiras de executar ataques antigos são desenvolvidos e lançados.

Lembre-se, a ciência nos diz que os seres humanos só conseguem processar cerca de 50 a 60 bits por segundo. É por isso que é tão difícil realizar várias tarefas ao mesmo tempo. Os dados fluem de sistemas, dispositivos, aplicativos, clientes e da rede a uma taxa muito maior do que nós, como seres humanos, podemos processar. É por isso que temos painéis e visualizações, mas eles não nos informam realmente o que está acontecendo. Eles são instantâneos de um momento no tempo e muitas vezes são baseados apenas em métricas binárias – para cima, para baixo, rápido e lento. A capacidade de processar e prever com precisão possíveis ataques foi citada por 45% dos entrevistados em nossa pesquisa anual como "ausente" em suas soluções de monitoramento atuais. A IA é uma resposta para isso, com a promessa de análise de dados em tempo real por meio de modelos treinados que podem detectar e nos alertar sobre um possível ataque.

O digital como padrão é o novo normal 

Em última análise, toda essa digitalização está criando um mundo distribuído e orientado por dados. É digital por padrão. E isso significa mais maneiras para os invasores obterem acesso, exfiltrar dados e, de modo geral, bagunçar as coisas. Em um mundo digital por padrão, a segurança precisa de uma pilha digital e isso significa DevSecOps, um modelo de defesa distribuído e segurança assistida por IA.