BLOG

Hábitos de segurança dos altamente confiantes

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 13 de março de 2017

Insights do estado de entrega de aplicativos de 2017

Executivos e profissionais de segurança são um grupo pragmático, pelo menos em termos de seus níveis de confiança em resistir a ataques na camada de aplicação.

Curiosamente, nenhum dos grupos está pessimista quanto às suas chances de resistir a tais ataques. Apenas 5% de cada grupo em nossa pesquisa State of Application Delivery não tinha confiança na capacidade de suas organizações de resistir a um ataque na camada de aplicativo. Mas isso também não significa que eles estejam otimistas quanto às suas chances. Apenas 10% dos profissionais de segurança e 13% dos executivos estavam altamente confiantes de que conseguiriam combater os bandidos e vencer no jogo da segurança de aplicativos.

executivos-vs-confiança-em-segurança

Na verdade, suas opiniões estavam muito mais equilibradas em algum ponto intermediário, onde se encontra o pragmatismo (realismo).

Quarenta por cento (40%) dos profissionais de segurança estavam em cima do muro, nem mais nem menos confiantes. Uma porcentagem semelhante de executivos (37%) concordou. O que parece uma postura razoável hoje em dia. Você pode estar confiante de que pode suportar o que sabe que, agora mesmo, está lá fora. Mas esse é o problema com a segurança: o desconhecido está prestes a se tornar uma ameaça.

Então o que torna cerca de 10% dos profissionais e executivos de segurança tão confiantes na postura de segurança de sua organização? O que é que eles sabem que talvez os outros não saibam?

serviços implantados pela confiança soad17

Para descobrir, comecei a fatiar e analisar os dados. Mencionamos no relatório completo que a implantação de um firewall de aplicativo da web e, em menor grau, a proteção DDoS, contribuíram para os níveis de confiança dos entrevistados em relação à resistência a ataques na camada de aplicativo. Mas é claro que esses não são os únicos dois serviços de segurança disponíveis; estamos monitorando oito deles neste momento.

Parece razoável, então, supor que outros serviços de aplicativos de segurança podem ter um impacto na confiança que as pessoas têm na postura de segurança de suas organizações. Uma rápida análise dos dados mostrou que esse pode ser o caso.

Para cada um dos oito serviços de segurança que estamos monitorando, encontramos uma porcentagem maior de serviços implantados por aqueles com maior confiança. A diferença no status de implantação por nível de confiança de cada serviço foi geralmente drástica. Em média, os entrevistados com menor confiança tiveram um status geral de implantação de serviços de segurança de aplicativos 24% menor. Menos serviços de segurança, menor confiança. Coincidência? Eu não acho.

Mas não é apenas a implantação de serviços de segurança que pode contribuir positivamente (ou negativamente) para a confiança de que as pessoas podem resistir a um ataque na camada de aplicativo. A maneira como você utiliza esses serviços de aplicativos para proteger os aplicativos também importa.

proteção de superfície por confiança soad17

Todo ano perguntamos às pessoas como elas estão protegendo seus aplicativos. Identificamos três superfícies de ataque principais que precisam de proteção: o cliente, a solicitação e a resposta. Isso ocorre porque cada um oferece um momento único com diferentes táticas de segurança (e, portanto, serviços) para proteger e defender melhor os aplicativos e seus dados valiosos. Pedimos aos entrevistados que descrevam com que consistência eles aplicam as políticas de segurança a cada uma das três superfícies: sempre, nunca ou às vezes. A esta altura, tenho certeza de que ninguém ficará surpreso ao saber que as pessoas com mais confiança sempre protegem as três superfícies. E, inversamente, aqueles com os menores índices tendem a nunca proteger nenhuma das superfícies. 

Obviamente, esse não é o único fator que influencia o nível de confiança. Uma pequena porcentagem de pessoas com menor confiança sempre protege essas superfícies de ataque. E, inversamente, alguns com a maior confiança nunca protegem essas superfícies. O fato de que pessoas com menor confiança às vezes precisam proteger essas superfícies diz que é um fator contribuinte, mas certamente não é o único, ou haveria uma correlação maior entre nunca proteger superfícies e menor confiança. 

Ainda assim, mais da metade dos que têm maior confiança protegem sempre o cliente (60%), o pedido (61%) e a resposta (57%).

Coincidência? Mais uma vez, não creio.

É claro que não podemos estabelecer uma relação causal entre a implantação e a aplicação de serviços de aplicativos de segurança e os níveis de confiança, mas podemos ver claramente que há uma correlação entre eles.

Os profissionais de TI com maior confiança em sua capacidade de resistir a ataques na camada de aplicação são mais propensos a implantar serviços de aplicativos de segurança e proteger proativamente todas as três superfícies de ataque do que seus colegas mais pessimistas. Algo a considerar se você estiver se sentindo um pouco "meh" sobre suas chances de se defender contra o que o amanhã pode trazer.