Estado da estratégia de aplicativos 2023: Segurança a seu serviço. Literalmente.
Existem dois tipos de velocidade com os quais os profissionais de segurança têm dificuldades. O primeiro está relacionado ao desempenho e ao equilíbrio entre a necessidade de responder rapidamente às solicitações e a necessidade de proteger os usuários e os ativos corporativos contra exploração. Essa luta é principalmente de gestão de riscos. Como descobrimos no ano passado em nossa pesquisa anual , uma pluralidade de organizações está, de fato, disposta a sacrificar a segurança por alguma melhoria definida no desempenho.
Mas há outro tipo de velocidade com a qual os profissionais de segurança — assim como as empresas que atendem — lutam. Ou seja, a velocidade para lidar com ameaças emergentes. Você sabe, explorações de vulnerabilidades de dia zero. Ataques DDoS direcionados a redes, aplicativos e APIs que aparecem do nada.
Sabemos por outras pesquisas do setor que, quando se trata de corrigir vulnerabilidades, há uma lacuna significativa entre a descoberta e o fechamento, o que deixa as empresas vulneráveis a ataques. Também sabemos que implementar as políticas certas para lidar com ataques DDoS nos sistemas e serviços certos também pode levar tempo, o que, no mundo dos negócios digitais, custa dinheiro de verdade.
Portanto, não foi realmente uma surpresa quando perguntamos aos entrevistados da nossa pesquisa State of Application Strategy 2023 sobre os motivos pelos quais eles estão adotando a Segurança como Serviço (SECaaS).
A resposta esmagadora foi “velocidade”.
Essa necessidade de velocidade está afetando as decisões sobre onde implantar cargas de trabalho. Pela primeira vez em nossos nove anos de história de realização desta pesquisa, vimos serviços de segurança implantados externamente (36%) em uma taxa ligeiramente maior do que no local (35%). Nenhuma outra categoria de serviços de entrega de aplicativos chega perto da paridade. Mas segurança? A segurança está sendo implantada na nuvem pública e como um serviço em números cada vez maiores.
E quando analisamos os tipos de cargas de trabalho que os entrevistados planejavam implantar na borda, provavelmente não é surpresa que aqueles que planejam implantar cargas de trabalho de serviços de segurança tenham marcado “velocidade para lidar com ameaças emergentes” como o principal motivo para adotar o SECaaS.
Agora, nada disso deveria ser uma surpresa. Um dos benefícios operacionais da adoção do SECaaS, seja tradicional ou de ponta, é a velocidade com que os provedores podem lidar com ameaças emergentes. Mas também é bom para o desempenho. Mover os serviços de segurança para mais perto do usuário — o que inclui agentes mal-intencionados que fingem ser usuários — significa detectar e neutralizar ameaças mais cedo, o que evita que elas sobrecarreguem aplicativos, APIs e serviços alvos.
E como os leitores sabem, o axioma operacional número dois afirma que “à medida que a carga aumenta, o desempenho diminui”. Portanto, se qualquer serviço ou sistema no caminho crítico — entre o usuário e o aplicativo/API — for subitamente sobrecarregado por um ataque, sua carga aumentará à medida que ele tenta lidar com o problema. À medida que a carga aumenta… o desempenho diminui.
Ao empurrar a responsabilidade de detectar e neutralizar ataques na borda, as empresas estão efetivamente ganhando benefícios de “velocidade” — o tempo de resposta a ataques emergentes e o desempenho em tempo real de aplicativos e APIs.
Agora, também é verdade que nem toda função de segurança é adequada para "como serviço" ou na borda. Mas quando se trata de proteções como DDoS e WAAP, é absolutamente verdade que "como serviço" e na borda são boas opções para otimizar ambos os tipos de velocidade — operacional e de tempo de execução. Essa é uma das razões pelas quais é cada vez mais importante que o design de um serviço digital inclua considerações sobre a entrega do aplicativo e a segurança no momento do design .
Uma das maneiras pelas quais as organizações estão fazendo isso é adotando uma abordagem de plataforma para segurança. Não vou estragar nossas descobertas sobre esse tópico aqui, mas você pode ler sobre elas em nosso Relatório de Estratégia de Aplicação de 2023 .
Fique seguro lá fora.