O desenvolvimento de aplicativos foi transformado e é amplamente automatizado, mas a segurança continua sendo um esforço altamente manual. Desenvolvedores e profissionais de DevOps superam em número os profissionais de segurança em uma proporção de 100 para 1. A pressão do tempo de lançamento no mercado causou atrito entre as equipes de aplicativos e segurança, criando a percepção de que a segurança é um gargalo. Esse é um dilema sério que geralmente resulta em testes ruins, atalhos de processo e supervisão ineficaz.

Ao mesmo tempo, a proliferação de arquiteturas, nuvens e integrações de terceiros aumentou drasticamente a superfície de ameaça para muitas organizações. Vulnerabilidades de aplicativos como cross-site scripting (XSS) e injeção são prevalentes desde o início da segurança de aplicativos, há mais de 20 anos, mas os invasores continuam a descobri-las e explorá-las em um ritmo alarmante. Os invasores rapidamente transformam vulnerabilidades em armas usando estruturas de automação e ferramentas aprimoradas por IA para escanear a Internet, descobrindo e explorando fraquezas para ganho monetário. O software de código aberto, em particular, é repleto de vulnerabilidades, introduzindo riscos desconhecidos e significativos.

O F5 Labs relata que uma vulnerabilidade crítica com potencial para execução remota de código, um dos ataques mais sérios possíveis, é lançada a cada 9 horas. Até 2025, espera-se que 500 novos CVEs sejam publicados em uma semana típica de 2025.

Para gerenciar com eficácia a crescente complexidade de proteger aplicações em arquiteturas, nuvens e estruturas de desenvolvedor, as organizações precisam mudar sua estratégia e sua perspectiva.

O Open Web Application Security Project (OWASP) foi fundado em 2001 para persuadir executivos de negócios e conselhos corporativos sobre a necessidade de um gerenciamento eficaz de vulnerabilidades. Uma abordagem disciplinada, incluindo fornecedores de segurança e feedback da comunidade, resultou no OWASP Top 10 — uma lista das vulnerabilidades de aplicativos mais prevalentes e críticas.

XSS e Injection estão em todas as listas dos 10 principais da OWASP desde seu início, mas uma nova era de segurança de aplicativos é marcada pela crescente ameaça às cadeias de suprimentos de software, pela difusão do software de código aberto e pela complexidade operacional do gerenciamento de segurança e acesso para aplicativos antigos e modernos. Atualizações de software, dados críticos e integridade do pipeline de CI/CD podem ser comprometidos. Embora o software de código aberto acelere significativamente o desenvolvimento, ele também altera o gerenciamento de riscos porque controles comuns em software personalizado desenvolvido internamente, como análise estática de código (SCA), nem sempre são possíveis ou práticos com software de terceiros.

Em 2021, invasores começaram a explorar uma vulnerabilidade crítica em uma biblioteca de software de código aberto amplamente utilizada por milhares de sites e aplicativos quase imediatamente após os detalhes da vulnerabilidade serem publicados. Se não for resolvida, essa vulnerabilidade pode levar à execução remota de código, permitindo que invasores assumam o controle de sites e aplicativos on-line, roubem dinheiro, violem dados e comprometam contas de clientes.

O F5 Labs detalha como o cenário de CVE mudou substancialmente nas últimas duas décadas, com um número crescente e uma variedade cada vez maior de vulnerabilidades. E embora algumas dessas mudanças sejam devidas à evolução da tecnologia, outras são uma manifestação de como os dados são coletados.

A rápida evolução da tecnologia está mudando a maneira como as organizações fazem negócios e as medidas que elas devem tomar para manter seus negócios protegidos e seguros. Hoje, 88% das organizações operam em um modelo híbrido, incluindo SaaS, nuvem pública/IaaS, local (tradicional), local (nuvem privada), colocation, Edge — e essas organizações estão cada vez mais aproveitando a IA para aliviar o ajuste manual e automatizar a construção de políticas de segurança com base nas ameaças detectadas. Embora projetos greenfield possam capitalizar eficiências na nuvem, a maioria dos portfólios empresariais inclui aplicativos antigos e modernos que abrangem uma variedade de arquiteturas em data centers, nuvens e microsserviços.

A explosão de aplicativos e a velocidade de lançamento no mercado também estão gerando mudanças fundamentais na gestão de riscos. Engenheiros de rede podem não estar implantando infraestrutura. As equipes de DevOps podem criar facilmente infraestrutura virtual e efêmera usando arquiteturas emergentes, como contêineres, em uma solução de nuvem pronta para uso, automatizando tudo, desde a criação de código até a implantação de serviços. Essas mudanças em funções, responsabilidades e formas de trabalhar no ciclo de desenvolvimento de aplicativos muitas vezes podem deixar a segurança para trás.

Ao mesmo tempo, os invasores estão ficando mais eficientes em seus métodos, utilizando ferramentas e estruturas disponíveis para aumentar a escala de seus ataques, empregando basicamente os mesmos métodos que os profissionais de segurança utilizam para quantificar e avaliar o risco.

Além disso, as organizações estão cada vez mais adotando diversos provedores de nuvem para continuidade dos negócios. Além disso, as organizações estão cada vez mais enfrentando uma dispersão de ferramentas devido aos esforços para atender a necessidades específicas em vários ambientes de nuvem . Isso geralmente deixa os responsáveis pela segurança confusos sobre o que é protegido ou não, e as nuances podem resultar em uma vulnerabilidade, geralmente uma configuração incorreta de segurança (por exemplo, consulte o modelo de responsabilidade compartilhada da AWS ).

O risco está mudando devido à maneira como os aplicativos são criados e implantados. Portanto, a segurança precisa mudar para ficar à frente das vulnerabilidades dos aplicativos. Visibilidade e consistência são tão importantes como sempre, mas as organizações precisam de uma mudança de paradigma na maneira como a segurança de aplicativos é implementada. Em vez de construir uma política de segurança após o lançamento de um aplicativo, examinar falsos positivos para estabilizar e ajustar a política e, em seguida, monitorar vulnerabilidades recém-lançadas que podem colocar o aplicativo em risco, a segurança do aplicativo precisa ser intrinsecamente integrada ao ciclo de vida de desenvolvimento do aplicativo, independentemente da arquitetura, nuvem ou estrutura — do código, passando pelos testes até a produção.

Os testes de penetração podem revelar riscos críticos antes que o software seja colocado em produção e reduzir drasticamente a curva de tempo de mitigação, fornecendo insights importantes para equipes de segurança que podem então implementar medidas paliativas críticas, como políticas de firewall de aplicativos da web.

A segurança de aplicativos mais eficaz é automatizada, integrada e adaptável. A automação pode reduzir as despesas operacionais (OpEx) e reduzir a pressão sobre recursos críticos de segurança durante o lançamento, a implantação e a manutenção de aplicativos. A implantação automatizada de políticas pode melhorar a eficácia ao implementar e estabilizar controles de segurança mais cedo no ciclo de vida de desenvolvimento de software (SDLC), levando a maior eficácia com menos intervenção manual, liberando a InfoSec de uma enxurrada de alertas e potenciais falsos positivos para se concentrar em esforços mais estratégicos de gerenciamento de riscos. A integração nativa em estruturas de desenvolvimento de aplicativos e pipelines de integração contínua/entrega contínua (CI/CD) reduz o atrito entre as equipes de desenvolvimento e segurança, resultando em maior agilidade empresarial e alinhamento organizacional.

A integração com as ferramentas do desenvolvedor, por meio de implantação e manutenção orientadas por API, simplifica o gerenciamento de políticas e o controle de alterações em várias arquiteturas e nuvens, abstraindo a complexidade da infraestrutura, reduzindo a sobrecarga operacional e prevenindo uma configuração incorreta.

Além disso, as mitigações de segurança devem ser precisas e resilientes para evitar frustrar os clientes ou permitir que os invasores intensifiquem suas campanhas para evitar a detecção. Os consumidores exigem experiências personalizadas e selecionadas, e invasores sofisticados não são facilmente dissuadidos.

Uma segurança eficaz, que não impacte a usabilidade, pode atuar como um diferencial importante na conquista e manutenção de clientes em uma economia digital altamente competitiva.

Hoje em dia, os aplicativos são o negócio, o que torna as ameaças aos aplicativos e a segurança ineficaz os maiores riscos ao potencial dos negócios. Arquiteturas de aplicativos modernas e descentralizadas expandiram a superfície de ameaças, a automação aumentou o risco não intencional e a eficácia do invasor, e as consequências do crime cibernético continuam a crescer, mas as organizações que fornecem consistentemente experiências digitais seguras alcançarão crescimento de clientes e receita.

A solução é clara. Em vez de atrasar o lançamento de um novo código que pode mudar o mundo, mude a segurança para a esquerda para automatizar as proteções em todo o ciclo de vida do aplicativo e mude a perspectiva da segurança para ser um diferencial comercial importante.

Ao mitigar de forma proativa as vulnerabilidades, reduzir a complexidade e proteger os negócios com segurança eficaz e fácil de operar, você pode acelerar a transformação digital e otimizar a experiência dos clientes, reduzindo o risco e criando uma vantagem competitiva digital.