Web Application Security: 3 lições que aprendemos com as corridas de Formula 1™

A segurança de aplicações Web é mais do que uma prática recomendada; é uma parte crítica do seu programa de segurança. Veja como descobrir e testar suas aplicações Web pode ajudar a ganhar vantagem sobre os invasores.

Faz tempo que as aplicações Web desempenham um papel crítico no suporte de iniciativas importantes de negócios e comércio eletrônico. Então, por que tantas organizações têm dificuldades para mantê-las em segurança?

Recentemente, uma ferramenta polêmica chamada PunkSpider (re)afirmou poder rastrear toda a Web, identificar vulnerabilidades que podem ser hackeadas nos sites e publicá-las para que todos possam pesquisar os resultados.

Se o restante do mundo está testando seus sites e suas aplicações Web, você não deveria saber o que eles sabem? Descobrir e testar suas aplicações Web em busca de vulnerabilidades antes de qualquer um ajudará você a minimizar o tempo de inatividade, maximizar o faturamento e obter a vantagem competitiva de que precisa para garantir o sucesso do seu negócio.

O que as corridas de Fórmula 1™ podem nos ensinar sobre a segurança de aplicações Web

Agora, imagine que suas aplicações Web são carros de Fórmula 1™, seus desenvolvedores são os pilotos e sua equipe de segurança é a equipe de box. Os pilotos se preocupam com o desempenho e a velocidade dos carros, enquanto a equipe de box quer ter certeza de que os carros estejam seguros, bem conservados e sem vulnerabilidades. Quando os carros de corrida têm um bom desempenho, a equipe toda tem ganhos financeiros e também aumenta sua base de fãs. E, assim como esses carros, quando o site de comércio eletrônico de uma empresa vai bem, ele gera receita. Mas, se for comprometido ou sofrer uma paralisação, a empresa perderá dinheiro e sua reputação será prejudicada.

Então... o que podemos aprender com a corrida de Fórmula 1?

1: Priorize a visibilidade

A visibilidade é crucial para o sucesso de uma equipe de Fórmula 1. Os pilotos de F1 estão em constante contato via rádio com a equipe de box para ter uma visão clara de toda a corrida, incluindo a condição da pista, as curvas e todos os carros que estão na pista. 

Suas aplicações Web são como carros de Fórmula 1: estão rodando em um ambiente rápido e dinâmico. Infelizmente, é raro que sua equipe de segurança tenha conhecimento de todos os sites e aplicações Web que estão em desenvolvimento em outras partes da organização. Exemplos incluem as aplicações Web de terceiros não autorizadas que os funcionários usam em nome da empresa e as aplicações Web abandonadas e desatualizadas que podem constituir brechas de segurança. Saber quais aplicações Web sua organização tem, sejam internas, de código aberto ou desenvolvidas por terceiros, é um primeiro passo importante para protegê-las.

2: Monte uma equipe de box eficiente

As equipes de Fórmula 1 são conhecidas pelo trabalho em equipe, pela eficiência e pela capacidade de manter os carros funcionando em segurança e com o desempenho ideal. Durante a corrida, a equipe de box precisa ser extremamente eficiente: ela deve reabastecer os carros e trocar os pneus, em média, em menos de três segundos. É algo tão incrível e impressionante, que faz a gente se perguntar por que uma visita à concessionária não pode ser tão eficiente.

Da mesma forma, se pensarmos nos desenvolvedores como os pilotos, sua equipe de segurança é a equipe de box. Os desenvolvedores desejam desempenho e velocidade para as aplicações Web e costumam se preocupar em como o processo de segurança adicional pode prejudicar a agilidade delas. Os profissionais de segurança precisam orientar, habilitar e apoiar os desenvolvedores em suas iniciativas para criar um código seguro. O objetivo de toda a equipe é garantir o desempenho e a velocidade das aplicações Web, mantendo uma boa higiene cibernética e aumentando a postura de segurança.

3: Faça a volta de aquecimento

Antes da corrida real, os pilotos fazem uma volta de aquecimento ou formação para dar uma última olhada na pista, aquecer os pneus e assegurar que os carros estejam totalmente prontos para a corrida.

Os pilotos fazem testes de marcha; os líderes de segurança "fazem testes antecipados". A tradicional prática de segurança de entregar à equipe de DevOps um relatório de vulnerabilidades estáticas não é mais escalonável no dinâmico ambiente de negócios dos dias de hoje. Integrar uma ferramenta de verificação de aplicações Web no início das fases de desenvolvimento, teste e/ou CQ do ciclo de vida de desenvolvimento do software (SDLC) é como fazer uma volta de aquecimento, o que pode ajudar a expor as vulnerabilidades antecipadamente, reduzir o custo da correção desses problemas e limitar os possíveis danos decorrentes de um comprometimento. De acordo com a Gartner, até 2023, mais de 70% das iniciativas de DevSecOps corporativas terão incorporado a verificação automatizada de configurações e vulnerabilidades de segurança para componentes de código aberto e pacotes comerciais, o que representa um aumento significativo dos menos de 30% em 2019*. A automação das verificações de segurança para aplicações sempre foi uma prática recomendada para aumentar a postura de segurança, seja antes da entrada em produção ou quando o código muda.

Preparar, Apontar, Aproveitar!

Agora que você está pronto para a corrida, mantenha suas aplicações Web em segurança e melhore a eficiência removendo os silos entre as equipes de segurança e DevOps e integrando a verificação de segurança no seu SDLC.

*Fonte: Gartner, "12 Things to Get Right for Successful DevSecOps" (em inglês), Neil MacDonald e Dale Gardner, atualizado em 9 de abril de 2021.

GARTNER é uma marca comercial registrada e uma marca de serviços da Gartner, Inc. e/ou suas afiliadas nos EUA e internacionalmente, aqui utilizada com a devida permissão. Todos os direitos reservados.

Saiba mais

• Inscreva-se para o webinar:  Three Ways We Can Improve Web App Security: Lessons From F1™ Racing
• Leia o infográfico: O que as corridas de Fórmula 1 podem nos ensinar sobre a segurança de aplicações Web