O desenvolvimento de software e os pipelines DevSecOps são alvos populares para hackers. Eles podem ser melhor protegidos usando a estrutura NIST.
“A forma como o software é desenvolvido está em constante mudança, com novos métodos aumentando a eficiência do processo de desenvolvimento. A arquitetura de software também está evoluindo para que grande parte do software possa ser construída a partir de componentes padrão reutilizáveis”, disse Tom Molden, CIO Global Executive Engagement da Tanium.
Adapte sistemas de controle para software
“Pense nisso como construir uma casa pré-fabricada, onde as peças padrão podem ser construídas em uma fábrica com muito maior eficiência e qualidade, enquanto as peças verdadeiramente valiosas e personalizadas da casa são deixadas para o construtor ou artesão local. À medida que o mundo do desenvolvimento de software muda rapidamente, as oportunidades para riscos de segurança multiplicam-se, o que significa que os sistemas de controlo concebidos para ajudar as empresas a proteger o software que desenvolvem e implementam também devem adaptar-se.
A Integração Constante e a Implantação Constante (os novos processos introduzidos no desenvolvimento nativo da nuvem) levam o progresso a um nível onde os humanos não conseguem mais acompanhar. Mesmo o melhor engenheiro de segurança de aplicativos não conseguia acompanhar algo que muda constantemente.
NIST – proteção igual para todos os envolvidos
Por mais extensas que sejam, as estruturas do NIST são úteis porque adotam uma abordagem muito abrangente aos controles de segurança - refletem minuciosamente as coisas e apresentam muitas informações detalhadas. Outra maneira de ver isso é que eles fizeram o trabalho para você - um cavalo de presente, por assim dizer. Um quadro de referência como o NIST, tão amplamente utilizado em todo o mundo, significa que todos os intervenientes envolvidos na protecção do ambiente leem a mesma partitura.
Todos os tipos de controles de segurança normalmente envolvem algum nível de componente manual. Em algum momento, um analista ou operador cibernético precisa analisar algo e fazer um julgamento. A implicação do CI/CD é um nível mais alto de automação no processo de desenvolvimento de software, e o desafio geralmente é como cobrir as etapas da automação que normalmente são executadas por um ser humano.
Várias estruturas NIST
Provavelmente será muito difícil continuar apoiando o desenvolvimento de software legado e nativo da nuvem no futuro. A evolução da nuvem forçou a padronização e possibilitou eficiências normalmente não encontradas no mundo do desenvolvimento legado. O desenvolvimento de software legado ocorre em tantos ambientes diferentes e de tantas maneiras diferentes que é difícil imaginar uma reformulação. Se eu tivesse um euro sobrando, investiria em um desenvolvimento mais rápido em direção à nuvem e ao devsecops, em vez de tentar consertar algo retroativamente.
Existem muitos tipos diferentes de estruturas NIST e é útil compreender como elas funcionam juntas. Acredito que seria útil uma apresentação em nível de liderança das principais conclusões do ambiente de controle do NIST – para mostrar como esta nova estrutura se relaciona com outras.”
Mais em Tanium.com
Sobre o Tanium A Tanium, única provedora de gerenciamento de endpoint convergente (XEM) do setor, está liderando a mudança de paradigma nas abordagens tradicionais para gerenciar ambientes complexos de segurança e tecnologia. Apenas a Tanium protege cada equipe, endpoint e fluxo de trabalho contra ameaças cibernéticas, integrando TI, conformidade, segurança e risco em uma única plataforma. A plataforma Tanium fornece visibilidade abrangente em todos os dispositivos, um conjunto unificado de controles e uma taxonomia comum.
Artigos relacionados ao tema