💻Um pequeno papo sobre segurança de aplicações

Uma pequena discussão sobre a importância de segurança de aplicação e o caminho para implementa-la.

Passamos por diversas transformações na forma como desenvolvemos nossas aplicações. Essas mudanças têm gradualmente alterado nosso paradigma sobre o que é essencial na construção de um software, o que nos levou a reconhecer a necessidade de incorporar a segurança nessa discussão.

No entanto, ao refletir sobre isso, surge a pergunta: qual seria a estratégia mais eficaz para integrar a segurança ao nosso ciclo de desenvolvimento? Muitas empresas optam por adotar uma abordagem defensiva com seu time Blue Team¹, implementando uma série de ferramentas de monitoramento na esperança de que sejam suficientes para evitar que invasores comprometam suas informações. Por outro lado, há aquelas que recorrem a equipes de segurança ofensiva, como o Red Team², para realizar testes abrangentes em suas aplicações e validar os controles estabelecidos pelo Blue Team. Mas será que essa é realmente a melhor estratégia?

Essas validações desempenham um papel crucial no ciclo de desenvolvimento. No entanto, como ilustrado abaixo, o Blue Team geralmente tem suas funções restritas às etapas finais, enquanto o Red Team atua principalmente como validador para a implantação das aplicações³.

Sendo essa uma pequena parte. Como podemos extender a segurança como um todo dentro do processo de segurança?

A resposta para essa pergunta não é simples, mas felizmente existem ferramentas que podem nos auxiliar nesse processo. Uma delas é o OWASP SAMM, desenvolvido e mantido pela OWASP como um de seus projetos. Neste contexto, pretendo utilizar esse framework nos próximos artigos, demonstrando como podemos usá-lo como um guia para consolidar os processos de segurança em todo o ciclo de desenvolvimento.

¹ O termo “Blue Team” é frequentemente utilizado como um termo genérico e pode abranger diferentes equipes de segurança, como a equipe de segurança de infraestrutura, de nuvem, de resposta a incidentes, entre outras.

² Por sua vez, o “Red Team” geralmente se refere à equipe responsável por testar os produtos por meio de testes de penetração, mas seu escopo de atuação não se limita apenas a isso. Eles também realizam uma variedade de atividades, como validar proteções implementadas por outras equipes, conduzir campanhas de phishing e outras atividades relacionadas à segurança ofensiva.

³ É importante ressaltar que o ciclo de implementação e as funções das equipes podem variar dependendo da estrutura organizacional da corporação.