Shift-left vs. shift-right: benefícios e diferenças nas abordagens

Introdução ao shift-left vs. shift-right

Aplicações e serviços que lidam com dados confidenciais precisam de práticas de segurança robustas para proteger esses dados, manter a confiança do cliente e garantir a continuidade das operações de serviço. Os desenvolvedores podem escolher a abordagem "shift-left" ou a abordagem "shift-right" ao implementar soluções para atender a esses requisitos. 

"Shift-left vs. shift-right" refere-se à forma como as soluções são integradas no SDLC e nos stacks de tecnologia. A abordagem shift-left concentra-se na incorporação de medidas de segurança desde o início do SDLC — da fase de planejamento à fase de codificação — corrigindo e identificando vulnerabilidades antes da implementação.

A estratégia shift-right concentra-se na implantação de medidas de segurança após a implementação, incluindo monitoramento em tempo real, detecção de ameaças e resposta a incidentes para proteger as aplicações em produção.

Embora a expressão shift-left tenha gerado mais manchetes no setor de tecnologia nos últimos anos, ambas as estratégias têm vantagens. É importante ressaltar que as estratégias shift-left e shift-right não são mutuamente exclusivas. Na verdade, as organizações que as combinam podem alcançar uma segurança abrangente e superar os riscos em todo o SDLC. 

Este artigo explora detalhadamente as abordagens de shift-left e shift-right, comparando os benefícios e as diferenças, e como cada abordagem pode fortalecer a postura geral de segurança.

Entendendo o shift-left: segurança proativa no desenvolvimento inicial

A abordagem shift-left concentra-se na integração da segurança desde o início do SDLC. Uma abordagem shift-left permite que as equipes reduzam o custo e a complexidade dos problemas de segurança, projetando soluções com a segurança em mente e detectando problemas logo no início das fases de planejamento e desenvolvimento de um projeto. 

Técnicas utilizadas na abordagem shift-left

Existem diversas técnicas diferentes utilizadas na abordagem shift-left. As técnicas na abordagem shift-left incluem o seguinte: 

• SAST: utiliza ferramentas de segurança de aplicações para executar varredura do código-fonte em busca de vulnerabilidades sem executar a aplicação. As ferramentas de SAST ajudam a detectar problemas de alto impacto, como XSS (Cross-Site Scripting) e SQLi (SQL Injections, Injeções de SQL). 
• Modelagem de ameaças: avalia aplicações e serviços para identificar ameaças e orientar técnicas de mitigação. A modelagem de ameaças pode ser cara porque exige conhecimento especializado em cibersegurança e conhecimento do domínio do software.
• Práticas de programação segura: envolvem a capacitação de desenvolvedores e a implementação de padrões de codificação que estejam em conformidade com as normas e as práticas recomendadas de cibersegurança. Uma técnica simples e eficaz para implementar práticas de programação segura é incluir os requisitos de cibersegurança nas revisões de código. 

Ferramentas e práticas para detectar falhas de segurança

As equipes de desenvolvimento de software podem automatizar a implementação das técnicas acima nos processos do SDLC com integrações CI/CD. A CI/CD integra ferramentas de análise estática e varredura de código para relatar possíveis problemas e sugerir melhorias no código. 

Ao utilizar essas informações durante o processo de revisão de código, os desenvolvedores têm uma maneira simples de detectar e corrigir problemas de segurança que podem passar despercebidos.

Entendendo o shift-right: resiliência da segurança em produção

A abordagem shift-right para segurança concentra-se em proteger as aplicações após a implementação. Nessa abordagem, capturar eventos de segurança à medida que surgem e rastrear ameaças em evolução em ambientes ativos exige monitoramento contínuo e proteção em tempo real das aplicações. 

Técnicas utilizadas na abordagem shift-right

Diversas técnicas diferentes são utilizadas na abordagem shift-right, incluindo: 

• DAST: realizado em uma aplicação compilada e em execução, e envolve testes de segurança, como injeção de parâmetros, para verificar comportamentos indesejados ou inseguros. O DAST pode ser feito manualmente ou com ferramentas automatizadas que tentam explorar a aplicação.
• Proteção em tempo de execução: exemplos incluem a RASP e ferramentas de segurança de tempo de execução de containers, ambas essenciais para proteger os ambientes de tempo de execução de software. Utilizar fontes confiáveis para imagens do container e executar apenas binários assinados pode reduzir o risco em tempo de execução.
• ASPM: essas plataformas fornecem às organizações uma visão holística de todas as vulnerabilidades identificadas em aplicações e plataformas em nuvem. Ao utilizar o ASPM, as equipes podem avaliar, triar e priorizar com eficácia quais problemas devem ser mitigados primeiro, além de fornecer um inventário de ativos e suas respectivas vulnerabilidades que precisam ser corrigidas. 

Ferramentas e processos pós-implementação

As ferramentas e os processos para identificar, mitigar e responder a ameaças após a implementação podem incluir plataformas de detecção e resposta a incidentes que fornecem fluxos de trabalho completos para que as equipes triem, atribuam e corrijam problemas à medida que forem detectados. 

Ao utilizar a UEBA, as organizações podem aproveitar a detecção de anomalias e identificar ameaças desconhecidas que, de outra forma, passariam despercebidas com as abordagens de varredura tradicionais.

Shift-left vs. shift-right: complementares, não concorrentes

As abordagens shift-left e shift-right não são perspectivas concorrentes, mas sim táticas complementares. Adotar o melhor das duas abordagens permite a detecção rápida e precoce de vulnerabilidades de segurança, garantindo ao mesmo tempo a segurança contínua do software após a implementação, criando um valioso ciclo de feedback. 

Essas abordagens complementares fomentam uma cultura de DevSecOps melhor, pois as equipes podem se concentrar em seus padrões de implementação e aplicação para garantir que as aplicações sejam construídas com foco em segurança desde a sua concepção. Uma abordagem combinada também proporciona às organizações um equilíbrio entre segurança proativa e reativa para cobertura completa do ciclo de vida.

Maximizando a resiliência da segurança com uma abordagem equilibrada

Shift-left e shift-right são abordagens complementares que se concentram em diferentes aspectos do SDLC. A plataforma CrowdStrike Falcon® oferece uma abordagem holística para shift-left e shift-right. Ao adotar a abordagem shift-left, o Falcon Cloud Security oferece monitoramento contínuo de segurança e conformidade para aplicações nativas em nuvem, permitindo identificar e remediar vulnerabilidades durante a fase de desenvolvimento. O ASPM também detecta proativamente configurações incorretas e vulnerabilidades logo no início do ciclo de desenvolvimento. 

Ao adotar a abordagem shift-right, o Falcon OverWatch fornece investigação gerenciada de ameaças por meio de monitoramento contínuo e detecção de ameaças para identificar e responder em tempo real. O Falcon Insight XDR também oferece detecção e resposta de endpoint estendidas, com o suporte de inteligência de ameaças e IA nativa, facilitando a detecção e a remediação rápidas de incidentes de segurança.

Para elevar o nível da sua segurança, explore a plataforma da CrowdStrike com uma avaliação gratuita de 15 dias e experimente o poder das soluções de segurança integradas.