Na primeira noite do BlackHat USA, conversei com alguns testadores de penetração amigáveis que ficaram perplexos quando contei que period desenvolvedor.
Por que eu estaria em uma conferência sobre segurança cibernética?
…O que eu esperava obter com isso?
Minha resposta geral (e talvez vaga) a eles e a outros que eu encontraria e que ficariam perplexos com minha presença em ambos Chapéu Preto e DefConperiod que eu queria uma educação melhor em segurança cibernética, especialmente em torno do desenvolvimento de IA.
Apesar da minha convicção, admito que me senti um pouco deslocado. Conferências de segurança como BlackHat e DefCon são frequentemente vistas como domínio de testadores de penetração, analistas de segurança e hackers éticos, entre outros. Ambas as conferências de segurança cibernética são respeitadas por direito próprio. E em ambos, conheci engenheiros brilhantes, palestrantes instigantes e pesquisadores de renome mundial.
Nenhuma das pessoas que conheci, entretanto, period desenvolvedora.
Tendo participado de ambos os eventos pela primeira vez, posso falar por experiência própria quando digo que os desenvolvedores têm muito a ganhar participando de uma conferência sobre segurança cibernética. Aqui estão cinco razões convincentes pelas quais os desenvolvedores devem considerar tornar as conferências de segurança cibernética uma parte de seu desenvolvimento profissional:
Conforme mencionado em várias palestras no BlackHat – os desenvolvedores e os profissionais de segurança estão em dois campos diferentes e não se misturam tanto quanto deveriam.
Mas a inovação e a segurança estão totalmente interligadas, independentemente da descrição do cargo ou das divisões organizacionais, e isto começa, sem dúvida, ao nível do código. A adoção do Shift Left colocou mais ênfase na garantia da qualidade e segurança do código no início do ciclo de vida de desenvolvimento de software program; mas um desejo produzir código seguro não é o mesmo que sabendo como.
A formação — ou a consciência da formação — é certamente um contributo. Pouco mais da metade dos desenvolvedores de software program pesquisados pela The Linux Basis e OpenSSF relataram que nunca haviam feito um curso sobre desenvolvimento seguro de software program, em parte porque não tinham conhecimento de um bom curso (embora a falta de tempo fosse um motivo igualmente importante). Esta falta de sensibilização e formação pode ser uma explicação para a razão pela qual 71% das organizações têm dívida de segurançacom 46% destas organizações a serem consideradas como tendo dívidas de segurança “críticas”.
Porque é que uma organização reservaria tempo para resolver a sua dívida de segurança, a menos que compreendesse a sua criticidade?
Ou pior, se eles não sabem que o possuem?
(Isso também foi parte da inspiração para meu podcast Cisco DevNet, A voz do DevSec. O programa visa preencher a lacuna entre os desenvolvedores e a comunidade de segurança cibernética.)
Se você mergulhar em artigos e documentários sobre os principais escândalos de segurança cibernética dos anos 90 e 2000, notará um tema recorrente: as pessoas simplesmente não estavam pensando em segurança cibernética naquela época.
Mas vou ser honesto: me formei com mestrado em Engenharia de Software program em 2021 e, na época, a segurança ainda não period uma reflexão tardia – muito menos enfatizada.
E não estou sozinho nisso. Embora as estatísticas sobre desenvolvedores que se sentem confiantes em escrever código seguro pareçam variar bastante, de acordo com a pesquisa The State of Developer-Pushed Safety Survey (conduzida pela Evans Knowledge Corp para Safe Code Warrior), apenas 35% dos desenvolvedores consideram que suas equipes têm “excelente proficiência” na escrita de código livre de vulnerabilidades.
Ter uma compreensão prática de como escrever código livre de vulnerabilidades pode ajudar a reduzir a dívida de segurança que mencionei acima.
Ao participar de uma conferência sobre segurança cibernética, você não apenas começa a aprender segurança prática de código por meio de palestras sobre DevSec/AppSec, mas também começa a cultivar um fluxo de desenvolvimento voltado para a segurança.
Se as ameaças à cibersegurança estão em constante evolução, o mesmo deve acontecer com as nossas estratégias de mitigação e práticas de segurança. A IA generativa (GenAI) foi um grande tópico de interesse na BlackHat este ano, em parte porque, tão rapidamente quanto a GenAI e as ferramentas relacionadas estão sendo produzidas, mal arranhamos a superfície dos padrões de melhores práticas de segurança ou da descoberta de novos ataques. Os desenvolvedores e outros engenheiros envolvidos na GenAI têm a responsabilidade ética de compreender os riscos de segurança e privacidade da GenAI que estão desenvolvendo e apoiando.
A DefCon tem muito a oferecer, mas um dos destaques para mim como participante pela primeira vez foram definitivamente os Villages. Existem várias “aldeias” de segurança cibernética diferentes, desde segurança de IA até engenharia social e biohacking, nas quais os visitantes podem participar em atividades práticas. Por exemplo, o AI Safety Village permitiu que você criasse seu próprio deepfake, e eu tentei formar uma equipe vermelha LLM por meio de uma experiência no estilo Seize the Flag (CTF).
O que é a melhor prática muitas vezes não é a realidade. Os desenvolvedores podem trabalhar muitas horas e sob imensa pressão e, embora a maioria dos desenvolvedores que conheço se orgulhe de produzir código de alta qualidade, pode haver vários obstáculos para fazer isso.
Ao ter desenvolvedores na mesa (metafórica) de segurança cibernética, podemos ajudar o setor de segurança cibernética a saber o que os desenvolvedores precisam para produzir código seguro de forma consistente. Isso pode significar que melhoramos a representação da faixa de conversação DevSec/AppSec; ou que inspiremos o desenvolvimento de ferramentas e processos de segurança que facilitem nossas vidas em vez de induzindo o esgotamento.
E o mais importante de tudo?
Uma educação prática em segurança cibernética nos capacita a criar aplicativos impactantes com confiança, permanecendo fiéis ao que nos inspirou a nos tornarmos desenvolvedores.
Assine nosso Canal do YouTube para ser notificado sobre episódios do nosso novo podcast, A voz do DevSec. O programa visa preencher a lacuna entre os desenvolvedores e a comunidade de segurança cibernética por meio de conversas descontraídas e esclarecedoras.
Compartilhar: