Entenda como a SDL deixa o Windows mais seguro

Quando a Microsoft anunciou a Trustworthy Computing Initiative (Iniciativa de computação confiável) há mais de uma década, parecia ser apenas um esforço de publicidade. Ainda assim a empresa conseguiu criar um programa de segurança com o objetivo de travar seu software. Um componente essencial dessa ação é o Secure Development Licecycle (SDL), uma abordagem interativa para programação que ajuda a identificar e resolver falhas de segurança. Por mais de uma década, o SDL gerou resultados expressivos – diminuindo, por exemplo, o número de vulnerabilidades críticas em 2011, o que configurou o nível mais baixo em cinco anos.

Steven Lipner, diretor do programa de gerenciamento do Trustworthy Computing da Microsoft, afirmava que a segurança em computação poderia ser resolvida e comprovada. Após uma década com a empresa, Lipner é o primeiro a admitir sua antiga ingenuidade. A Dark Reading conversou com ele antes da RSA Conference sobre o sucesso da SDL e seus custos.

DR: De que maneira o SDL valeu à pena para a Microsoft e seu código base? Que tipos de métricas são usadas para mensurar os sucessos e as falhas?

Lipner: Quanto às medidas, observamos duas coisas. Uma delas é a confiança do cliente – as pessoas acreditam que realmente acertamos no desenvolvimento de um software seguro? Nessa área, quando comparada com a perspectiva de segurança há uma década, nossa posição é muito melhor, então nossa iniciativa é um sucesso.

Internamente, observamos números, observamos métricas. Observamos quantas vulnerabilidades e quantas questões temos que corrigir. E isso inclui gravidade – qual o tamanho do impacto das vulnerabilidades em nossos clientes? Analisamos também o nível do índice de exploração. Criamos índices de explorações por mais de 18 meses, e observamos se há vulnerabilidades e se elas são descobertas, quão difíceis são de ser exploradas e qual o mal que causa aos clientes.

DR: Brad Arkin, da Adobe, afirmou que aumentar os custos para invasores explorarem seu software é a primeira medida da empresa. Isso também é importante para a Microsoft?

Lipner: não é um foco exclusivo, mas é algo que observamos. Por exemplo, também observamos o índice e exploração recente e percebemos que no Windows 7 os direitos são bem menores do que nas versões antigas do software.

Se baixarmos as gravidades, a exploração ou o número de vulnerabilidades, podemos ter sucesso. Não estamos nos negando a baixar o número de  vulnerabilidades, mas essas outras coisas também são medidas de sucesso.

DR: Qual o custo de implementação do SDL? Poder ser considerado como retorno de investimento ou o retorno é na realização de negócios?

Lipner: Trabalhei com empresas de defesa quando era iniciante na indústria e eles mediam o que faziam a cada 15 minutos ou meia hora, então era possível saber os custos precisamente. No ambiente comercial, sabemos quando alguém trabalha em uma rede Windows, mas não medimos tão precisamente as horas, então conseguir os custos não é tão fácil.

Isso dito, o que sabemos sobre o SDL é que ele é acessível. O temos por quase oito aos, e ainda é usado. Isso prova que é possível fazer um software comercial e que o custo não é inacessível.

Quanto ao retorno, conversamos sobre as métricas baixando o número de vulnerabilidades – isso é sem dúvidas um benefício. Há estudos que mostram que consertar uma falha no desenvolvimento é muito mais barato do que consertá-la com o produto lançado.

DR: Qual o caminho da SDL a partir de agora?

Lipner: Realizamos uma atualização por ano… geralmente em 1º de outubro. Internamente, trabalhamos na versão 6. Usamos ferramentas melhores e mais seguras e uma aplicação mais fácil para os grupos de produtos, tirando vantagens das lições aprendidas e tornando o software mais seguro.

Quando comecei no negócio, pensei que construiríamos um sistema seguro e que provaríamos isso matematicamente. Atingimos essa meta. Mas segurança não funciona assim, então continuamos a refinar o processo para torná-lo mais efetivo e fácil de usar. Usamos o que aprendemos e disponibilizamos esse conhecimento para nossos clientes e parceiros.

Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini

Saiba mais:

Microsoft corrige 21 bugs e endereça vulnerabilidades críticas

Microsoft detalha medida paliativa para o Duqu, sucessor do Stuxnet

Microsoft é desafiada por pesquisadores de segurança