Pesquisa de Segurança do SAP: 20 anos de inovação em segurança e privacidade

Em outubro de 2021, a SAP Security Research comemora seu 20º aniversário. O que começou com três pesquisadores e um estudante trabalhando em inovações em segurança móvel amadureceu para se tornar um grupo de pesquisa composto por 35 pesquisadores e estudantes de doutorado, bem como muitos estudantes internos e de tese. O crescimento do grupo foi impulsionado pela segurança e privacidade escalando cada vez mais alto na lista de prioridades da SAP e seus clientes, devido às mudanças nos paradigmas tecnológicos e sociais.

Impulsionada pela transformação digital das empresas e sua demanda por recursos computacionais flexíveis, a nuvem se tornou o modelo de implementação predominante para serviços e aplicativos empresariais, introduzindo relações complexas entre as partes interessadas e superfícies de ataque estendidas. As tecnologias web dominam o consumo de serviços, exigindo a mitigação de suas vulnerabilidades específicas. O desenvolvimento de software se tornou uma tarefa distribuída de um grande ecossistema com seus vetores de ataque específicos. A hiperconectividade facilita a coleta de grandes volumes de dados, que por sua vez alimentam a Empresa Inteligente baseada em IA, mas são altamente sensíveis ao mesmo tempo. A onipresença das novas e inteligentes tecnologias oferece oportunidades sem precedentes, mas também traz consigo novos ou reforçados riscos. A sociedade e os formuladores de políticas estão reagindo a esses riscos introduzindo regulamentações de segurança e privacidade e priorizando o debate sobre o uso responsável da tecnologia.

Inventar o futuro da segurança significa identificar e compreender os novos riscos e continuar inovando continuamente para mitigá-los. O cerne da missão da SAP Research é antecipar tanto os desenvolvimentos evolutivos quanto os disruptivos em tecnologia e negócios, avaliar seu impacto na segurança e privacidade, e projetar e prototipar novas soluções de segurança e privacidade que desbloqueiem novas oportunidades comerciais. Com base em sólidos fundamentos científicos, nosso objetivo é avançar o estado da arte em benefício da SAP e seus clientes.

Olhando para trás: como a segurança móvel evoluiu para a segurança IoT e de borda

A história do que começou como pesquisa em segurança móvel na SAP reflete os fatores de influência ao longo do tempo. No início e meados dos anos 2000, a mobilidade significava principalmente conectividade, com requisitos de segurança focados em autenticação e confidencialidade e integridade na transmissão de dados. Esse foco não mudou muito com a integração de sensores de comunicação em cenários de aplicação, mas introduziu desafios de escala ("bilhões de dispositivos") e exigiu lidar com suas capacidades computacionais e de armazenamento limitadas, o que demandava o design de protocolos de segurança específicos e leves. A integração de sensores ofereceu novas oportunidades para cenários de aplicação, como em cadeias de suprimentos distribuídas. Equipar produtos ou armazéns com sensores permitia monitorar bens e otimizar cadeias de suprimentos compartilhando dados. Era necessário projetar novos protocolos de segurança para atender aos novos requisitos de integridade na cadeia de suprimentos distribuída e controle de acesso aos dados do sensor.

Nesse momento, a Internet das Coisas se tornou um negócio, e os protótipos avançados da SAP Security Research para segurança de ponta a ponta da IoT (ou seja, desde o dispositivo até o backend na nuvem) puderam ser integrados na plataforma de IoT e nos aplicativos de IoT. Isso foi demonstrado, por exemplo, em um aplicativo de manutenção preditiva para o sistema de distribuição de água da Cidade de Antibes.

Mas isso não é o fim da história: as capacidades aprimoradas de sensores e gateways agora permitem mover a lógica empresarial para a borda, eliminando o gargalo do backend para desempenho. Mas quando, por exemplo, câmeras distribuídas realizam pré-processamento assistido por IA de fluxos de vídeo e são fornecidas por diferentes fornecedores e operadores, investigamos soluções para proteger os modelos de aprendizado de máquina implantados na câmera, bem como para desidentificar os dados sensíveis capturados nos fluxos de vídeo.

Pesquisa e inovação contínuas

Em segurança IoT e móvel, vimos como os desafios de pesquisa em segurança e privacidade evoluíram de assegurar a transmissão de dados para proteger os modelos de aprendizado de máquina. De fato, a história da segurança móvel é um exemplo típico de pesquisa aplicada bem-sucedida. Quando começamos a pesquisa, o IoT era uma visão distante no futuro. Antecipar seu potencial disruptivo e impacto nos negócios e pesquisar em uma fase inicial permitiu ter resultados de pesquisa prontos para a inovação quando o momento certo chegasse, ou seja, quando o negócio reconhecesse o IoT como um jogo e precisasse de inovações em segurança para atender às necessidades dos clientes. Não parar por aí, mas continuar a pesquisa aplicada visando resolver os próximos desafios no campo é fundamental para facilitar a inovação contínua e manter a liderança intelectual.

Outras de nossas áreas de foco em pesquisa mostram características semelhantes: por exemplo, no análise de segurança de software de código aberto, passamos da avaliação de vulnerabilidades conhecidas para a proteção contra novas ameaças usando software de código aberto e mecanismos de distribuição para lançar novos tipos de ataques. Em Segurança Web