Skip to main content

Conheça a engenharia de segurança de aplicativos móveis

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Descrever as distinções entre desenvolvimento de aplicativos e segurança de aplicativos.
  • Identificar os desafios de segurança que os desenvolvedores de aplicativos enfrentam.
  • Listar as principais habilidades relevantes para os engenheiros de segurança de aplicativos móveis.

Desenvolvimento de aplicativos X Segurança de aplicativos

Nem todos os desenvolvedores de aplicativos móveis (app) são engenheiros de segurança de aplicativos móveis (appsec) e vice-versa. Embora cada um possa ter trabalhado na função do outro, as expectativas das funções são diferentes. As responsabilidades típicas de um desenvolvedor de aplicativos incluem codificação, design, gerenciamento, solução de problemas, monitoramento de atualizações, possíveis ameaças à segurança e prestação de suporte ao usuário final nos aplicativos.

Como engenheiro de segurança de aplicativos móveis, você define controles de segurança e requisitos de design durante a fase de criação e desenvolvimento de software do ciclo de vida de desenvolvimento de software (SDLC). Você também ajuda a executar modelagem de ameaças e avaliação de risco de aplicativos. Você testa aplicativos móveis usando uma variedade de ferramentas para garantir que os problemas de segurança serão resolvidos antes que os aplicativos sejam tornados públicos. Você também monitora aplicativos móveis após o lançamento para identificar e resolver eventuais vulnerabilidades de segurança novas ou não detectadas anteriormente. 

O dilema da segurança de aplicativos

O processo de desenvolvimento é frequentemente focado em levar um aplicativo ao mercado rapidamente e criar novos recursos, não necessariamente de segurança. Além disso, as organizações podem ter um orçamento limitado dedicado para a proteção de seus aplicativos móveis. Além disso, muitas organizações não verificam ou testam o código em seus aplicativos móveis em relação a vulnerabilidades de segurança, uso não intencional ou funcionalidades ocultas. 

Outro desafio é que os desenvolvedores podem desconhecer a plataforma subjacente com a qual estão trabalhando. Para proteger adequadamente um aplicativo móvel, os desenvolvedores de aplicativos móveis precisam estar cientes de todos os mecanismos subjacentes que fornecem recursos de aplicativos móveis e suas limitações. 

Outro obstáculo para proteger aplicativos móveis é que os aplicativos podem ser excessivamente genéricos nas permissões que pedem e os usuários podem não pensar em questionar isso. Por exemplo, um aplicativo meteorológico no seu telefone realmente precisa de acesso à sua câmera ou microfone? Com que propósito? A permissão excessiva em um aplicativo cria uma superfície de ataque expandida. Quanto mais informações um aplicativo coleta que não são relevantes para seu propósito, mais provável é que um usuário esteja compartilhando dados potencialmente confidenciais desnecessariamente.

Além disso, depois de lançar um aplicativo móvel em produção, o trabalho não está concluído. Novas vulnerabilidades surgem diariamente, e mesmo as bibliotecas de software mais conceituadas exigem atualizações de segurança. Você deve ficar atento e se comunicar com seus usuários a fim de identificar e resolver rapidamente novos problemas de segurança. A boa notícia é que hoje, o conhecimento de segurança de aplicativos é uma habilidade que pode distinguir os desenvolvedores no mercado de trabalho.

Habilidades-chave da segurança de aplicativos móveis

A indústria de desenvolvimento e segurança de aplicativos móveis continua a crescer à medida que os dispositivos móveis se tornam o centro das comunicações e do trabalho. A maior importância da resiliência cibernética em dispositivos móveis e aplicativos aumentou a demanda por engenheiros de segurança de aplicativos móveis experientes. 

O desenvolvimento de aplicativos móveis seguros envolve a aplicação de um conjunto de atividades em todo o ciclo de vida de desenvolvimento de software (SDLC). Ele requer colaboração na conceitualização do aplicativo em termos de segurança por design, pensamento inovador para antecipar ameaças e muito mais. Se você é alguém com conhecimento técnico que deseja ter um futuro próspero na indústria de tecnologia, refinar suas habilidades de segurança de aplicativos móveis pode ser sua melhor opção.

Se você gosta de automatizar tarefas usando software, gosta de identificar bugs e falhas de segurança e está interessado em realizar revisões de código, provavelmente se destacará nesta função. Os engenheiros de segurança de aplicativos móveis ajudam os desenvolvedores de aplicativos móveis a projetar aplicativos móveis seguros do zero enquanto realizam avaliações de segurança e revisões de códigos. Eles também implementam ferramentas e técnicas de segurança para proteger aplicativos móveis implantados. Embora não existam qualificações mínimas específicas para começar sua carreira em segurança de aplicativos móveis, é uma vantagem ter uma formação técnica. 

Um engenheiro de segurança de aplicativos móveis com diferentes ícones ao seu redor simbolizando as habilidades necessárias para se destacar nessa carreira

Educação

Um diploma em ciência da computação ou algum tipo de formação técnica é valioso nessa carreira.

Experiência

Ter experiência geral em programação e em desenvolvimento de software ou web é útil. Você deve ser altamente proficiente em engenharia de aplicativos Android e iOS personalizados que incorporam requisitos essenciais e personalizados de negócios. Você deve entender normas e diretrizes regulatórias para que seus aplicativos personalizados possam ser publicados e distribuídos nas lojas de aplicativos de empresas de tecnologia.

Certificações

Buscar uma certificação é uma ótima ideia para esse campo. Certificações que abordam o ciclo de vida seguro do software, a programação segura de software, a defesa de aplicativos web e muito mais permitem que você se especialize e dê o primeiro passo para entrar em uma empresa. Aqui estão algumas certificações comuns para engenheiros de segurança de aplicativos móveis. 

Certificação

Descrição

Profissional de ciclo de vida de software seguro certificado (CSSLP)

Comprova que os profissionais de software têm conhecimento para incorporar práticas de segurança em cada fase do ciclo de vida de desenvolvimento de software (SDLC)

Programador de software seguro GIAC (GSSP-.NET)

Valida os conhecimentos e as habilidades de um praticante para programar códigos seguros e reconhecer deficiências de segurança nos códigos existentes

Defensor de aplicativo web GIAC (GWEB)

Demonstra o domínio do conhecimento de segurança necessário para lidar com erros comuns de aplicativos web que causam a maioria dos problemas de segurança

Analista de segurança de dispositivos móveis GIAC (GMOB)

Prepara você para avaliar eficazmente a segurança de dispositivos móveis, avaliar e identificar falhas em aplicativos móveis e realizar um teste de penetração em dispositivos móveis (pentest)

Profissional de software seguro (SSP)

Fornece as habilidades necessárias para programar códigos de software mais seguros, reduzir vulnerabilidades e melhorar a postura geral de segurança dos produtos de software de uma organização

Conhecimento

Trabalhar como engenheiro de segurança de aplicativos móveis envolve vários conjuntos de habilidades. Você deve ter habilidades de desenvolvimento nas plataformas Android ou iOS e exposição a conceitos estáticos e dinâmicos de análise de segurança de aplicativos móveis. Também é uma boa ideia estar ciente da análise de protocolo e rede. 

Além disso, você deve ter experiência em métodos de autenticação e criptografia, incluindo OAuth e infraestrutura de chaves públicas (PKI). Você também deve ter conhecimento das 10 principais vulnerabilidades do Open Web Application Security Project (OWASP) relativamente a dispositivos móveis e modelagem de ameaças. Habilidades de linguagem de programação, proficiência em computadores, computação de back-end, design de interface de usuário (UI), desenvolvimento de aplicativos móveis multiplataforma e gerenciamento de produtos também são tópicos importantes para se familiarizar. Além disso, você deve gostar de buscar novos conhecimentos de programação, ter experiência com metodologias ágeis e possuir habilidades analíticas.

Nota

O back-end refere-se a partes de um aplicativo de computador necessário para a operação e que não podem ser acessadas por um usuário. Exemplos de processos de back-end incluem: processar uma solicitação recebida, executar código para gerar HTML (HyperText Markup Language) no servidor e acessar dados de um banco de dados usando uma linguagem de consulta. 

Habilidades comerciais

Grande parte do sucesso como engenheiro de segurança de aplicativos móveis envolve o uso de habilidades de negócios para ajudá-lo a entender a visão do cliente e a melhor maneira de fornecer a funcionalidade que o cliente deseja, de forma segura. Além das habilidades de gerenciamento de produtos, design, escrita e comunicação, ter atenção aos detalhes é crucial para esse papel.

Verificação de conhecimento

Pronto para analisar o que aprendeu? A verificação de conhecimento abaixo não é pontuada, é apenas uma maneira fácil de avaliar o que você absorveu. Para começar, arraste a descrição na coluna à esquerda até o termo correspondente à direita. Ao concluir a correspondência de todos os itens, clique em Enviar para verificar seu trabalho. Se quiser recomeçar, clique em Reiniciar.

Ótimo trabalho!

Resumo

Neste módulo, você foi apresentado ao panorama da segurança de aplicativos móveis. Você aprendeu mais sobre a relevância da segurança de aplicativos móveis. Você também descobriu as responsabilidades, habilidades e qualificações de um engenheiro de segurança de aplicativos móveis. No próximo módulo, Implementação de segurança de aplicativos móveis, você aprenderá a implementar a segurança de aplicativos móveis e testar aplicativos móveis. Interessado em aprender mais sobre funções de cibersegurança e ouvir profissionais de segurança? Confira o Hub de aprendizagem de cibersegurança no Trailhead.

Recursos

Continue a aprender de graça!
Inscreva-se em uma conta para continuar.
Inscrever-se Login
O que você ganha com isso?
  • Receba recomendações personalizadas para suas metas de carreira
  • Pratique suas habilidades com desafios práticos e testes
  • Monitore e compartilhe seu progresso com os empregadores
  • Conecte-se a orientação e oportunidades de carreira
Pular por enquanto