Quatro perguntas para minimizar o risco cibernético em seus ativos e aplicações Web públicos

Veja a seguir quatro perguntas que podem ajudar a reduzir o risco cibernético em seus ativos e aplicações Web públicos .

A constância de ataques cibernéticos em seus ativos e aplicações Web públicos não diminuirá tão cedo: de acordo com o 2020 Verizon Data Breach Investigation Report (DBIR), 43% das violações de dados envolveram ataques a aplicações Web. Desde novas ferramentas de ataque automatizado a hackers black hat sofisticados e bem financiados, que visam falhas de segurança específicas, agora é mais fácil do que nunca para os agentes mal-intencionados testarem suas defesas. 

Proteger suas aplicações Web depende de você e de sua compreensão dos pontos fracos que um invasor pode encontrar e aproveitar em sua rede. Depois de compreender esse fato, você pode aplicar proativamente patches relevantes, correções de código e/ou controles de compensação para mitigar as ameaças.

Cada uma das perguntas a seguir oferece diferentes ângulos para visualizar o risco de segurança apresentado por seus ativos e aplicações Web públicos.

1. Qual é o risco de ativos voltados ao público para minha organização?

Para começar, vamos analisar como você avaliaria o risco de um ativo público. Em uma situação ideal, você desejaria expor o mínimo de ativos possível para o mundo externo. Você pode usar uma verificação de risco público para validar se a visibilidade pública está o mais restrita possível. Outra vantagem da verificação é que ela também testará os controles de compensação em sua rede para se certificar de que estejam operacionais.

Infelizmente, mesmo as informações mais simples expostas ao mundo exterior, como a versão do seu servidor de protocolo de transferência de arquivos (FTP), podem ser exploradas por técnicas fáceis de “Google hacking”. É importante otimizar um programa de gerenciamento de vulnerabilidades para configurar verificações regulares de ativos voltados para o público para ajudar você a minimizar o risco. Os resultados de uma verificação de risco são melhor utilizados para configurar sua rede e os controles de compensação baseados em host para evitar a exposição de qualquer informação indesejada.

2. Quais vulnerabilidades existem em meus back-ends de rede?

Para entender os pontos fracos de uma rede, recomendamos verificá-la localmente com uma verificação de vulnerabilidades hospedada em seu ambiente ou um agente instalado no host. Um verificador local em seu ambiente usando uma verificação autenticada pode fornecer os resultados mais completos. Para obter esse nível de detalhe, você precisará fornecer credenciais para avaliar o alvo. Se for difícil, use agentes, que não exigem credenciais, pois já estão em execução no próprio host.

Assim que a verificação autenticada for concluída, você terá uma lista completa das vulnerabilidades às quais o ativo é suscetível. A próxima etapa é entender o contexto em torno da ameaça de cada uma dessas vulnerabilidades. Entender as informações atuais de risco do mundo real para cada vulnerabilidade pode ajudar você a priorizar melhor seus esforços de correção com base na probabilidade de uma vulnerabilidade ser usada, permitindo que você utilize seus escassos recursos de segurança com mais eficácia.

É essencial estar ciente dos problemas de configuração e conformidade. Você deseja uma solução de gerenciamento de vulnerabilidades que inclua a possibilidade de auditar a configuração de um destino em relação a uma série de padrões de conformidade e modelos de práticas recomendadas, incluindo os do Center for Internet Security (CIS), o Defense Information Systems Agency Security Technical Implementation Guides (DISA/STIG) e os Padrões da Indústria de Cartões de Pagamento (PCI), bem como os próprios padrões internos de sua organização.

3. Como posso saber se minhas aplicações Web estão protegidas contra ataques?

Uma das maneiras mais rápidas e eficientes de proteger suas aplicações Web de um ataque é implantar um programa automatizado de verificação de aplicações Web. O Dynamic Application Security Testing (DAST), por exemplo, é um teste de penetração automatizado que vai interagir com a aplicação Web de forma segura e avaliar a resposta para mostrar se há pontos fracos na codificação dela. 

Uma ferramenta DAST pode ir além de uma auditoria de configuração e vulnerabilidades no nível da aplicação e do SO para avaliar dinamicamente uma aplicação Web. Isso ajuda a garantir que a aplicação não seja vulnerável a uma ação imprevista ou a falhas lógicas. Também ajuda a validar o ambiente de execução, como injeção de SQL, para encontrar falhas de codificação e configurações incorretas. Também é importante ressaltar que alguns verificadores de aplicações Web legados não conseguem acompanhar as aplicações modernas. Uma ferramenta DAST moderna não só pode fazer a verificação de aplicações Web HTML tradicionais, mas também oferece suporte a aplicações Web dinâmicas criadas usando estruturas HTML5, JavaScript e AJAX, incluindo aplicações de página única.

“Shift Left” (teste antecipado) é uma prática recomendada que integra a segurança da aplicação Web ao ciclo de vida de desenvolvimento de software (SDLC). Fazer testes completos de suas aplicações Web em um ambiente de pré-produção e automatizar a verificação de segurança sempre que o código muda pode ajudar a aumentar a postura geral de segurança da sua organização. Isso ajuda a expor vulnerabilidades em suas aplicações Web mais cedo, reduz o custo de corrigir esses problemas e limita o potencial de danos devido a um comprometimento. 

4. Como faço para verificar a conformidade com PCI?

O PCI Data Security Standard (DSS) inclui um requisito (11.2.2) para uma verificação externa trimestral e um atestado fornecido por um Fornecedor de Verificação Aprovado (ASV). Você deve combinar o resultado da verificação de risco público com uma solução de verificação de aplicação Web de um ASV para fornecer atestado contra ativos e aplicações Web públicos. Usando esses resultados de verificação, você pode passar pelo processo de obtenção da certificação de conformidade em relação ao requisito 11.2.2 para compartilhar com quaisquer partes interessadas. Aproveitar os modelos de PCI pré-configurados e processos de disputa definidos pode ajudar a agilizar esse esforço.

Resumo

Não se esqueça! Não há solução mágica para avaliar seus ativos públicos e aplicações Web para determinar o risco de criminosos cibernéticos. Dito isso, existem práticas recomendadas que podem ajudar você a compreender e minimizar seus riscos. Para saber mais, consulte o ebook Top 5 Web Application Security Practices.

Saiba mais

• Leia o blog: Segurança de aplicações Web:3 lições que aprendemos com as corridas de Formula 1™
• Participe do webinar: Three Ways You Can Improve Web App Security