Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog da Tenable

Inscrever-se

Web Application Security: 3 lições que aprendemos com as corridas de Formula 1™

A segurança de aplicações Web é mais do que uma prática recomendada; é uma parte crítica do seu programa de segurança. Veja como descobrir e testar suas aplicações Web pode ajudar a ganhar vantagem sobre os invasores.

Faz tempo que as aplicações Web desempenham um papel crítico no suporte de iniciativas importantes de negócios e comércio eletrônico. Então, por que tantas organizações têm dificuldades para mantê-las em segurança?

Recentemente, uma ferramenta polêmica chamada PunkSpider (re)afirmou poder rastrear toda a Web, identificar vulnerabilidades que podem ser hackeadas nos sites e publicá-las para que todos possam pesquisar os resultados.

Se o restante do mundo está testando seus sites e suas aplicações Web, você não deveria saber o que eles sabem? Descobrir e testar suas aplicações Web em busca de vulnerabilidades antes de qualquer um ajudará você a minimizar o tempo de inatividade, maximizar o faturamento e obter a vantagem competitiva de que precisa para garantir o sucesso do seu negócio.

O que as corridas de Fórmula 1™ podem nos ensinar sobre a segurança de aplicações Web

Agora, imagine que suas aplicações Web são carros de Fórmula 1™, seus desenvolvedores são os pilotos e sua equipe de segurança é a equipe de box. Os pilotos se preocupam com o desempenho e a velocidade dos carros, enquanto a equipe de box quer ter certeza de que os carros estejam seguros, bem conservados e sem vulnerabilidades. Quando os carros de corrida têm um bom desempenho, a equipe toda tem ganhos financeiros e também aumenta sua base de fãs. E, assim como esses carros, quando o site de comércio eletrônico de uma empresa vai bem, ele gera receita. Mas, se for comprometido ou sofrer uma paralisação, a empresa perderá dinheiro e sua reputação será prejudicada.

Então... o que podemos aprender com a corrida de Fórmula 1?

1: Priorize a visibilidade

A visibilidade é crucial para o sucesso de uma equipe de Fórmula 1. Os pilotos de F1 estão em constante contato via rádio com a equipe de box para ter uma visão clara de toda a corrida, incluindo a condição da pista, as curvas e todos os carros que estão na pista. 

Suas aplicações Web são como carros de Fórmula 1: estão rodando em um ambiente rápido e dinâmico. Infelizmente, é raro que sua equipe de segurança tenha conhecimento de todos os sites e aplicações Web que estão em desenvolvimento em outras partes da organização. Exemplos incluem as aplicações Web de terceiros não autorizadas que os funcionários usam em nome da empresa e as aplicações Web abandonadas e desatualizadas que podem constituir brechas de segurança. Saber quais aplicações Web sua organização tem, sejam internas, de código aberto ou desenvolvidas por terceiros, é um primeiro passo importante para protegê-las.

2: Monte uma equipe de box eficiente

As equipes de Fórmula 1 são conhecidas pelo trabalho em equipe, pela eficiência e pela capacidade de manter os carros funcionando em segurança e com o desempenho ideal. Durante a corrida, a equipe de box precisa ser extremamente eficiente: ela deve reabastecer os carros e trocar os pneus, em média, em menos de três segundos. É algo tão incrível e impressionante, que faz a gente se perguntar por que uma visita à concessionária não pode ser tão eficiente.

Da mesma forma, se pensarmos nos desenvolvedores como os pilotos, sua equipe de segurança é a equipe de box. Os desenvolvedores desejam desempenho e velocidade para as aplicações Web e costumam se preocupar em como o processo de segurança adicional pode prejudicar a agilidade delas. Os profissionais de segurança precisam orientar, habilitar e apoiar os desenvolvedores em suas iniciativas para criar um código seguro. O objetivo de toda a equipe é garantir o desempenho e a velocidade das aplicações Web, mantendo uma boa higiene cibernética e aumentando a postura de segurança.

3: Faça a volta de aquecimento

Antes da corrida real, os pilotos fazem uma volta de aquecimento ou formação para dar uma última olhada na pista, aquecer os pneus e assegurar que os carros estejam totalmente prontos para a corrida.

Os pilotos fazem testes de marcha; os líderes de segurança "fazem testes antecipados". A tradicional prática de segurança de entregar à equipe de DevOps um relatório de vulnerabilidades estáticas não é mais escalonável no dinâmico ambiente de negócios dos dias de hoje. Integrar uma ferramenta de verificação de aplicações Web no início das fases de desenvolvimento, teste e/ou CQ do ciclo de vida de desenvolvimento do software (SDLC) é como fazer uma volta de aquecimento, o que pode ajudar a expor as vulnerabilidades antecipadamente, reduzir o custo da correção desses problemas e limitar os possíveis danos decorrentes de um comprometimento. De acordo com a Gartner, até 2023, mais de 70% das iniciativas de DevSecOps corporativas terão incorporado a verificação automatizada de configurações e vulnerabilidades de segurança para componentes de código aberto e pacotes comerciais, o que representa um aumento significativo dos menos de 30% em 2019*. A automação das verificações de segurança para aplicações sempre foi uma prática recomendada para aumentar a postura de segurança, seja antes da entrada em produção ou quando o código muda.

Preparar, Apontar, Aproveitar!

Agora que você está pronto para a corrida, mantenha suas aplicações Web em segurança e melhore a eficiência removendo os silos entre as equipes de segurança e DevOps e integrando a verificação de segurança no seu SDLC.

*Fonte: Gartner, "12 Things to Get Right for Successful DevSecOps" (em inglês), Neil MacDonald e Dale Gardner, atualizado em 9 de abril de 2021.

GARTNER é uma marca comercial registrada e uma marca de serviços da Gartner, Inc. e/ou suas afiliadas nos EUA e internacionalmente, aqui utilizada com a devida permissão. Todos os direitos reservados.

Saiba mais

Artigos relacionados

Você está vulnerável às últimas explorações?

Insira seu e-mail para receber os alertas de cyber exposure mais recentes em sua caixa de entrada.

tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

A avaliação do Tenable.io Vulnerability Management também inclui o Tenable Lumin, o Tenable.io Web Application Scanning e o Tenable.cs Cloud Security.

tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte e treinamento

Tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

A avaliação do Tenable.io Vulnerability Management também inclui o Tenable Lumin, o Tenable.io Web Application Scanning e o Tenable.cs Cloud Security.

Tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste o Tenable.io Web Application Scanning

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

A avaliação do Tenable Web Application Scanning também inclui o Tenable.io Vulnerability Management, o Tenable Lumin e o Tenable.cs Cloud Security.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste o Tenable.io Container Security

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Avalie o Tenable Lumin

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

A avaliação do Tenable Lumin também inclui o Tenable.io Vulnerability Management, o Tenable.io Web Application Scanning e o Tenable.cs Cloud Security.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.

Experimente o Tenable.cs

Aproveite o acesso completo para detectar e corrigir erros de configuração da infraestrutura da nuvem e ver vulnerabilidades no tempo de execução. Inscreva-se para uma avaliação gratuita agora mesmo.

A avaliação do Tenable.cs Cloud Security também inclui o Tenable.io Vulnerability Management, o Tenable Lumin e o Tenable.io Web Application Scanning.

Entre em contato com um representante de vendas para comprar o Tenable.cs

Entre em contato com um representante de vendas para saber mais sobre o Tenable.cs Cloud Security e veja como é fácil integrar suas contas na nuvem e obter visibilidade das configurações incorretas e vulnerabilidades da nuvem em questão de minutos.

Teste o Nessus Expert gratuitamente

GRÁTIS POR 7 DIAS

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Já tem uma licença do Nessus Professional?
Atualize para o Nessus Expert gratuitamente por 7 dias.

Comprar o Nessus Expert

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Selecione sua licença

O preço promocional foi prorrogado até 31 de dezembro.
Compre uma licença para vários anos e economize mais.

Adicionar suporte e treinamento