Quando se trata de segurança de pilha corporativa, os aplicativos de software são o elo mais fraco. No O estado da segurança de aplicativos, 2020, A Forrester afirma que a maioria dos ataques externos ocorre pela exploração de uma vulnerabilidade de software (42%) ou por meio de um aplicativo da web (35%).
Os desenvolvedores estão sob pressão para lançar recursos o mais rápido possível, pois os aplicativos se tornam mais complexos e os cronogramas de desenvolvimento diminuem. Para obter funcionalidade de aplicativo diferenciada e atraente, os desenvolvedores contam cada vez mais com bibliotecas de terceiros.
Essa mudança para componentes de código aberto torna segurança práticas mais complexas para as empresas. Novas estruturas, como contêineres e APIs, complicam ainda mais a segurança do aplicativo.
Com os desenvolvedores sendo pressionados a lançar novos recursos constantemente, as organizações enfrentam um risco real de falha de segurança para acompanhar o ritmo. A segurança pode ser alcançada incorporando as melhores práticas de segurança de aplicativos ao ciclo de vida de desenvolvimento de software e implementando-as.
Por que o teste de segurança da Web é importante?
Testar aplicativos da Web e suas configurações para vulnerabilidades de segurança é o objetivo dos testes de segurança da Web. Os ataques à camada de aplicativo (ou seja, visando aplicativos baseados em HTTP) são os alvos principais.
É comum enviar diferentes tipos de entrada a um aplicativo da Web para provocar erros e fazer com que ele se comporte de maneira inesperada. Nestes chamados “testes negativos”, o sistema é inspecionado quanto a um comportamento não pretendido.
Também é importante notar que Teste de segurança da web não se trata simplesmente de testar os recursos de segurança que são implementados no aplicativo (por exemplo, autenticação e autorização).
Também é necessário testar se outros recursos (por exemplo, lógica de negócios e validação de entrada e saída) são implementados de maneira segura. O acesso seguro às funções do aplicativo da Web é o objetivo.
Quais são os diferentes tipos de testes de segurança?
- Teste de segurança de aplicativo dinâmico (DAST). Para conformidade com as avaliações de segurança regulamentares, este teste automatizado de segurança de aplicativos é ideal para aplicativos internos de baixo risco. Uma combinação de teste manual de segurança da web e DAST é a melhor abordagem para aplicativos de risco médio e aplicativos críticos que estão passando por pequenas alterações.
- Teste de segurança de aplicativo estático (SAST). Esta abordagem para testes de segurança de aplicativos tanto manual quanto automaticamente. Um aplicativo pode ser testado dessa forma sem a necessidade de executá-lo em um ambiente de produção. Além disso, permite que os desenvolvedores detectem e eliminem sistematicamente as vulnerabilidades de segurança do software por meio da varredura do código-fonte.
- Teste de penetração. Especialmente para aplicativos que estão passando por grandes mudanças, este teste de segurança de aplicativo manual é ideal. As avaliações incluem lógica de negócios e testes baseados no adversário para identificar cenários avançados de ataque.
- Proteção em Tempo de Execução da Aplicação (RASP). Uma série de técnicas tecnológicas são usadas nesta abordagem em evolução para a segurança de aplicativos para instrumentar um aplicativo de forma que os ataques possam ser monitorados conforme são executados e, idealmente, bloqueados em tempo real.
Como os testes de segurança de aplicativos reduzem os riscos da sua organização?
Maioria dos ataques a aplicativos da Web
- A técnica de injeção de SQL
- Script entre sites (XSS)
- Execução de comandos remotamente
- Traversal de caminho
Resultados de Ataque
- Conteúdo restrito
- Contas que foram comprometidas
- Instalação de software malicioso
- Receita perdida
- Os clientes perdem a confiança
- Danos à reputação
- Bem como muito mais
O ambiente da Web de hoje está sujeito a uma ampla variedade de problemas. Além de saber como um aplicativo pode ser explorado, conhecer os resultados potenciais do ataque ajudará sua empresa a abordar preventivamente as vulnerabilidades e testá-las com precisão.
Os controles de atenuação podem ser aplicados durante os estágios iniciais do SDLC após a identificação da causa raiz das vulnerabilidades. Além disso, um teste de segurança de aplicativo da Web pode tirar proveito do conhecimento de como esses ataques funcionam para visar pontos de interesse conhecidos.
Para gerenciar o risco da sua empresa, você deve entender o impacto de um ataque, pois ele pode ser usado para medir a gravidade total da vulnerabilidade.
Como resultado de um teste de segurança, determinar a gravidade dos problemas detectados pode ajudá-lo a priorizar os esforços de correção com eficiência e eficácia. Minimize o risco da sua empresa começando com questões de gravidade crítica e passando para questões de menor impacto.
Uma avaliação de impacto potencial de cada aplicativo na biblioteca de aplicativos de sua empresa antes de identificar um problema pode ajudar a priorizar os testes de segurança do aplicativo.
Quando o teste de segurança da web tem uma lista estabelecida de aplicativos de alto perfil, podemos agendar o teste para direcionar os aplicativos críticos da sua empresa primeiro, para que o risco contra o seu negócio possa ser reduzido.
Quais recursos devem ser revisados durante um teste de segurança de aplicativos da Web?
Vários recursos devem ser examinados durante o teste de segurança de aplicativos da Web, mas a lista não é exaustiva. Sua organização pode estar exposta a sérios riscos devido à implementação inadequada de cada um deles.
- Configuração de aplicativo e servidor- Os defeitos podem estar relacionados à configuração de criptografia, configurações do servidor da Web, etc.
- Validação de entrada e tratamento de erros- As vulnerabilidades de injeção mais comuns, incluindo injeção de SQL e script de site cruzado (XSS), são o resultado de entrada e manipulação de saída inadequadas.
- Autenticação e gerenciamento de sessão- Vulnerabilidades podem levar à falsificação de identidade de usuários. Uma política de credenciais forte também é essencial.
- Autorização- Verificando a capacidade do aplicativo de evitar o aumento de privilégios vertical e horizontal.
- Logíca de negócios- Esse tipo de lógica é essencial para a maioria dos aplicativos de negócios.
- Lógica do lado do cliente- Esse tipo de recurso está se tornando mais comum em sites modernos com muitos JavaScript, bem como em sites que usam outras tecnologias do lado do cliente (por exemplo, Silverlight, Flash, miniaplicativos Java).
As 10 melhores práticas para segurança de aplicativos da Web
A seguir estão as dez melhores práticas de segurança de aplicativos que sua organização já deve estar implementando.
Nº 1 Rastreie seus ativos
Se você não sabe o que tem, não pode protegê-lo.
Para quais funções ou aplicativos você usa servidores específicos? Em quais aplicativos da web você usa componentes de código aberto?
Você acha que não é importante rastrear seus ativos? É muito importante lembrar qual software está sendo executado em cada aplicativo - basta perguntar à Equifax, que foi multada em US $ 700 milhões por não proteger os dados de mais de 145 milhões de clientes.
Um dos portais da web do cliente da agência de classificação de crédito foi comprometido depois que um componente de código aberto, o Apache Struts, não foi corrigido. A empresa diz que não sabia que o portal do cliente usava o componente de código aberto vulnerável.
Quanto mais cedo você começar a rastrear seus ativos, menos dores de cabeça e desastres você terá mais tarde. À medida que as organizações dimensionam seu desenvolvimento, esse processo pode parecer uma tarefa de Sísifo.
Você também deve classificar seus ativos, observando aqueles que são essenciais para as funções do seu negócio e aqueles que são de menor importância. Então, você pode avaliar as ameaças e remediá-las mais tarde.
# 2 Realize uma avaliação de ameaça
Se você fizer uma lista do que precisa proteger, poderá identificar as ameaças que enfrenta e como elas podem ser atenuadas.
Como os hackers conseguiriam invadir seu aplicativo? Quais são as medidas de segurança existentes que você implementou? Quais ferramentas adicionais são necessárias?
Você deve responder a essas e outras perguntas como parte de sua avaliação de ameaças.
No entanto, você também deve ser realista quanto ao nível de segurança de que pode desfrutar. Não importa o quão seguro você torne seu sistema, você ainda pode hackea-lo. Além disso, você precisa ser honesto sobre as medidas que sua equipe pode manter ao longo do tempo.
Você pode arriscar que seus padrões e práticas de segurança sejam ignorados por exigir demais. Leve a segurança a sério e não apresse.
Use a seguinte fórmula para avaliar seu risco:
Risco = probabilidade de ataque x impacto do ataque.
O risco também pode ser considerado como a probabilidade de algo acontecer versus a gravidade das consequências.
Mesmo que seja catastrófico se uma baleia cair do céu e esmagar você, é improvável que isso aconteça.
Uma picada de mosquito em uma caminhada, por outro lado, é bastante provável, mas não é provável que cause danos significativos além de alguns inchaços que coçam.
# 3 Fique por dentro de suas correções
Instalando os patches mais recentes em seus sistemas operacionais? Você está usando software de terceiros? É provável que você esteja ficando para trás, o que significa que está exposto.
Uma das etapas mais importantes que você deve realizar para garantir a segurança do seu software é atualizá-lo, seja de um fornecedor comercial ou de uma comunidade de código aberto.
Quando uma vulnerabilidade é descoberta e relatada de forma responsável aos proprietários do produto ou do projeto, ela é publicada em sites de consultoria de segurança e bancos de dados, como o Banco de Dados de Vulnerabilidade WhiteSource.
Se possível, uma correção deve ser criada e lançada antes da publicação, fornecendo aos usuários a oportunidade de proteger seu software.
Se, no entanto, você não aplicar um patch quando um estiver disponível, você não se beneficiará de uma segurança aprimorada.
Se você está preocupado que a atualização para a versão mais recente pode danificar seu produto, ferramentas automatizadas pode ajudar muito. Em qualquer dia da semana, você deve priorizar a atualização e o patch como parte das melhores práticas de segurança do aplicativo.
# 4 Gerenciar seus contêineres
Nos últimos anos, a popularidade dos contêineres cresceu à medida que mais organizações adotam a tecnologia devido à sua flexibilidade, que simplifica o processo de desenvolvimento, teste e implantação de componentes em vários ambientes ao longo do ciclo de vida de desenvolvimento de software (SDLC).
É geralmente aceito que os contêineres oferecem vantagens de segurança que lhes dão uma vantagem. Além disso, por causa de seu ambiente de sistema operacional autocontido, eles são segmentados por design, reduzindo assim o nível de risco.
Mesmo assim, os contêineres continuam vulneráveis a explorações, como um ataque de fuga, no qual o isolamento foi rompido. Os contêineres também podem conter uma vulnerabilidade no código armazenado dentro deles.
Para segurança de pipeline de CI / CD, você deve verificar vulnerabilidades do início ao fim, inclusive em seus registros.
Além dessas verificações, as práticas recomendadas para segurança de aplicativos ao trabalhar com contêineres também incluem tarefas importantes, como assinar suas próprias imagens com ferramentas como Docker Content Trust se você estiver usando Docker Hub ou Shared Access Signature se sua equipe estiver usando e Microsoft Azure.
Nº 5 Priorize suas operações de correção
Tem havido um número crescente de vulnerabilidades nos últimos anos e essa tendência não mostra sinais de desaceleração tão cedo.
Consequentemente, os desenvolvedores estão ocupados com a correção. Para equipes que desejam manter seus aplicativos seguros enquanto permanecem sãos, a priorização é essencial.
As avaliações de ameaças são realizadas com base na gravidade de uma vulnerabilidade (classificação CVSS), na criticidade do aplicativo afetado e em vários outros fatores.
Você precisa saber se a vulnerabilidade de código aberto realmente afeta seu código proprietário quando se trata de vulnerabilidades de código aberto.
Ineficaz e não representa um risco alto, mesmo que a classificação CVSS do componente vulnerável seja crítica se ele não receber chamadas de seu produto.
Estratégias inteligentes são aquelas que priorizam as ameaças mais urgentes primeiro, com base nos fatores presentes, e deixam as de baixo risco para depois.
# 6 Encrypt, Encrypt, Encrypt
O OWASP Top 10 incluiu criptografia de dados em repouso e em trânsito por anos, tornando-o um requisito para qualquer lista de melhores práticas de segurança de aplicativo.
Ataques man-in-the-middle e outras formas de intrusão podem expor dados confidenciais quando você não consegue bloquear o tráfego de maneira adequada.
Quando você armazenar senhas e IDs de usuário em texto simples, por exemplo, você coloca seus clientes em risco.
Certifique-se de usar SSL com um certificado atualizado como parte de sua lista de verificação básica para criptografia. Não se deixe ficar para trás agora que HTTPS é o padrão. O hash também é recomendado.
Além disso, você nunca deve “rolar sua própria criptografia”, como dizem. Considere os produtos de segurança que são suportados por uma equipe dedicada com experiência para fazer o trabalho certo.
Nº 7 Gerenciar privilégios
Você não precisa dar acesso a tudo para todos em sua organização. Os aplicativos e dados só podem ser acessados por quem precisa deles, seguindo as melhores práticas de segurança de rede e as melhores práticas de segurança de aplicativos.
Há duas razões para isso. A primeira coisa que você precisa fazer é impedir que um hacker use credenciais de marketing para obter acesso a um sistema que contém outros dados mais confidenciais, como financeiro ou jurídico.
Ameaças internas também são uma preocupação, sejam elas não intencionais - como perder um laptop ou enviar o anexo errado para um e-mail - ou mal-intencionadas.
O Princípio do Menor Privilégio de fornecer aos funcionários apenas os dados de que eles precisam quando se trata de acessar os dados pode reduzir sua exposição em comparação com a falta de controles.
Nº 8 Abrace a automação para o seu gerenciamento de vulnerabilidades
A segurança de seus aplicativos tem se tornado cada vez mais importante para os desenvolvedores nos últimos anos, especialmente quando se trata de tarefas como gerenciamento de vulnerabilidade.
Para lidar com a mudança para a esquerda da segurança, as equipes de desenvolvedores estão testando cedo e frequentemente, empurrando o máximo de verificações de segurança no início do processo de desenvolvimento, quando é mais fácil e barato consertar vulnerabilidades.
Para gerenciar o difícil processo de teste devido à grande quantidade de vulnerabilidades, os desenvolvedores precisam de ferramentas automatizadas.
Para encontrar vulnerabilidades de segurança em potencial em seu código proprietário, o teste de segurança de aplicativo estático (SAST) e o teste de segurança de aplicativo dinâmico (DAST) podem ser empregados durante o desenvolvimento.
As brechas de segurança são fechadas com SASTs e DASTs, no entanto, o código proprietário constitui uma parte relativamente pequena de seu código geral.
Em mais de 92% de todos os aplicativos modernos, os componentes de código aberto constituem de 60 a 80% de sua base de código. A lista de verificação de segurança de seu aplicativo deve priorizar a proteção de componentes de código aberto.
Usando ferramentas de análise de composição de software, as equipes podem executar verificações e relatórios de segurança automatizados em todo o SDLC, identificando cada componente de código aberto em seu ambiente e indicando qual deles tem uma vulnerabilidade conhecida que representa um risco de segurança para seus aplicativos.
Você pode gerenciar melhor suas vulnerabilidades mudando seus testes automatizados para problemas de segurança de código aberto para a esquerda.
Nº 9 Teste de Penetração
Uma lista de melhores práticas de segurança de aplicativos estaria incompleta sem mencionar o teste de caneta, embora ferramentas automatizadas ajudem a detectar a grande maioria dos problemas de segurança.
Testar com papel e caneta permite que você cutuque e cutuque seu aplicativo para encontrar pontos fracos. Se um determinado hacker tentar invadir seu aplicativo, os bons pen testers sabem exatamente quais etapas devem ser executadas.
Firmas de hackers podem ser contratadas ou freelancers podem participar de programas de recompensa por bugs, como BugCrowd e HackerOne. Sua empresa deve patrocinar uma recompensa por insetos, se você ainda não o fez.
Se você contratar pen testers, é muito melhor pagar por eles do que lidar com as consequências de uma violação real.
Nº 10: Tenha cuidado com os tokens
Apesar de ser fácil de proteger, muitos desenvolvedores não protegem adequadamente seus tokens para terceiros.
Ao pesquisar sites de desenvolvedores populares, você pode encontrar facilmente tokens não seguros online. Em vez de armazenar detalhes de tokens em outro lugar, os desenvolvedores simplesmente os incluem em seus repositórios de código aberto.
Uma prática recomendada básica de segurança de aplicativo é proteger adequadamente seus tokens de terceiros. Você não deve deixar tokens que você comprou espalhados pelo seu código para qualquer pessoa pegar.
Práticas recomendadas de segurança de aplicativos como práticas básicas
Cada uma das melhores práticas descritas aqui deve ser integrada ao processo de desenvolvimento contínuo da sua organização. Os aplicativos e dados da sua empresa estarão em risco se você não minimizar o risco. Siga estas etapas para minimizar o risco.
Evitar os erros que outras pessoas provavelmente cometerão é uma maneira de ficar à frente dos hackers, portanto, você é mais difícil de ser alvo de ataques. Nunca haverá um perímetro ou medida de segurança de aplicativo totalmente à prova de hack.
No entanto, seguir essas práticas recomendadas básicas pode ajudar muito a impedir que seu aplicativo valha o trabalho dos hackers.
