É hora de levar a sério a segurança de aplicativos da web

Historicamente, as equipes de TI tendem a instalar firewalls de aplicativos da web (WAFs) simplesmente para atender aos padrões de segurança de dados da indústria de cartões de pagamento (PCI DSS). Se este for o caso da sua organização, seja você um fornecedor de serviços financeiros ou um varejista, talvez esta seja a hora certa de pensar novamente sobre estas valiosas ferramentas de segurança. Muitos dos profissionais de segurança de dados de hoje da atualidade estão começando a reconhecer que aplicativos da web desprotegidos se tornaram alvos atraentes para os cibercriminosos que procuram pontos de entrada fáceis nas redes desses aplicativos.

O fato é que a proteção dos ambientes de aplicativos é um desafio único e consistente para as equipes de TI. É por isso que 83% dos executivos de TI das empresas, de acordo com uma pesquisa recente da IDG, agora acreditam que a segurança de aplicativos é fundamental para sua estratégia de TI.

Principais tipos de ataques de aplicativos da web

Muitos aplicativos externos da web estão potencialmente vulneráveis a diferentes ataques. Na verdade, de acordo com uma pesquisa do Mozilla de junho de 2017, dentre um milhão de sites analisados, 93,45% ganharam um “F” de falha por não implementarem medidas básicas de segurança que os protegessem de ataques como scripts entre sites, man-in-the -middle e sequestro de cookies. Aqui estão alguns aos quais as equipes de TI devem prestar muita atenção:

- Scripts entre sites (XSS): Esses tipos de ataques injetam scripts maliciosos em sites vulneráveis. Os ataques de scripts entre sites permitem que os invasores entrem e roubem dados financeiros sensíveis ou até assumam o controle de dispositivos com vulnerabilidades conhecidas. Falhas no código do aplicativo e nos dispositivos em que eles são executados permitem que esses ataques sejam bem-sucedidos e que se espalhem. Os ataques bem-sucedidos podem ocorrer em qualquer lugar onde um aplicativo da web usa informação de um usuário, modificando a informação gerada sem primeiro validá-la ou codificá-la.

- Injeção de SQL: Quando esses tipos de ataques são bem-sucedidos, os invasores podem usá-los para ignorar as medidas de autenticação e recuperar informações dos bancos de dados. Em 2015, por exemplo, um grupo foi acusado de usar ataques de injeção de SQL para levar US$ 30 milhões usando informações financeiras roubadas.

- Negação de serviço na camada 7: Os ataques DoS na camada 7 (camada de aplicativos) são muito usados para atingir e sobrecarregar uma função específica. Esses tipos de ataques podem ser usados para cometer diferentes crimes: interromper um negócio, desativando serviços essenciais; solicitar resgaste para reativar serviços, ou ainda para desviar a atenção de equipes de segurança aplicando um ataque ainda mais grave em outra parte da rede.
O código comercial também pode estar vulnerável a problemas como baixa higiene de segurança, principalmente quando a falta de recursos não permite que as equipes de TI apliquem as correções de segurança assim que forem disponibilizadas.

Mas os aplicativos externos da web são apenas uma parte do problema. Os aplicativos internos da web, principalmente aqueles que foram desenvolvidos internamente, são geralmente considerados mais fáceis de comprometer do que os aplicativos externos, se os criminosos conseguirem acessar a rede interna. O código personalizado é tradicionalmente um dos pontos mais fracos da segurança de muitas organizações, pois as equipes internas de desenvolvimento de aplicativos geralmente não se mantêm atualizadas sobre todos os novos tipos de ataque ou não realizam os testes de vulnerabilidade detalhados para múltiplos aplicativos que os desenvolvedores comerciais podem realizar.

Um aplicativo externo, por exemplo, para fazer compras online, pode ativar dezenas de aplicativos internos, como aqueles usados para verificar e reabastecer estoques, acionar envio e preparar etiquetas de envio, processar pagamentos, adicionar a compra ao histórico de um cliente, e assim por diante. Esses aplicativos individuais podem ser explorados, modificando uma biblioteca compartilhada ou alterando a ordem em que os aplicativos posteriores podem ocorrer, abrindo uma vulnerabilidade a ser explorada.

Esses tipos de ataques trazem problemas para as organizações que acreditam incorretamente que seus sistemas de defesa no perímetro da rede podem mantê-los totalmente protegidos. A realidade é que uma violação no perímetro da rede é simplesmente uma questão de tempo. O local mais eficaz para começar com qualquer estratégia de segurança de aplicativos é assumir que suas defesas no perímetro da rede ficarão comprometidas.

Como as soluções de segurança de aplicativos da web podem ajudar

Os serviços sofisticados de segurança de aplicativos da web devem usar as informações de ameaças em tempo real para manter os aplicativos da web protegidos dos riscos mais recentes. Um bom lugar para começar é rever a lista OWASP Top 10 que rastreia os ataques de aplicativos mais comuns. Mas este é apenas o primeiro passo. Os ataques baseados em aplicativos mudam regularmente, e novas ameaças são criadas a todo momento. Por isso, é fundamental que você adote uma solução WAF que não apenas elimine as ameaças mais comuns, mas que também possa usar serviços de reputação do IP e que receba atualizações regulares de um serviço global de ameaças.

Além disso, muitas soluções de segurança de aplicativos da web oferecem um mecanismo de correlação que extrai e analisa vários eventos de todas as camadas de segurança. Esta abordagem permite expandir a visibilidade de todo o ambiente e combinar inteligência de ameaças local e global para tomar decisões mais precisas e fornecer uma proteção melhor à sua organização.

A varredura em busca de vulnerabilidades é outro elemento de proteção fundamental. Você precisa entender quais dispositivos você instalou em sua rede, quais sistemas operacionais e correções atuais são carregados neles e quais aplicativos são executados ou passam por eles. A maioria dos ataques bem-sucedidos exploram vulnerabilidades conhecidas, para as quais existem correções disponíveis há semanas, meses ou, em muitos casos, há anos.

Proteja seus aplicativos

Como as ameaças por meio de aplicativos continuam evoluindo, tanto em número como em sofisticação, apenas um dispositivo de segurança de aplicativos da web geralmente não é suficiente para proteger toda a rede distribuída. Em vez disso, as organizações devem investir em uma abordagem de segurança de aplicativos com vários recursos, que pode vincular diferentes dispositivos e usar e compartilhar inteligência em uma variedade de outros dispositivos de segurança e rede. Também é cada vez mais importante ter um console centralizado e unificado, como o firewall de aplicações da web FortiWeb, que permite administrar e orquestrar vários dispositivos de gateway ao mesmo tempo, correlacionar informações de ameaças e fornecer uma resposta coordenada a qualquer problema detectado.

(*) Vice-presidente de produtos e soluções da Fortinet.