App Security para 2019

Você sabia que as mesmas recomendações que o Projeto de Segurança de Aplicações Abertas da Web (OWASP) entregou como o OWASP Top Ten em 2003 permaneceram inalteradas nos últimos 14 anos ?

Junto com isso, as mesmas práticas defensivas de sanitização de entrada e consultas parametrizadas são amplamente usadas como o melhor remédio para problemas de segurança de aplicativos. Embora estas sejam certamente boas práticas, elas estão incompletas no moderno ecossistema de aplicativos da atualidade. O que isso quer dizer ? Quer dizer que elas se concentram apenas na correção do desenvolvedor e oferecem pouca ou nenhuma informação sobre como as equipes de operações devem abordar a segurança dos aplicativos.

Durante a última década, sim, a ultima década, as equipes de operações viram uma mudança dramática que ainda está se desdobrando em toda a indústria. As equipes mais avançadas já adotaram as práticas de DevOps, e o restante está no processo de fazer isso. Agora não me pergunte como fazer isso esperando obter uma resposta direta ok ?

Os serviços estão sendo dissociados de seus aplicativos antes monolíticos em arquiteturas de microsserviço compostas de APIs e provedores de terceiros. As taxas de implantação estão passando de uma vez por trimestre para sob demanda, geralmente várias vezes por dia. Os desenvolvedores e a equipe de operações agora trabalham juntos para alternar as tarefas de plantão e promover a disponibilidade e a confiabilidade dos sistemas.

Essas mudanças pintam duas imagens opostas: a segurança ainda está em grande parte presa em medidas defensivas verdadeiras, mas cansadas, desde os dias de TI lenta, e operações que se transformaram radicalmente em um pipeline de entrega de TI em um rápido movimento. As práticas de segurança, como análise de código estático e processos de aprovação longos e demorados, continuam a desacelerar o canal de entrega de software com retornos cada vez mais questionáveis. No entanto, existe uma maneira melhor: as equipes de operações podem ajudar a segurança a ir mais rápido e reduzir as ameaças ao mesmo tempo.

Impacto das operações modernas na segurança de aplicativos
Existem quatro maneiras pelas quais as equipes de operações podem fortalecer a segurança dos aplicativos e, ao mesmo tempo, ajudar a acelerar o desenvolvimento e a resposta às ameaças conforme elas acontecem. As quatro maneiras de atingir essas metas: Lógica de negócios, Foco no tráfego autenticado, Monitorar as ações de contas e, por último, Completar o ciclo de operações de desenvolvimento para o departamento de segurança. Vamos dar uma olhada em cada uma dessas áreas.

Lógica de negócios
As operações sempre foram boas no monitoramento de CPUs e memória. No entanto, isso está se tornando cada vez mais irrelevante nos padrões modernos de arquitetura de nuvem, microsserviços e serverless.

Em vez disso, eles devem se concentrar em instrumentar a lógica de negócios dentro do aplicativo. Isso geralmente é negligenciado pelas equipes de operações e segurança. O que significa “lógica de negócios”?

Alguns exemplos de lógica de negócios são: transferência de fundos, visualização de um saldo de conta, criação de uma nova conta, adição de um cartão de crédito ou alteração de um endereço de cliente. Para cada aplicativo, os requisitos de lógica de negócios específicos são exclusivos, exigindo um esforço para reunir os proprietários do aplicativo e determinar o que instrumentar.

Tente não exagerar aqui e tentar instrumentar tudo. Em vez disso, trabalhe para abranger desenvolvimento, operações e segurança para identificar a lógica de negócios de maior risco. Se alguém tivesse acesso total e pudesse aproveitar nosso aplicativo, o que eles fariam?

É claro que, se você tiver a experiência interna, fazer um modelo de ameaça é um ótimo exercício para ajudar a chegar a esses requisitos. Mesmo que você comece com apenas um punhado de fluxos de aplicativos, a instrumentação da lógica de negócios ajuda a estabelecer uma linha de base para o aplicativo. Ele pode então ser monitorado quanto a variações que possam sugerir que o aplicativo está sendo atacado.

Concentre-se no tráfego autenticado
Todos os dias, sites estão sob ataque. Provavelmente, um dia não passa sem que seu site seja segmentado por algum scanner de vulnerabilidades ou ferramentas de ataque. Essa é a norma na Internet de hoje, e alertar sobre todas as tentativas de XSS detectadas sobrecarregará sua equipe. SQLi, XSS e execução de comandos são muito mais interessantes no contexto de um usuário logado.

Foco na instrumentação e monitoramento de aplicativos que podem diferenciar usuários autenticados de usuários não autenticados. Algum dos meus clientes está tentando me atacar? Uma conta foi violada? Fazer o loop desta instrumentação de volta para especialistas de suporte ao cliente e equipes de segurança é fundamental para encontrar usuários ou parceiros que tiveram as credenciais da conta roubadas ou hackeadas.

Monitorar as ações da conta
A instrumentação é fácil no nível do servidor. Mas o cenário de ameaças mudou. Os alvos de hoje, na maioria das vezes, são contas de usuários e informações de identificação pessoal.

Toda uma classe de ataques conhecidos como Account Takeovers (ATO) está em ascensão. O enredo ATO é familiar. Milhões de contas são comprometidas, e os dados são vazados para a internet e vendidos para o maior lance ou para algum grupo de hackers do país.

Essas contas são valiosas porque incluem cartões de crédito e dados do usuário. A instrumentação para o ATO deve incluir o sucesso do login, falha de login, solicitação de redefinição de senha, redefinição de senha bem-sucedida, alteração de endereço de e-mail e alteração de nome de usuário. Assim como na instrumentação de lógica de negócios, determinar o que instrumentar exigirá colaboração entre as equipes.

Um outro indicador principal de ATO é a fonte de tráfego. Conhecer a geografia e o endereço de rede normais dos seus usuários significa que diferenças substanciais devem desencadear alertas. “Conheço a taxa normal de falhas de login e sucesso em toda a minha base de usuários? De quais blocos de endereços IP meus usuários normalmente vêm? ”Saber as respostas a essas perguntas pode ajudar você a defender as contas de seus usuários.

Complete o Loop De Operações para Dev e para Segurança
Monitorar vários painéis para exibir informações de segurança pertinentes não é uma opção válida na organização de TI moderna. Mais e mais equipes adotaram o padrão DevOps do ChatOps, no qual as ferramentas são integradas nos sistemas de bate-papo da equipe, como o Slack ou o HipChat. Isso coloca ferramentas onde desenvolvedores e engenheiros de operações já estão.

Quando a parte de login do seu site está vendo tráfego suspeito, faz sentido obter essas informações na frente da equipe de desenvolvedores e da equipe de operações que oferecem suporte a funções de login.

Fechar o ciclo de feedback não significa apenas chat. A integração com outros sistemas, como sistemas de chamados, sistemas de monitoramento e até sistemas SIEM ou de registro, ajuda a melhorar a comunicação entre as equipes.

O foco aqui é fornecer feedback de segurança as equipes responsáveis ​​pelo aplicativo. Isso cria um modelo de autoatendimento de segurança em vez de silenciar informações de segurança apenas com a equipe de segurança. Quando os desenvolvedores, as operações e as equipes de segurança distribuem os ciclos de feedback de segurança em todo o sistema, a segurança se torna um esporte coletivo.

Cada chance possível de criar um ciclo de feedback entre desenvolvimento, operações e segurança cria uma nova oportunidade para obter mais olhos de diferentes disciplinas para que participem juntos na defesa do aplicativo. Loops de feedback fornecem um ciclo virtuoso. Eles permitem que a segurança não seja mais vista como a organização que reduz a velocidade ou inibe a agilidade, mas, ao invés disso, integra o feedback de segurança do aplicativo e atua como um verdadeiro facilitador de negócios.

Seguindo em frente
Por meio dessas quatro abordagens modernas de segurança de aplicativos, é possível ir mais rápido e reduzir ameaças ao mesmo tempo. Essas melhorias tiram a segurança das aplicações do silo da segurança para o mundo do DevOps. A segurança se torna um esporte de equipe, e o objetivo é alcançar uma melhor segurança em conjunto, o que acaba levando a sistemas e aplicativos mais defensáveis.

Há duas perguntas que os proprietários de aplicativos devem fazer: “Estou sendo atacado agora? Os atacantes estão tendo sucesso? ”Ao implementar essas quatro abordagens, você se sentirá mais confiante em sua capacidade de responder a essas perguntas.

 Leia também:

https://guilhermeteles.com.br/a-ciberseguranca-na-saude-e-uma-realidade/

https://guilhermeteles.com.br/multi-cloud-e-uma-solucao-para-alta-disponibilidade/

https://guilhermeteles.com.br/cios-voce-esta-priorizando-a-seguranca/

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CEH, CHFI, e AWS Certified Architect Associate

Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?

Siga também nossas redes sociais:

https://www.instagram.com/guilhermeteles__/

https://www.linkedin.com/in/guilhermeteles/