App Security

Como a segurança de aplicativos evoluiu

A consciência do problema aumentou, mas alguém está realmente fazendo alguma coisa sobre isso?

Começou com o MD5, que foi fácil de hackear, para a evolução dos algoritmos de criptografia. As pessoas usavam algoritmos simples que eram facilmente quebrados, depois para SHA e 256 bits. Algoritmos hash mais fortes para zero conhecimento (criptografia de dados) entre o aplicativo e o servidor. Ferramentas e técnicas de hacking são aprimoradas.

Passamos de verificações estáticas e correções de erros para um modelo de ameaça de maior escala com bancos de hack e cenários realistas com ferramentas para aumentar a chamada produtividade. Nós não temos inteligência realista, e isso é um fato. Muitos falsos positivos com as ferramentas que estão por aí agora. Nós não descobrimos como usar dados para o desenvolvimento de segurança em larga escala.

Evolução da indústria de cartões de pagamento de 10 anos atrás. Agora o governo é movido por padrões federais, ou mesmo internacionais. Há uma mudança de paradigma nos negócios, onde tudo é direcionado pelo risco: quanto custa proteger os dados? quanto eu perco se os dados forem comprometidos?

Serviços de AppSec, que incluem software e pessoas que entendem de segurança, que podem fornecer aos clientes uma lista de vulnerabilidades e uma solução para corrigi-los.

Melhor experiência do usuário para fornecedores de segurança. Nuvem e celular mudaram o jogo, de maneira realmente literal. Os aplicativos não estão mais sendo executados em data centers atrás de firewalls. Não há perímetro de segurança tradicional. Mais focado em mover a segurança para o aplicativo. A cloud híbrida está se tornando a norma padrão, acredite, e isso resulta em um modelo de segurança muito mais complicado. E acredite também, raras as pessoas que entendem do assunto.

Há mais consciência do que costumava ter, mas não tenho certeza se houve muita evolução. A nuvem fez grandes mudanças nos aplicativos e na segurança dos aplicativos nos últimos cinco anos. Antes, estes estavam atrás de um firewall corporativo. Nós sacrificamos a segurança por conveniência (por exemplo, acesso através de dispositivos móveis).

O conceito de “App Security” está sendo levado mais a sério agora, pois as coisas não estão atrás de um firewall. Há mais ênfase na nuvem e mais ênfase nas ferramentas. Uma mudança para aplicativos com autenticação dupla e várias camadas de segurança. Os dispositivos estão começando a usar sensores de impressão digital.

Os desafios evoluíram. Aplicativos estáticos tornaram-se agregações distribuídas de links e terminais. Os casos de uso passaram da leitura do folheto para ter experiências personalizadas e envolventes, adaptadas ao dispositivo e ao contexto de navegação. As ameaças evoluíram para incluir tipos de ataques volumétricos (por exemplo, DDoS), malware, malvertising e man-in-the-middle, incluindo falsificação de solicitações, injeção de SQL e exploração de scripts entre sites do código.

Três principios básicos que irão nortear diversas consultorias:

  1. Reativo: encontrar vulnerabilidades e é o trabalho da equipe de segurança corrigi-las. É aqui que a maioria das indústrias estão hoje. Ou vocês acham que as pessoas seguem politicas ou normas corporativas ? Elas nem mesmo hoje tem conhecimento da existência das mesmas. E sabe porque ? Falta de consciêntização
  2. Proativo: ter conhecimento e treinamento, segurança por projeto, focado em fixar versus encontrar.
  3. Preditivo: monitore continuamente para que os aplicativos saibam quando estão sendo atacados e possam responder de acordo. Traga para o SDLC para que você possa fazer o monitoramento de ameaças durante o desenvolvimento. Refatorar / reengenharia no processo de desenvolvimento.

Estamos encontrando falhas na segurança de aplicativos da web devido à falta de evolução. Grandes fabricantes de nicho estão procurando problemas específicos. Mais automação tem sido ótimo, use integradores de código para testar a verificação de código quanto a bugs e vulnerabilidades.

Conscientização e visibilidade de questões de privacidade e segurança em aplicativos para dispositivos móveis. Diferente entre o PC tradicional e dispositivos móveis. Aplicativos para dispositivos móveis com permissão excessiva.

A segurança do aplicativo evoluiu junto com sistemas operacionais móveis e estruturas de programação. Os tipos de ataques e vulnerabilidades estão evoluindo na mesma velocidade. É uma luta para acompanhar. Os ataques são uma ordem de magnitude mais sofisticada do que há 10 anos.

A segurança da Web evoluiu para a segurança de aplicativos móveis. As pessoas estão cientes das violações, bem como o fato de que, se você colocar um aplicativo na nuvem, as pessoas ficarão à procura de vulnerabilidades. Mais entendimento de que não é apenas difícil, mas também há mais tráfego de máquina para máquina e mais chaves de API que resultam em mais vulnerabilidades. A segurança da API está ligada a praticamente tudo hoje em dia.

Não estamos acompanhando tudo de maneira rapida o suficiente. É um processo lento, mas seguro é um caminho melhor do que inseguro.

Consciência. Todo mundo fala sobre segurança cibernética, mas as pessoas confundem falar com fazer. Ninguém está realmente fazendo nada. Não há outro efeito além do aumento das taxas de seguro e de incidentes de segurança. Alguém se importa? Não. Porque como sempre colocamos a culpa em alguém e sempre segue o baile.

 

Leia também:

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CEH, CHFI, e AWS Certified Architect Associate

Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?

Siga também nossas redes sociais:

https://www.instagram.com/guilhermeteles__/

https://www.linkedin.com/in/guilhermeteles/