CYBER SECURITY • CYBER THREAT INTELLIGENCE • PENETRATION TEST

5 erros comuns de segurança Web que custam milhões

Webhack attack

Focar na segurança das suas aplicações WEB é de extrema importância para o seu negócio. O Gartner diz que aplicativos, não a infraestrutura, representam o principal vetor de ataque para a exfiltração de dados, enquanto a Verizon estima que mais de 85% dos vetores de ataques são direcionados para as aplicações web. Com o surgimento da IA para testes de segurança em aplicativos, alguns problemas fundamentais e básico continuam causando as violações de dados mais devastadoras no mercado nacional e internacional:

1. Falta de visibilidade

O Gartner estima que, até 2020, mais de 30% dos ataques bem-sucedidos sofridos pelas empresas estarão em dados localizados em recursos de TI ocultos, como aplicativos abandonados, esquecidos e herdados.

A causa principal das violações de dados modernos é o inventário incompleto ou desatualizado de seus ativos digitais – você não pode proteger o que não conhece. IoT, big data, contêineres, nuvem e tecnologias de contabilidade pública adicionam uma camada de complexidade extra à segurança de dados. A escassez global de habilidades em segurança cibernética agrava a situação, deixando a organização com falta de pessoal e sem equipamento para lidar com a complexidade incremental do acesso a dados e gerenciamento de privilégios.

2. Softwares desatualizados

As maiores campanhas hackers em 2018 envolveram vulnerabilidades de segurança divulgadas e sem patches, de acordo com o TrendMicro. Surpreendentemente não há praticamente nenhuma melhoria substancial no gerenciamento de patches para aplicativos da Web hoje em comparação com uma década atrás. Pior, em muitas grandes empresas, a situação se deteriorou consideravelmente, saindo de fato do controle. Um número crescente de aplicativos web externos e internos, geralmente com configurações personalizadas ou componentes de código fonte desconhecidos, torna sua manutenção uma tarefa árdua. As APIs são a região mais nebulosa, na qual os softwares feitos sob medida são vizinhos de softwares comerciais abandonados que podem servir como um museu de vulnerabilidades divulgadas publicamente, embora não corrigidas.

Os sites principais e os aplicativos voltados para o cliente estão mais ou menos bem protegidos, mas todos os hosts da web ao redor são geralmente um desastre no quesito segurança. O problema é que esses hosts geralmente têm acesso privilegiado aos mesmos bancos de dados com dados de clientes e outras joias corporativas. 

Depois de ter um inventário abrangente e atualizado de ativos, certifique-se de ter uma noção clara de qual software é usado em cada um dos seus aplicativos e servidores web. O monitoramento contínuo da segurança deve ser implementado adequadamente para notificar seus desenvolvedores em tempo hábil sobre quaisquer vulnerabilidades recém divulgadas para uma correção baseada em prioridade.

3. Terceiros descuidados

Quase metade das empresas sofrem violações de dados nas mãos de fornecedores, mas apenas metade das empresas interrompeu seu relacionamento com os culpados e 69% não atualizaram suas políticas de risco após uma violação, de acordo com o relatório eSentire.

As empresas ocidentais buscam lucratividade em um mercado global turbulento terceirizando o desenvolvimento e a manutenção de sites, geralmente considerando uma oferta mais barata flutuando no mercado. Freqüentemente, as iscas de baixo custo não têm vantagem competitiva, como uma tecnologia ou um processo patenteado, mas evitam sem rodeios os gastos com segurança cibernética e proteção de dados. Você obtém o que paga, geralmente a saída é um aplicativo abaixo do padrão, repleto de códigos copiado e colados da web e sem permissão, aumentando assim uma reivindicação de violação de direitos autorais. Alguns desenvolvedores de software negligentes carregam seus códigos de maneira descuidada em repositórios de códigos públicos, expondo suas senhas e chaves secretas. Omitindo a qualidade e a capacidade de manutenção desse código, essas empresas raramente investem em sua própria segurança.

Converse com seu advogado corporativo para desenvolver, promulgar e aplicar uma política de gerenciamento de riscos de terceiros, garantindo proteção prática de dados de acordo com a lei aplicável e uma remediação legal acionável disponível em caso de violação.

4. Senhas fracas e reutilizadas

A Verizon diz que as senhas fracas e roubadas são responsáveis ​​por mais de 80% das violações de dados relatadas. Pior, mais de 21 milhões de credenciais roubadas pertencentes a empresas da Fortune 500 estão prontamente disponíveis na Dark Web em 2019. Atualmente, muitas partes externas têm acesso legítimo aos seus aplicativos e dados na Web. A situação é constantemente agravada por inúmeras integrações e processos de sincronização de dados que são bastante onerosos para monitorar e proteger.

A primeira coisa que os cibercriminosos farão para roubar seus dados – é procurar as senhas de seus funcionários ou fornecedores em bancos de dados de senhas hackeadas públicas ou semi-privadas. A maioria das organizações ainda não aplicam o gerenciamento de acesso holístico, a diretiva de senha adequada e o 2FA com OTP para sistemas críticos para os negócios. Outros preferem fazê-lo de maneira contraproducente, forçando seus funcionários a escolher padrões de senha previsíveis, minando assim a própria substância de seus esforços. Freqüentemente, um pouco de criatividade permite que os invasores acessem um site ou um sistema interconectado, de onde podem desfrutar de um controle irrestrito dos ativos Web. Lembre-se de que seus fornecedores e desenvolvedores de software provavelmente serão os principais alvso para entrar no seu mundo digital.

5. Confiança excessiva na verificação de vulnerabilidades e WAF

A maioria das empresas notórias violadas em 2018 usava o rastreamento automatizado de vulnerabilidades e o WAF, mas foram hackeadas, perdendo bilhões de dólares e ainda defendendo uma grande variedade de reivindicações amargas nos tribunais. Muitos profissionais de segurança cibernética ainda dependem instintivamente da verificação automatizada de vulnerabilidades da Web e da configuração padrão dos WAF. Ambas as soluções são controles de segurança obrigatórios também exigidos por muitas conformidades de segurança, como o PCI DSS; no entanto, são amplamente insuficientes para evitar violações de dados em 2019.

Os aplicativos web modernos são progressivamente propensos a vulnerabilidades complicadas, envolvendo a exploração ponderada da cadeia de várias vulnerabilidades de baixo risco ou direcionando a lógica comercial dos aplicativos web. Um passageiro que paga um ingresso de classe econômica pode conseguir um assento na classe executiva com a simples adulteração de solicitação HTTP no site de reservas eletrônicas? O que acontece se um passageiro reivindicar um reembolso pelo voo que acabou de cancelar? É improvável que um software automatizado compreenda essa falha, muito menos detectá-la. Os firewalls de aplicativos (WAF) agora começam ativamente a usar o aprendizado de máquina para detectar anomalias no tráfego Web; no entanto, exige treinamento demorado e configuração trivial que a maioria das empresas relutam em assumir por estar suficientemente ocupadas com outras prioridades.

Melhore a verificação de vulnerabilidades e o WAF com um teste de penetração regular ou contínuo, capaz de descobrir cenários avançados de ataques com vetores de exploração sofisticados.

Analise atentamente os cinco assuntos acima mencionados com sua equipe de segurança cibernética para garantir que você tenha os controles de segurança necessários. Faça também o gerenciamento dos ativos de segurança da sua empresa com equipe especializada.

Referências: Verizon, Trendmicro, immuniweb e eSentire

Author:

Alan Sanches é consultor em Segurança da Informação e possui mais de 22 anos de experiência na área de Infraestrutura de TI e Segurança Cibernética. Ministra treinamentos e palestras sobre Segurança Ofensiva, Defensiva, Ética Hacker e Técnicas de Intrusão nos maiores eventos de Tecnologia do Brasil como: Campus Party, LatinoWare, FLISOL, RoadSec, Mind the Sec, Hacking Day e FISL. É Tecnólogo em Redes de Computadores e possui 3 Pós-Graduações: Inteligência Estratégica, Master Business Information Security e Neurociência & Comportamento Humano.