Mitos tendem a minimizar os riscos, dar uma falsa sensação
de segurança, seja por meio de alguma nova tecnologia “milagrosa” ou pela
ausência de visibilidade dos problemas, levando as empresas a baixar a guarda
para ameaças quase eminentes
Muitos mitos e mesmo distorções povoam o, digamos,
imaginário corporativo sobre a segurança na internet, aumentando a incidência
de vulnerabilidades e reduzindo as defesas contra ataques. Isto porque os mitos
tendem a minimizar os riscos; dar uma falsa sensação de segurança, seja por
meio de alguma nova tecnologia “milagrosa” ou pela ausência de visibilidade dos
problemas, levando as empresas a baixar a guarda para ameaças quase eminentes.
Como é bastante óbvio, a internet se tornou o principal
ponto de convergência dos sistemas corporativos, integrando transações com
parceiros, fornecedores, clientes e investidores em um mesmo canal eletrônico.
Segundo o site da Pingdom, os usuários de internet no mundo todo somaram 2,4
bilhões, em 2012. Por aqui, o número de usuários ativos, segundo a pesquisa da
Net Insight, estudo sobre internet do IBOPE Media, era de 50 milhões, em
dezembro deste mesmo ano.
Com tantos usuários utilizando sistemas de informação em
rede pública, a segurança para aplicativos web se consolidou de vez como um dos
principais itens na agenda dos gestores de segurança da informação.
Considerando ainda a atual complexidade dos sistemas de TI, incluindo a
disseminação da computação distribuída em nuvem, “big data”, composição de
serviços distribuídos e a necessidade da implantação da governança corporativa,
faz-se cada vez mais necessário eliminar os mitos que contribuem negativamente
para o sucesso da proteção dos aplicativos.
Enumeramos os seis mitos mais recorrentes que fragilizam o
elo de percepção de segurança e os descrevemos a seguir.
1. O desenvolvedor sempre me proverá sistemas seguros
Qualquer aplicativo web, do mais simples serviço de
bate-papo a um complexo pacote de gestão de recursos corporativos, passa
necessariamente pelas fases de desenvolvimento e manutenção. Nestas fases, as
atividades de criação e alteração de código-fonte priorizam requisitos
funcionais e o desempenho do aplicativo. É um mito achar que os desenvolvedores
poderiam estar vertendo todo o seu tempo para produzir trechos de código livres
de falhas de segurança. Muitas brechas seriam resolvidas se o aplicativo web
fosse testado adequadamente durante estas fases ou antes de ser colocado em
produção.
2. Apenas especialistas sabem explorar vulnerabilidades da
Aplicação Web
Com a ampla oferta de sites que publicam ferramentas abertas
para testar vulnerabilidades, qualquer usuário com um computador conectado à
Internet pode ser um potencial vetor de ameaças. Os ataques de hoje exigem
menos conhecimento técnico e tem parte de sua complexidade ocultada por
ferramentas sofisticadas que executam automaticamente passo-a-passo as instruções
para explorar uma falha de segurança. Achar que você está protegido pela
obscuridade ou falta de conhecimento da vulnerabilidade é um grave erro.
3. Falhas em aplicações internas não são tão importantes
Em um recente estudo conduzido pela Universidade
Carnegie-Mellow em conjunto com o Departamento de Segurança Interna dos EUA,
pesquisadores detectaram que ataques internos são os mais bem sucedidos no
segmento financeiro. Na maioria dos casos estudados, o tempo para a detecção
inicial de fraudes internas supera 32 meses. Isso significa que o excesso de
confiança no ambiente interno acostuma as pessoas a serem menos conscientes; as
aplicações são desenvolvidas de maneira menos seguras, seja pelo uso de
controles inadequados ou pela falta de interesse em eliminar vulnerabilidades.
Lembre-se, os aplicativos internos são aqueles que armazenam os dados mais
preciosos do negócio, estando mais suscetíveis a funcionários descontentes,
prestadores de serviço ou até mesmo criminosos infiltrados.
5. O Firewall nos protege de todos os ataques externos
Mesmo tendo alcançado a maturidade comercial desde o final
dos anos 90, os firewalls não estão prevenindo o aumento das estatísticas de
ataques em todo o mundo. Obviamente alguma coisa está errada nesta estratégia
de defesa. As tecnologias de proteção perimetral são essenciais para qualquer
estratégia de gestão de segurança, afinal, são a base de sustentação do plano
de defesa em camadas. Por outro lado, os ataques estão cada vez mais
direcionados às funcionalidades de negócio, disfarçados em transações legítimas
que tem por objetivo final explorar uma determinada vulnerabilidade no
aplicativo. Trata-se, portanto, de mais um mito amplamente difundido nas
corporações.
5. Selos de “percepção” de segurança blindam o seu site
Apesar dos selos de segurança terem tido o papel de
introduzir a discussão de proteção dos aplicativos web em todas as camadas de
negócio da empresa, eles têm sido frequentemente utilizados para substituir um
trabalho mais profundo na correção de vulnerabilidades das aplicações. Os selos
de “blindagem” contra ataques acabam tendo o mesmo efeito de um aviso de “cão
antissocial” na porta da sua casa. O mito deve ser combatido com um trabalho de
acompanhamento do ciclo de vida dos aplicativos, incluindo testes de segurança
periódicos nas funcionalidades de negócio, de maneira a produzir efeitos
satisfatórios de proteção para suas aplicações web.
6. Meu website é seguro porque utiliza SSL e Criptografia de
Dados
Este mito é um dos mais frequentes nas áreas de negócio das
empresas. Utilizar criptografia de dados, SSL ou o tal “cadeado de segurança”
no navegador só assegura que os dados sejam transmitidos do aplicativo para o
navegador web com baixo risco de serem interceptados. O verdadeiro foco de
problemas está naquilo que o aplicativo ou usuário faz com os dados após eles
terem sido transmitidos e, para se proteger deste risco, o “cadeado” é
completamente inócuo. Da mesma forma que o mito anterior, a única maneira
eficaz de proteger o seu aplicativo web é antecipar a detecção e correção de vulnerabilidades
antes que algum usuário mal intencionado resolva tomar proveito delas.
Conhecer os principais mitos de segurança e entender o
impacto de ignorá-los já são ferramentas bastante eficientes para prevenção de
ataques nos aplicativos web. Por meio delas, adota-se uma atitude mais proativa
e menos reativa, aliando tecnologia e metodologia para proteger estes sistemas.
E ter em mente que segurança da informação é um estado transitório, que só pode
ser garantido pela continuidade de processos e atividades que visam manter os
níveis adequados de proteção, seja para um pequeno negócio ou para uma grande
corporação.
Fonte: Administradores
Nenhum comentário:
Postar um comentário
Obrigado pelo participação!