Home Como fazer Cinco perguntas de segurança que todo desenvolvedor deve fazer
Applications

Cinco perguntas de segurança que todo desenvolvedor deve fazer

About The Author

Outline

As equipes de desenvolvimento desempenham um papel crítico na segurança de aplicativos voltados para a Internet. Embora os maus atores sejam a ameaça mais significativa que essas equipes enfrentam, eles também enfrentam desafios internos com a implementação de correções de segurança, ao mesmo tempo em que equilibram requisitos funcionais e não funcionais em todos os domínios de negócios, engenharia e segurança. A crescente velocidade com que as equipes de desenvolvimento podem liberar código, graças à automação de CI/CD, também destaca a importância crítica de integrar totalmente processos e ferramentas de segurança no processo de ciclo de desenvolvimento e liberação. Aqui estão cinco perguntas de segurança que irão melhorar a conscientização sobre as necessidades de segurança de seus aplicativos e reduzir o risco de um evento de segurança de aplicativos da Web que impacta seu negócio.

1. Como posso identificar e corrigir vulnerabilidades no código do meu aplicativo?

As ferramentas de teste de segurança de aplicativos ‍Dynamic (DAST), estático (SAST) e interativo ajudam a encontrar vulnerabilidades em um aplicativo da Web. As FERRAMENTAS DAST e SAST ajudam a encontrar pontos fracos de tempo de execução de diferentes maneiras. O DAST tenta executar ataques (por exemplo, cross-site scripting) na aplicação web, enquanto as ferramentas SAST procuram práticas inseguras no código fonte (por exemplo, variáveis não inicializadas). O uso de ambos em um pipeline de integração contínua/implantação contínua (CI/CD) ajuda a encontrar falhas como parte do processo de devsecops antes que eles cheguem à produção.

Alguns repositórios de controle de origem podem se integrar a uma prática de IC para executar verificações de segurança a cada alteração. O repositório pode exigir que a prática de IC execute SAST como parte de cada solicitação de mudança. Se as verificações de segurança do relatório, o repositório pode impedir a aprovação da solicitação de mudança. As equipes que realizam essas verificações manualmente ou automaticamente podem reduzir significativamente o risco de segurança. Da mesma forma, o CD pode incluir uma VARREDURA DAST durante a implantação de novo código.

As ferramentas de Análise de Composição de Software (SCA) também podem ser usadas para verificar e identificar vulnerabilidades em bibliotecas de código aberto ou de terceiros para que os problemas possam ser corrigidos. Como aplicativos web compostos ou progressivos que utilizam microsserviços e APIs se tornaram mais comuns, ter proteções adequadas para APIs é igualmente crítico. Isso inclui pontos de verificação para descoberta de API, validação de esquema JSON e garantir que a integridade dos tipos de propriedade e valores de propriedade não possa ser comprometida por um invasor. A utilização de uma solução de API Gateway para impedir o acesso não autorizado a APIs, juntamente com a proteção de scripts de terceiros, desempenha um papel na prevenção de atividades maliciosas e ataques à cadeia de suprimentos no estilo Magecart.

Os exames podem produzir muitos resultados. Leva tempo para avaliar e priorizar todos eles, mesmo com a ajuda de um sistema de gerenciamento de vulnerabilidades. A proteção de aplicativos da Web e API (WAAP) permite que você tome medidas imediatas para mitigar as vulnerabilidades enquanto sua equipe prioriza e aplica correções.

Além disso, a execução de uma VARREDURA DAST em um aplicativo da Web ou API protegido por um WAAP pode melhorar a postura geral de segurança do aplicativo. Qualquer ataque que o WAAP não pare pode ser identificado pela equipe de segurança para um ajuste mais preciso. Se as regras incluídas com um WAAP não conseguirem mitigar uma busca da VARREDURA DAST, uma regra WAAP personalizada pode ser escrita e implantada para resolver a busca específica. A equipe não precisa mais esperar por um patch de segurança ou um ataque iminente para mitigar essas ameaças.

2. Como posso identificar e corrigir vulnerabilidades na minha pilha de tecnologia?

‍Modern As pilhas de tecnologia de aplicativos web consistem em muitos componentes, como servidores web e de banco de dados e estruturas de desenvolvimento web. Alguns dos componentes são extensíveis com um plug-in, extensões e add-ons. Ter um inventário de cada componente de terceiros e compreender e aplicar patches de segurança críticos deve fazer parte de todos os programas de segurança de aplicativos. No entanto, patches críticos às vezes não podem ser aplicados sem alterações no código do aplicativo que exigem um sprint de desenvolvimento.

Vulnerabilidades não corrigidas em software e sistemas são um vetor de ataque muito comum para cibercriminosos. De acordo com a IBM, em 2022, o custo global médio de uma violação de dados excedeu USD 4,35 milhões e o tempo para resolver completamente uma violação é frequentemente medido em meses. A aplicação de patches de software fornece à organização mais tempo para corrigir uma vulnerabilidade de segurança conhecida. As equipes de aplicativos da Web devem testar e aplicar patches de software regularmente, como mensalmente ou sempre que houver uma versão de software. Isso reduz o tempo de existência de falhas e a quantidade de tempo que um invasor tem para explorá-las. Quanto mais tempo as fraquezas permanecerem, maior a probabilidade de que atores mal-intencionados as explorarão.

Um WAAP com um conjunto abrangente de regras de segurança específicas de aplicativos, regras OWASP mais genéricas e regras personalizadas flexíveis para lidar com casos de canto capacita as equipes de desenvolvimento a aplicar uma correção imediata (também conhecida como “patch virtual”) para evitar a exploração, dando espaço para corrigir e atualizar o código do aplicativo. Além disso, as equipes de segurança devem insistir em soluções WAAP que bloqueiam automaticamente ou facilmente o acesso a arquivos e caminhos sensíveis do sistema operacional.

Embora a execução de um WAAP em um ambiente de teste ou de QA possa dar uma visão sobre se uma determinada configuração do WAAP impedirá um ataque, não há nenhum substituto para executar o WAAP contra o tráfego da Web de produção ao vivo. Saiba como nossos recursos de modo Dual WAAP permitem que as equipes de segurança testem novas regras WAAP sobre o tráfego de produção, dando às equipes a capacidade de observação e os controles necessários para impedir ameaças emergentes e reduzir massivamente o tempo de resposta.

3. Qual é o impactos dos eventos de segurança na capacidade do servidor?‍

Equilibrar a capacidade do servidor e os custos da nuvem é uma troca entre a experiência do cliente e as necessidades de negócios. No entanto, alocar a capacidade do servidor para acomodar usuários ilegítimos não é a melhor abordagem.

Embora continue a existir uma ameaça de ataques DDoS de alto perfil de Ameaças Persistentes Avançadas (APT), como Killnet, que visava instituições governamentais japonesas e sites de aeroportos dos EUA no verão e no outono de 2022, é muito mais comum ver ataques na faixa de multi-Gbps. De acordo com a NETscout ,um ataque DDoS ocorre a cada três segundos. Além de usar apenas largura de banda para medir um ataque DDoS, as taxas de solicitação (ou seja, solicitações por segundo (RPS) ou milhões de pacotes por segundo (Mpps)) são uma consideração igualmente importante na proteção da infraestrutura de aplicativos. Esses eventos de segurança de scanners ou botnets que atingem aplicativos da Web podem não dar a notícia, mas podem afetar as experiências de seus clientes em seu site.

Aproveitar um WAAP baseado em nuvem com habilidades refinadas para limitar o tráfego e mitigar ataques a endpoints críticos pode filtrar muito desse tráfego indesejável antes que ele afete seu aplicativo da Web, preservando a capacidade do servidor para usuários reais.

4. Existem requisitos de conformidade que eu preciso aderir?

‍Depending Em seu setor e tipo de aplicação, sua aplicação pode precisar estar em conformidade com os regulamentos do setor. Se o seu site processar pagamentos com cartão de crédito, provavelmente deve ser compatível com PCI. Sua empresa pode precisar aderir à conformidade SOC 2 devido à natureza sensível dos dados que seu aplicativo usa e retém. Muitos desses regulamentos exigem o uso de um WAAP.

Mesmo quando nenhuma regulamentação do setor é aplicável, você pode considerar seguir as melhores práticas e diretrizes do setor. Você pode usar o Centro de Controles de Segurança da Internet ou o AWS Well-Architected Framework. Ambos recomendam o uso de um WAAP porque ele pode inspecionar e filtrar o tráfego mal-intencionado da Web.

5. Qual é o meu processo de atualização/desativação do aplicativo?

‍Applications Construído em pilhas de tecnologia mais antigas deve ser atualizado ou desativado. Muitas empresas não podem mais corrigir código de aplicativo antigo se a pilha de tecnologia não for mantida. Equilibrar a segurança com as necessidades comerciais pode exigir uma solução provisória. Executar uma VARREDURA ABRANGENTE DO DAST e um WAAP cuidadosamente ajustado com regras personalizadas apropriadas quando necessário permite que você execute com segurança aplicativos da Web até que eles sejam atualizados ou desativados.

‍Have Mais perguntas?

‍Securing Seus aplicativos da Web são uma tarefa importante que requer balanceamento de segurança, engenharia e interesses comerciais. Às vezes, esses interesses entram em conflito, tornando difícil para os desenvolvedores tomarem medidas.

Um WAAP pode ajudar a fechar essa lacuna, enquanto a equipe prioriza ameaças e implementa correções em seu pipeline de CI/CD. Nosso poderoso e econômico WAAP Insights reduziu a barreira à adoção do WAAP.

Entre em contato conosco para obter todas as suas perguntas sobre como proteger sua segurança na web e nosso WAAP Insights respondidas.