Três coisas que a segurança de aplicativos não é
A segurança de aplicativos é muitas coisas, mas às vezes precisamos parar e considerar o que ela não é, principalmente porque o volume e a frequência de aplicativos desenvolvidos e implantados para atender à demanda insaciável continuam a aumentar.
1. Não é uma prioridade alta – mas deveria ser
Impressionantes 44% dos entrevistados em uma pesquisa patrocinada pela Arxan e pela IBM sobre a segurança da IoT e de aplicativos móveis admitiram que não estão fazendo nada para evitar um ataque. Para que você não descarte essas respostas como relacionadas a um pequeno subconjunto do seu portfólio de aplicativos, vamos considerar o relatório anual seminal da WhiteHat Security sobre estatísticas de segurança da web, que descobriu que "cerca de um terço dos aplicativos de seguros, cerca de 40% dos aplicativos de serviços bancários e financeiros, cerca de metade dos aplicativos de saúde e varejo e mais da metade dos aplicativos de manufatura, alimentos e bebidas e TI são sempre vulneráveis".
“Sempre vulnerável” no vernáculo da WhiteHat Security é definido como “vulnerável em todos os dias do ano”.
Além disso, o mesmo relatório descobriu que “o tempo médio para consertar varia de acordo com o setor, de aproximadamente 100 dias a 245 dias”. Para varejo e saúde, são cerca de 200 dias. Tecnologia e TI estão ainda mais atrasadas, com um tempo médio de 250 dias para corrigir uma vulnerabilidade.
É essa primeira abordagem laissez-faire à segurança que torna a última tão difícil de engolir. Se a segurança do aplicativo não estiver no topo da lista de prioridades, é uma aposta certa que uma porcentagem significativa de aplicativos (ou APIs que fornecem dados para aplicativos) são vulneráveis.
2. Não é só sobre o aplicativo
Existe um equívoco de que a segurança do aplicativo diz respeito apenas ao aplicativo. Se um aplicativo fosse uma entidade autônoma, talvez isso fosse verdade. Mas os aplicativos são implantados em plataformas, dependem de scripts e APIs de terceiros e se integram a sistemas responsáveis pelo gerenciamento de dados. Isso significa que a segurança do aplicativo é uma pilha que requer atenção cuidadosa a todos os componentes, não apenas ao aplicativo em si. O OWASP Top Ten é um bom ponto de partida para aplicativos, mas não podemos ignorar que vulnerabilidades em nível de protocolo (TCP, HTTP e TLS) em plataformas têm sido uma fonte significativa de problemas na última década.
E não vamos ignorar a relação entre ataques volumétricos de rede e ataques mais insidiosos de sistema e camada de aplicativo. Dark Reading observou essa correlação em um artigo recente:
Quase metade das organizações afetadas afirmam que seus ataques DDoS coincidiram com alguma forma de violação ou atividade maliciosa em suas redes, incluindo roubo de dados e ransomware. Por exemplo, 47% relatam ter descoberto atividade de vírus em sua rede após um ataque DDoS, 43% citam malware como ativado e 32% relatam roubo de dados de clientes.
A segurança do aplicativo requer atenção a toda a arquitetura do aplicativo, o que inclui a rede, os dados e os serviços que dimensionam e protegem o aplicativo.
3. Não é problema de outra pessoa
Com 1 em cada 5 organizações planejando hospedar mais de 50% de seus aplicativos na nuvem, de acordo com nossa pesquisa State of Application Delivery de 2017, proteger aplicativos se torna mais desafiador. Enviar um aplicativo para “a nuvem” pode redistribuir a responsabilidade por uma parte da carga de segurança, principalmente a dos componentes de rede e de nível de sistema. Mas o aplicativo, suas plataformas, scripts e recursos externos dos quais o aplicativo depende ainda são de sua responsabilidade. Garantir o mesmo nível de segurança na nuvem que o presente no local pode ser desafiador, principalmente ao misturar e combinar serviços de nuvem nativos que não são compatíveis no nível de política com aqueles no local.
Mas é um desafio que precisa ser enfrentado, seja garantindo a consistência dos serviços que aplicam essas políticas no local e na nuvem, seja transferindo as tarefas de segurança do aplicativo para uma oferta baseada em serviço que possa oferecer consistência para ambos ao mesmo tempo, ou elaborando cuidadosamente políticas equivalentes para serviços nativos da nuvem.
Seja qual for o caminho que você escolher, a responsabilidade continua sendo sua.
O impacto das violações em termos de reputação da marca, confiança do consumidor e o potencial de exploração futura (no caso de credenciais roubadas) torna a segurança dos aplicativos mais importante do que nunca. Deixar para a última hora ou presumir que outra pessoa cuidará disso é uma receita para o desastre. Reconhecer sua importância e dar maior prioridade aos testes e correções, aproveitando ao mesmo tempo as opções arquitetônicas oferecidas pela nuvem e pelos serviços de suporte à nuvem, contribuirá muito para reduzir seus riscos.
A segurança do aplicativo não é opcional.