BLOG

Segurança do aplicativo: O elefante na sala nublada

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 01 de junho de 2015

elefante na nuvem

Certo, crianças. Está na hora de termos "aquela conversa". Você sabe qual é, aquela sobre a qual você anda cochichando com seus amigos, mas até então tinha medo de perguntar, porque é claro que todo mundo sabe e você não queria parecer, bem, nada legal, admitindo que não sabia de verdade .  

Só que não, ou pelo menos se o fazem, também não falam sobre isso. E já passou da hora de falarmos sobre tomar as precauções corretas ao usar a nuvem. Você sabe como proteger seus aplicativos na nuvem contra infecções e ataques.

Sim, hoje finalmente vamos falar sobre segurança de aplicativos na nuvem.

Não é criptografia. Não gerenciamento de identidade e acesso. E não segurança de rede.

 

Segurança de aplicativos .

Devido a todos os documentos, pesquisas, conselhos e discussões gerais sobre "segurança na nuvem" disponíveis na vasta Internet hoje, muito poucos* mencionam as palavras "segurança de aplicativos".  Posso encontrar pesquisas e estatísticas sobre o uso de criptografia, sobre quem deve (e não deve) proteger dados na nuvem e quem está usando que tipo de gerenciamento de identidade e acesso para bloquear o acesso a aplicativos em qualquer lugar. Mas sobre o tópico de segurança de aplicativos? Nada. Nada. Nada. Zero.

O que é realmente surpreendente (e perturbador), dado que os aplicativos da web são a segunda principal causa de incidentes de segurança para serviços financeiros, atrás apenas do crimeware de nome maligno, de acordo com o mais recente Relatório de Investigação de Violação de Dados da Verizon (DBIR) .  Também é surpreendente fazer uma pequena análise das 25 maiores violações deste século e descobrir que quase metade (44%) foi executada por meio de um aplicativo da web. Também é desanimador porque parece haver uma correlação entre uma postura de segurança decrescente e a migração de aplicativos para a nuvem .

A realidade é que a criptografia não é uma panaceia.

Deixe-me repetir isso, desta vez em letras maiúsculas para enfatizar o quão sério isso é: A CRIPTOGRAFIA NÃO É UMA PANACÉIA.

Nem a segurança da rede nem o gerenciamento de identidade e acesso.

Todas essas coisas são boas, mas individualmente são apenas uma parte de um esquema de proteção muito maior. Um esquema de proteção que deveria — mas muitas vezes não inclui — a segurança do aplicativo.

A segurança da rede não impedirá um ataque DDoS HTTP . O gerenciamento de identidade e acesso não impedirá a exploração de uma vulnerabilidade de plataforma web como Heartbleed ou Apache Killer .

A criptografia não vai impedir um SQLi. Criptografar códigos maliciosos apenas os esconde dos inúmeros serviços na rede projetados para encontrá-los.

O aplicativo é, por sua finalidade, um recurso público. Nós o divulgamos e esperamos — ou melhor, encorajamos, seduzimos, imploramos — que os consumidores interajam com ele. Para usá-lo. Para instalá-lo. Visitá-lo com frequência. Este é um mundo de aplicativos, e isso significa que os aplicativos são essenciais para todos os aspectos dos negócios, seja para o cliente, para os funcionários ou para a execução de sistemas internos. Hoje em dia, dependemos de aplicativos para quase tudo o que fazemos, mas quando mencionamos segurança, parece que nunca nos lembramos disso.

Já passou da hora de começarmos a prestar mais atenção à segurança dos aplicativos , e não apenas à segurança dos dados, da rede ou das comunicações criptografadas. Os dados são mais vulneráveis quando estão em processamento no aplicativo. Isso ocorre porque, naquele ponto, ele está em texto simples e está completamente sob o controle do aplicativo. O aplicativo pode exibi-lo, modificá-lo e entregá-lo a quem (ou cada vez mais a qualquer pessoa, dado o aumento de bots, spiders e malware) puder obtê-lo.

Isso significa que precisamos prestar mais atenção à proteção de aplicativos contra exploração e ataques. Da plataforma (o servidor web ou de aplicativo) aos protocolos (TCP e HTTP) e ao código propriamente dito. Precisamos escanear, limpar, descobrir e nos defender contra os inúmeros métodos usados por ataques para explorar toda a pilha de aplicativos.

Os ataques a aplicativos da Web dobraram em frequência, de menos de 20% em 2012 para 40% em 2013, de acordo com o F-Secure Labs, e a Neustar descobriu em 2014 que 55% dos alvos DDoS sofreram smokescreening (DDoS volumétrico como cobertura para os ataques reais na camada de aplicativo), com quase 50% tendo malware/vírus instalados e 26% perdendo dados de clientes.

Ataques a aplicativos são uma ameaça real e significativa, especialmente porque eles migram para a nuvem, onde menos opções de proteção podem estar disponíveis.

Os serviços nativos disponíveis na nuvem focados em segurança são todos sobre acesso e criptografia. Nenhuma delas é segurança de "camada de aplicativo" e nenhuma fornece a cobertura necessária para inspirar confiança na resistência a um ataque projetado para desabilitar, corromper ou exfiltrar dados explorando o próprio aplicativo. Isso significa que você precisa de outra solução; outro serviço projetado para proteger os aplicativos e os dados que eles são responsáveis por manipular na nuvem, assim como você faz no data center. Isso pode significar um WAF (firewall de aplicativo da web) habilitado para nuvem ou um WAF como serviço ou, no mínimo, uma aplicação completa das melhores práticas recomendadas pelo OWASP em cada aplicativo implantado na nuvem.

A segurança da nuvem pode ser vista como uma responsabilidade compartilhada, com o provedor e o cliente assumindo a tarefa de diferentes aspectos da proteção da "nuvem", mas a segurança do aplicativo é 110% responsabilidade de quem coloca o aplicativo na nuvem em primeiro lugar. Veja esta entrevista (via The Register ) com o chefe de programas de segurança global da AWS, Bill Murray (ênfase minha):

“A segurança na AWS é uma responsabilidade compartilhada entre a AWS e os clientes”, disse Murray em uma entrevista recente. Ele é responsável pela segurança da AWS, abrangendo a segurança física dos data centers da Amazon, além de lidar com mandados e intimações de autoridades policiais.

“Os clientes são responsáveis por proteger tudo, desde o sistema operacional convidado que eles executam na AWS até os aplicativos que eles estão executando”, ele disse ao El Reg . Somos responsáveis pelo sistema operacional host e pela VM e tudo, até o concreto do piso do data center.”

“Essa pergunta nos é feita com frequência: "O que te mantém acordado à noite?" O que nos tira o sono na segurança da AWS é o cliente não configurar seus aplicativos corretamente para se manter seguro”, disse Murray.

Esse é você, e isso significa que você precisa considerar cuidadosamente quais serviços e soluções está implantando para proteger esse aplicativo do que inevitavelmente parece ser o ataque que surgirá em seu caminho.

A segurança de aplicativos não é como um guarda-costas caro. Não é algo que só os aplicativos VIP têm. É mais como segurança pessoal, e é algo que todo aplicativo que se apresenta em público deveria ter. E isso é verdade quer esses aplicativos estejam no data center ou na nuvem.

* Eu digo "muito poucos", mas honestamente, não consegui encontrar nenhum. Talvez seja falha do meu Google, mas é mais provável que seja porque ninguém parece querer falar sobre isso.