Um número impressionante de aplicativos reside na nuvem sem qualquer proteção. Nenhum firewall de aplicativo web. Sem controle de identidade ou acesso. Nada. Eles estão lá fora, abertos a ataques.
Isso é um pesadelo para os negócios e um sonho tornado realidade para os invasores.
Também não é sensato, dada a crescente atenção dada aos aplicativos como alvos. Seja para encontrar um caminho para fontes ricas de dados ou para alavancar o aplicativo como um ponto de distribuição para outros propósitos nefastos, os ataques a aplicativos estão aumentando.
De fato, se examinarmos as principais violações, descobriremos que 30% envolveram ataques a aplicativos da web. Um significativo percentual de 62% relatou invasão para explorar uma vulnerabilidade. E impressionantes 77% foram realizados por botnets – não por indivíduos.
O que significa que você precisa proteger seus aplicativos de bots e vulnerabilidades para não se tornar apenas mais uma estatística.
E quando digo seus aplicativos, quero dizer todos os seus aplicativos. Todos os aplicativos são essenciais quando se trata de segurança , mesmo na nuvem. Talvez ainda mais na nuvem, onde os aplicativos podem ser implantados sem nem mesmo as proteções rudimentares oferecidas por um firewall de rede.
Mas não podemos (e não devemos) ignorar que a complexidade – especialmente das soluções de segurança – pode às vezes atrapalhar a proteção de aplicativos na nuvem. Pouco mais de um terço (34%) dos entrevistados em nossa pesquisa State of Application Delivery 2018 nos disseram que “a crescente complexidade das soluções de segurança” era um dos principais desafios de segurança para o próximo ano.
A segurança pode ser difícil. Mas não precisa ser assim; especialmente na nuvem.
Para quem não sabe, a AWS fornece uma plataforma muito boa não apenas para você implantar seus aplicativos, mas também para que os fornecedores adicionem funcionalidades a eles. No espaço de segurança, seu firewall de aplicativo web nativo fornece regras gerenciadas por terceiros para aumentar sua funcionalidade. Isso significa que você pode se proteger contra as ameaças por trás das principais violações sem precisar aprender todos os detalhes de um firewall de aplicativo web. Se você está apenas começando, o AWS WAF Managed Rules é um bom lugar para começar a se aprofundar na segurança de aplicativos web e se proteger contra as ameaças mais comuns que assolam os aplicativos (e os negócios) atualmente.
As Regras Gerenciadas do AWS WAF são exatamente isso – regras de segurança de aplicativos da web que estendem a funcionalidade do AWS WAF e fornecem proteção para qualquer aplicativo. Elas são gerenciadas, o que significa que especialistas em segurança as mantêm e atualizam para que você possa ter certeza de que elas estão sempre atualizadas e se defendendo contra as ameaças mais recentes. É segurança como serviço, na nuvem, para qualquer aplicativo.
Para proteger seus aplicativos contra três das ameaças mais comuns – bots, vulnerabilidades conhecidas e hackers – há três regras diferentes que você precisa considerar implementar agora mesmo. Pense com cuidado, porém, porque você só pode escolher uma (ou seja, 1) regra gerenciada por vez.
O OWASP Top Ten é bem conhecido por desenvolvedores, DevOps e profissionais de segurança. Você conhece muitos dos seus nomes: SQLi, XSS, injeção de comando, injeção No-SQLi, travessia de caminho e recurso previsível. Estas são as dez vulnerabilidades mais comuns que acabam dando dores de cabeça às organizações (e às vezes manchetes indesejadas) quando são exploradas. E muitas vezes isso acontece, principalmente quando encontrados em aplicativos que se comunicam com fontes de dados que contêm dados importantes de consumidores ou corporativos.
O ideal é que os desenvolvedores abordem esses problemas no código quando forem descobertos. Sendo realistas, sabemos que isso leva meses para acontecer (se é que acontece). É por isso que um firewall de aplicativo da web que pode lidar com essas vulnerabilidades comuns é tão valioso – porque oferece proteção instantânea contra exploração. Seja como uma solução permanente ou uma medida paliativa, faz sentido empregar um conjunto de regras que inclua o OWASP Top Ten.
A importância da proteção contra CVEs conhecidos não pode ser exagerada.
Em 2015, a Kenna Security relatou uma pesquisa conduzida em uma amostra de 50.000 organizações com 250 milhões de vulnerabilidades e mais de um bilhão (BILHÃO) de eventos de violação e encontrou dois pontos muito interessantes com relação à correção de vulnerabilidades:
Em outras palavras, a maioria das organizações provavelmente terá um CVE explorado antes de ter a chance de remediá-lo. Se você não estava prestando atenção, uma série de violações de *muito* alto perfil foram rastreadas até CVEs. Tipo, super mega uber alto perfil. Considere algumas das plataformas e bibliotecas com CVEs: Apache, Apache Struts, Bash, Elasticsearch, IIS, JBoss, JSP, Java, Joomla, MySQL, Node.js, PHP, PHPMyAdmin, Perl, Ruby On Rails e WordPress. Isso abrange a maioria dos aplicativos na Internet atualmente.
Então você definitivamente quer empregar regras que possam virtualmente proteger seu aplicativo contra a exploração de CVEs assim que eles forem divulgados. Você ainda deve corrigi-los na fonte (geralmente na plataforma ou biblioteca de terceiros), mas, enquanto isso, seu aplicativo estará protegido contra uma violação.
Essa lacuna de correção – e a escassez de experiência em segurança – é o que torna as regras gerenciadas na nuvem uma ideia tão boa. Especialistas os mantêm e garantem que eles estejam atualizados e sejam capazes de proteger aplicativos contra explorações, tudo o que você precisa fazer é implantá-los.
Mais da metade de todos os visitantes de aplicativos hoje em dia são bots. E não os bons robôs spider que rastreiam seu site para indexá-lo e disponibilizá-lo por meio de mecanismos de busca. Estamos falando do tipo de bot Decepticon, que está procurando vulnerabilidades, espalhando SPAM em suas comunidades, raspando seu site ou participando de um esquema DDOS baseado em botnet.
A defesa contra bots não é fácil. Os captchas estão constantemente tentando novos métodos de identificar e bloquear bots, mas, assim como a gripe sazonal, essas criaturas irritantes continuam se adaptando e contornando as defesas.
Ainda assim, bots maliciosos exibem comportamentos que podem ser detectados e identificados como indesejados. As regras de defesa contra bots conseguem monitorar comportamentos e atividades que sinalizam más intenções e bloqueá-los de interagir com seu aplicativo. Vimos um aumento na porcentagem de organizações que aproveitam os serviços de defesa contra bots nos últimos dois trimestres e esperamos que isso continue, dado o estado das coisas.
A implantação de uma regra de proteção de bots para aplicativos na nuvem pode fornecer cobertura aérea que impede a exploração de CVE antes que ela aconteça.
É importante observar que alguns aplicativos precisarão de proteção contra todas as três ameaças. Outros ainda precisarão de proteção contra mais do que apenas bots, CVEs e o OWASP Top Ten. Alguns precisarão de limpeza de dados e prevenção de vazamentos, além de defesas mais específicas para aplicativos. A validação de esquema é um bom exemplo, especialmente ao aceitar dados de fontes desconhecidas. L7 (camada de aplicação) DDoS é outro. A aplicação de protocolos também é inestimável na proteção contra vulnerabilidades baseadas em TCP ou HTTP. Se você precisar de mais de uma (1) regra ou proteções adicionais, você vai querer explorar um WAF avançado com todos os recursos. E à medida que seu aplicativo cresce em recursos e clientes, você também vai querer ficar atento ao aumento de suas proteções para ele.
De qualquer forma, regras gerenciadas são uma ótima maneira de começar a proteger aplicativos na nuvem. Eles fornecem uma base sólida para a segurança de aplicativos da web sem exigir que você se torne um especialista em segurança.
Junte-se à AWS e à F5 para saber como o F5 WAF pode ajudar você a proteger seus dados, atender às regulamentações de conformidade e estabelecer proteção contínua para suas cargas de trabalho na nuvem.
Participe do webinar para saber mais:
Data e hora do webinar:
Quarta-feira, 25 de abril de 2018 | 10:00 a.m. PT