Não existe aplicativo não crítico quando se trata de segurança

Na Batalha das Termópilas , segundo a história, Leônidas e seu bando de trezentos espartanos foram derrotados não por causa do esperado ataque frontal. Não, foi porque os persas se esgueiraram e os flanquearam graças a um estreito caminho de cabras que lhes deu uma posição segura atrás da linha espartana que defendia os Portões Quentes*.

Talvez tenha sido um erro estratégico não proteger a rota de ataque menos óbvia, uma trilha de cabras. A visão retrospectiva é 20/20 e, com ela, podemos ver que não proteger todos os pontos de entrada em potencial pode ser devastador.

Então aprendemos com a história ou estamos condenados a repeti-la?

Com base nos resultados da nossa pesquisa State of Application Delivery 2018, estamos tentando o nosso melhor para repeti-la.

O que este gráfico mostra é que 2% das organizações estão usando um WAF para proteger... nada. Nenhum de seus aplicativos é protegido pela tecnologia. Por outro lado, 13% das organizações estão protegendo todos os seus aplicativos (100%) com um WAF.

Em algum lugar no meio está a maior parte das organizações, com 34% protegendo um quarto ou menos (1-24%) de seus aplicativos. Esses aplicativos provavelmente são semelhantes ao Hot Gates. Eles são os mais visíveis, aqueles que você promove e anuncia. Eles são os que veem mais tráfego e são, logicamente, a rota mais provável de ataque.

O resto são caminhos de cabras. Trilhas estreitas e cobertas de vegetação que levam ao data center, raramente usadas e com menor probabilidade de sofrer ataques. Ou assim você espera.

Como indústria, tendemos a falar em termos de aplicações “críticas”. Esses são os aplicativos que as empresas precisam para operar a cada minuto de cada dia. Esse é o seu CRM, seu SFA, sua loja online, as APIs que seus parceiros usam para lhe enviar negócios. São sobre esses que falamos com reverência. Você precisa protegê-los de ataques, dimensioná-los para atender à demanda e melhorar seu desempenho para que até mesmo os consumidores mais exigentes fiquem encantados com sua atenção à experiência do usuário.

Temos tendência a ignorar as aplicações “não críticas”. Às vezes, até os colocamos em uma nuvem pública em algum lugar, sem nos importarmos em configurar os pontos de verificação de segurança necessários para manter os dados e as credenciais seguros.

Hoje estou dizendo que, assim como aquele caminho de cabras que acabou se tornando um ponto de entrada tão crítico para as defesas dos Spartans, o mesmo ocorre com todas essas "outras" aplicações. Se eles se conectam à Internet – e em virtude de se conectarem a uma rede, provavelmente o fazem – eles são um ponto de entrada potencial para invasores. Se eles aproveitam as mesmas plataformas e protocolos que seus aplicativos "críticos" — e provavelmente o fazem — eles são um risco para todos os aplicativos porque compartilham as mesmas vulnerabilidades.

Basta um caminho estreito na rede por meio de qualquer aplicativo para colocar toda a organização (o negócio) em risco. Conseguir uma posição em um aplicativo ou servidor abre uma infinidade de caminhos para os invasores explorarem. De credenciais a conexões, um único ponto de ataque dentro do data center (seja na nuvem pública ou no local) é uma ameaça maior do que gostaríamos de considerar.

Não há razão para ignorar aplicações "não críticas" quando se trata de segurança e, de fato, há centenas, talvez milhares, de boas razões para prestar atenção a elas e fornecer a proteção oferecida por um WAF. Credenciais dos funcionários. Dados pessoais. Rotas para outros aplicativos e serviços mais interessantes.

Não existe aplicativo que não seja crítico quando se trata de segurança.

Não ignore os caminhos das cabras em favor dos Portões Quentes.

*Sim, os persas provavelmente teriam vencido de qualquer maneira, mas agora nunca saberemos, certo?