O presente e o futuro da proteção de aplicativos

No mundo atual centrado em aplicativos, realmente existe um aplicativo para tudo. As organizações oferecem aplicativos com acesso a dados para funcionários e consumidores para gerar maior produtividade, atender às demandas comerciais e, finalmente, obter uma vantagem competitiva. Mas, à medida que as organizações entregam cada vez mais dados confidenciais por meio de aplicativos, elas também estão introduzindo riscos cada vez maiores. Isso ocorre porque os usuários de hoje estão em todos os lugares — frequentemente fora da rede corporativa — e os aplicativos dos quais eles dependem podem estar em qualquer lugar, desde data centers privados até a nuvem pública. O resultado é menos visibilidade e controle para a organização. Não é nenhuma surpresa que os cibercriminosos estejam tirando vantagem dessa exposição visando esses aplicativos, que existem em grande parte fora da esfera de proteções de segurança tradicionais, como firewalls, software antivírus e criptografia TLS/SSL.

Seja um ataque volumétrico de negação de serviço (DoS), malware baseado em navegador ou uma ameaça persistente avançada, os ataques de aplicativos de hoje são realmente estratégias para obter ou comprometer dados corporativos. À medida que mais e mais dados são tráfego criptografado, a maioria das ferramentas de segurança atuais está funcionando às cegas, incapazes de descriptografar esses dados para garantir que não sejam maliciosos.

Tradicionalmente, a abordagem à segurança de aplicativos tem se concentrado no ciclo de vida de desenvolvimento de software (SDLC), tentando garantir que os desenvolvedores sigam as melhores práticas para codificação segura. Embora o código seguro ainda seja uma peça central do quebra-cabeça geral de segurança, ele não é o quadro completo. O antigo perímetro de segurança continua a se dissolver à medida que mais endpoints e redes ficam fora das áreas de cobertura de redes corporativas convencionais, enquanto os riscos para aplicativos e dados corporativos confidenciais continuam a evoluir.

Medidas de segurança devem ser aprimoradas para garantir que os aplicativos estejam protegidos em todos os lugares. A grande maioria dos ataques hoje tem como alvo o nível do aplicativo, mas as empresas não estão fazendo investimentos de segurança correspondentes nesse nível. É hora de as organizações se conformarem com uma nova realidade: A segurança precisa ser mais focada no nível do aplicativo.

Olhar para a segurança de aplicativos a partir dessa perspectiva baseada em risco permite que as organizações se concentrem em falhas de componentes e ajuda a fornecer a segurança mais robusta para os dados que são o alvo final da maioria dos ataques. Ao analisar todos os componentes que compõem um aplicativo, as organizações podem desenvolver uma estratégia que ofereça a segurança mais forte e apropriada para o aplicativo como um todo. Porque comprometer um componente de um aplicativo ou da rede que o fornece — seja uma vulnerabilidade de código, disponibilidade de rede ou DNS — coloca em risco todo o aplicativo, bem como os dados que ele armazena.

É vital que as organizações implantem o conjunto mais forte possível de controles de segurança de aplicativos para reduzir o risco de dados confidenciais serem comprometidos por um ataque no nível do aplicativo. Os principais componentes de uma postura de segurança proativa e de defesa em profundidade para o perímetro do aplicativo incluem testes de segurança do aplicativo, serviços de firewall, controles de acesso e proteção específica contra vários tipos de ameaças.

A segurança do software ainda é a base de uma estratégia geral de proteção de aplicativos. As organizações devem garantir que novos sites e softwares sejam codificados com segurança, mas também devem abordar as inúmeras vulnerabilidades já presentes em sites existentes que foram criados sem um ciclo de vida de desenvolvimento de software seguro. É importante lembrar que encontrar e corrigir vulnerabilidades não é um exercício acadêmico; trata-se de manter um invasor consciente fora dos sistemas corporativos e longe dos dados que esses sistemas protegem. Mas sem uma imagem clara dos adversários e suas táticas, os profissionais de segurança terão dificuldade em desenvolver estratégias eficazes para derrotá-los. No futuro, será fundamental que mais pessoas que trabalham na comunidade de segurança entendam melhor o software e a segurança de software.

Os scanners de vulnerabilidade ajudam a identificar e mitigar problemas de software, sejam eles encontrados antes ou depois que novos sites e aplicativos da web sejam lançados online. No entanto, as organizações podem obter a melhor proteção integrando um scanner de vulnerabilidades robusto com um firewall de aplicativo web proxy completo.

Hoje, um firewall de aplicativo da web robusto e ágil não é um luxo, é uma necessidade. O crescimento de aplicativos web hospedados na nuvem tem sido acompanhado por ataques de segurança cada vez mais sofisticados e riscos que ameaçam os dados corporativos.

Um firewall de aplicativo web híbrido pode ajudar as empresas a se defenderem contra as 10 principais ameaças do OWASP, vulnerabilidades de aplicativos e ataques de dia zero, não importa onde os aplicativos estejam localizados. Fortes defesas contra negação de serviço distribuída (DDoS) de camada 7, técnicas de detecção e mitigação, aplicação de patches virtuais e visibilidade granular de ataques podem frustrar até mesmo as ameaças mais sofisticadas antes que elas cheguem aos servidores de rede. Além disso, ter a capacidade de detectar e bloquear invasores antes que eles acessem um data center corporativo oferece uma grande vantagem. Um firewall de aplicativo da Web poderoso que pode interromper atividades maliciosas no estágio inicial de um possível ataque permite que as organizações reduzam significativamente os riscos e aumentem a eficiência do data center, eliminando os recursos gastos no processamento de tráfego indesejado.

As empresas devem procurar um firewall de aplicativo da web que:

• Fornece uma defesa proativa contra redes de ataque automatizadas.
• Integra-se com os principais scanners de teste de segurança de aplicativos dinâmicos (DAST) para correção imediata de vulnerabilidades.
• Identifica eventos suspeitos correlacionando atividades maliciosas com violações.
• Fornece relatórios fáceis de ler para ajudar a otimizar a conformidade com os principais padrões regulatórios, como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), HIPAA e Sarbanes-Oxley.

Hoje em dia, o SSL está em todo lugar. Analistas preveem que o tráfego criptografado aumentará para quase 64% de todo o tráfego online da América do Norte em 2016, ante apenas 29% em 2015.¹ As organizações estão se esforçando para criptografar a maior parte do tráfego, incluindo tudo, desde e-mails e mídias sociais até streaming de vídeo. O nível de segurança fornecido pelo SSL é atraente, mas, ao mesmo tempo, ele se tornou um vetor de vulnerabilidade, pois os invasores usam o SSL como uma forma de ocultar malware de dispositivos de segurança que não conseguem ver o tráfego criptografado.

As soluções de segurança corporativa devem obter visibilidade desse tráfego criptografado para garantir que ele não esteja trazendo malware para a rede. Uma maneira de combater essas ameaças criptografadas é implantar uma solução de “air gap” SSL, que consiste em colocar um Application Delivery Controller (ADC) em cada lado da cadeia de visibilidade. O ADC mais próximo dos usuários descriptografa o tráfego de saída e envia as comunicações descriptografadas por meio dos dispositivos de segurança. Esses dispositivos, que agora podem ver o conteúdo, aplicam políticas e controles, detectando e neutralizando malware. Na outra ponta da cadeia, outro ADC criptografa novamente o tráfego conforme ele sai do data center. Esta solução oferece a flexibilidade de manter os dispositivos de segurança alinhados, garantindo ao mesmo tempo que eles possam desempenhar a função para a qual foram criados.

Hoje em dia, a maioria dos aplicativos é baseada na Internet, então um ataque DDoS volumétrico pode paralisar — ou até mesmo derrubar — um aplicativo. Os ataques DDoS estão aumentando em escala e complexidade, ameaçando sobrecarregar os recursos internos de empresas ao redor do mundo. Esses ataques combinam obstrução de tráfego de alto volume com técnicas furtivas direcionadas a aplicativos, tudo com a intenção de interromper o serviço para usuários legítimos.

As organizações devem garantir que tenham uma estratégia robusta de proteção contra DDoS para garantir a disponibilidade de seus aplicativos críticos. Considere soluções que ofereçam proteção abrangente e multicamadas de L3 a L7 e possam impedir ataques DDoS na nuvem antes que eles atinjam a rede e o data center.

Embora não faça parte da visão tradicional de codificação segura da segurança de aplicativos, a estratégia de DNS de uma empresa desempenha um papel importante na segurança e disponibilidade de seus aplicativos. O DNS é a espinha dorsal da Internet, bem como um dos pontos mais vulneráveis na rede de uma organização. As organizações precisam se proteger contra uma variedade cada vez maior de ataques de DNS, incluindo inundações de consultas de amplificação de DNS, ataques de dicionário e envenenamento de DNS.

Uma empresa pode garantir que clientes — e funcionários — possam acessar serviços essenciais da Web, aplicativos e bancos de dados sempre que precisarem com uma solução que gerencia o tráfego global de forma inteligente, atenua ameaças complexas bloqueando o acesso a domínios de IP maliciosos e se integra perfeitamente com fornecedores terceirizados para implementação, gerenciamento centralizado e manuseio seguro de chaves DNSSEC. Algumas soluções oferecem DNS de alto desempenho, que pode ser dimensionado rapidamente para absorver melhor ataques DDoS.

Cinquenta anos atrás, se você quisesse roubar um banco, você tinha que ir até o banco. Agora, você pode roubar um banco a 8.000 quilômetros de distância. A natureza global da Internet significa que tudo está equidistante do adversário, e as instituições financeiras são alguns dos alvos de maior valor na Internet. Para combater efetivamente os perigos da fraude, as organizações que oferecem serviços financeiros pela Internet devem defender seus negócios com uma combinação de tecnologias de segurança.

Considere uma solução que ajude a proteger contra uma gama completa de vetores de ameaças de fraude, impedindo que invasores falsifiquem, desabilitem ou ignorem as verificações de segurança. Dessa forma, as organizações podem reduzir o risco de perdas financeiras e de propriedade intelectual e se sentir seguras com proteção proativa contra ameaças emergentes da web e fraudes.

Algumas das violações de segurança mais recentes e prejudiciais ocorreram devido ao comprometimento de credenciais de usuários e administradores. Essas violações podem ter sido evitadas autenticando e autorizando as pessoas certas para as informações corretas e garantindo conectividade segura aos aplicativos com tecnologias de autenticação multifator e logon único. Além disso, os controles de identidade e acesso centralizados pela empresa podem fornecer autenticação segura entre a rede corporativa e aplicativos baseados na nuvem ou como Software como Serviço (SaaS).

A proteção de aplicativos é repleta de complexidade e, com o crescimento exponencial da Internet das Coisas e dos aplicativos que a acompanham, os problemas só aumentam. Em 2010, havia 200 milhões de aplicativos da web; hoje, há quase um bilhão.² Em 2020, isso poderia facilmente ser cinco bilhões. Todos esses aplicativos são vetores de vulnerabilidade e muitos deles contêm dados críticos que podem ser alvo de invasores.

Ao aprimorar os portfólios de segurança existentes com soluções e serviços focados no nível do aplicativo, as organizações podem proteger melhor os aplicativos que podem expor seus dados confidenciais. Garantir que os aplicativos estejam protegidos, não importa onde estejam, é fundamental — e os riscos são altos.

É hora de ampliar a visão da segurança de aplicativos para que as organizações estejam em melhor posição para proteger efetivamente todos os componentes que compõem seus aplicativos críticos, salvaguardar seus dados e proteger seus negócios.

¹ Sandvine, Destaque dos fenômenos globais da Internet: Criptografia de tráfego da Internet, 2015 .

² Estatísticas ao vivo da Internet