É cada vez mais comum vermos que as empresas estão direcionando suas soluções para aplicações web, digitalizando os negócios e comprovando aquilo que deixou de ser uma tendência para se tornar uma exigência do mercado.
Trata-se de um grande salto para que todos possam ter acesso a serviços e produtos que muitas vezes seriam dificilmente encontrados fora da internet. No entanto, temos que lembrar que nossas aplicações estarão expostas, e desta forma, suscetíveis a acessos prejudiciais.
Você pode ouvir a versão em áudio deste artigo:
É comum vermos falhas em aplicações web que seriam facilmente corrigidas em um processo de desenvolvimento estruturado e se tivessem levado o pensamento em segurança corretamente implementado desde o início.
E é um exemplo disso que vamos colocar aqui neste texto.
Um exemplo de falha em appsec: quebra de autenticação
No mês de março, foi divulgado que uma empresa de soluções de pagamentos automáticos teve cerca de 1.6 milhão de dados vazados e oferecidos em fóruns de vendas de dados, o que pode ter rendido ao criminoso aproximadamente 2 milhões, que poderiam inclusive serem pagos por meio de moedas digitais, como o Bitcoin.
Aparentemente a falha usada para acesso aos dados está relacionada com a quebra de autenticação, falha esta que foi descrita no relatório de vulnerabilidades da OWASP, OWASP TOP 10.
A falha de Quebra de Autenticação é uma falha no processo de autenticação do usuário, que, quando vulnerável, permite que usuários sem os devidos privilégios tenham acesso a dados que normalmente não deveriam ter.
Com esta vulnerabilidade explorada, foi possível ao atacante ter acesso a dados que deveriam ser mantidos em sigilo por se tratar de dados sensíveis e consequentemente, de muito valor aos criminosos.
Segundo informações, a empresa afirma que este seria um comportamento normal visto que o acesso para estas consultas se dariam por meio de uma API – interface que permite a comunicação e obtenção de dados – disponibilizada publicamente para seus parceiros terem acesso.
No entanto, a continuidade do comunicado reforça que houve sim uma falha no processo de autenticação da API e garantir a segurança destes componentes é de extrema importância, pois é confirmado que, para ter acesso aos dados, o parceiro precisa estar autenticado.
A questão é que falhas deste tipo seriam facilmente identificadas em processos de desenvolvimento seguro, com validações de segurança devidamente estruturado no pipeline do processo.
Possível Correção
O processo de autenticação deve ser fortemente baseado em um política de controle de acesso e é recomendação básica que antes deste componente da solução ser implementado, a equipe de desenvolvimento deve avaliar todos os controles que deverão ser feitos.
É recomendado que ao construir esta política seja criado uma matriz que indica como estes controles serão implementados e a quem será dado o acesso.
Imaginando que o processo já tenha sido criado e implementado na aplicação, testes e validações durante o processo de desenvolvimento poderiam identificar falhas, que usando um processo de gestão de vulnerabilidades estruturado, o que facilitaria o pŕocesso de correção da falha.
Muito além dos pontos de validação de códigos, há outros pontos que ajudariam neste problema. A realização de Modelagens de Ameaças ou mesmo a presença de Security Champions em seu time, por exemplo
Todos estes pontos são importantes e a constante capacitação do time de desenvolvimento é um dos pontos principais que devem ser observados por qualquer empresa.
Mas se esquecermos de todo aspecto técnico e nos focarmos só no aspecto legal, fica claro que o impacto financeiro à empresa seria extremamente alto.
A LGPD
No Brasil, já há legislação a respeito da exposição de dados, que possibilita até mesmo processos por danos morais.
Mas, em agosto de 2020 entra em vigor a Legislação que tratará diretamente de dados e privacidade. A Lei Geral de Proteção de Dados – LGPD, trará uma série de novos pontos que devem ser observados pelas empresas, sendo um destes pontos o que determina o valor de 52 milhões de reais ou 2% do faturamento para casos de vazamento de dados.
Tendo isso como um cenário bem próximo, acreditamos que é bem mais prático, barato e eficiente o investimento em Application Security, usando plataformas e conhecimento específico para ajudar as empresas neste processo.
Esperamos que este texto possa abrir os olhos de muitos gestores que ainda acreditam que segurança em aplicações web é apenas a execução de testes de intrusão de forma simples e esporádica.
SAIBA MAIS SOBRE NOSSOS SERVIÇOS
A segurança como atividade contínua
Já abordamos neste artigo o impacto que a negligência à segurança de aplicação, ou mesmo a má gestão da mesma podem acarretar para empresas. E foi justamente por conhecer os principais desafios em Segurança de Aplicações que a Conviso criou o Conviso Platform, uma plataforma que suporta todo o ciclo de segurança em desenvolvimento de software e gestão de vulnerabilidades.
Com isso, a segurança deixa de ser gargalo e se torna uma atividade contínua, integrada à todo o ciclo de vida de desenvolvimento de software, com as análises certas rodando no momento certo, dentro das melhores práticas e, acima de tudo, sem reduzir a velocidade do andamento da empresa.
Leia nossos artigos sobre a Conviso Platform
