Dando sequência à série de publicações sobre o framework OWASP SAMM (Software Assurance Maturity Model), neste artigo iremos abordar a prática de Gestão de Incidentes em Segurança de Aplicações, dentro do domínio de Operações.
Imagine um cenário, onde tivemos um incidente de segurança com uma de nossas aplicações e agora precisamos entender o que devemos fazer. Primeiro vamos entender o que é um incidente de Segurança.
Incidentes em segurança de aplicações: o que é?
Em suma, um incidente de segurança se refere a qualquer acesso, divulgação, modificação ou destruição não autorizado, ou suspeito de dados da sua aplicação. De fato, quando há um comprometimento de segurança de sua aplicação, então, neste momento temos um incidente de Segurança.
Nesse sentido, precisamos ter um caminho e um conjunto de responsabilidades claramente definidas para as quais a equipe vai atuar ou quem será chamado para lidar com a situação. Lembrando que como o próprio OWASP SAMM menciona:
“Muitos incidentes de segurança foram detectados meses, ou mesmo anos, após a violação inicial. Durante o ‘tempo de espera’ antes que um incidente seja detectado, danos significativos podem ocorrer, aumentando a dificuldade de recuperação. Nosso primeiro fluxo de atividade, Detecção de Incidentes, concentra-se em diminuir esse tempo de permanência.”
Quanto antes soubermos quando o incidente aconteceu, mais rápida será nossa resposta e atuação nele.
Etapas em caso de incidentes em segurança de aplicações
Caso ocorra um incidente de segurança com sua aplicação, você pode seguir algumas etapas:
- Identifique a causa raiz do incidente, por exemplo, consultando logs, revisando o código, etc.
- Determine por quanto tempo o problema de segurança pode estar presente;
- Determine quais usuários de sua aplicação foram afetados e todas as informações que foram ou podem ter sido comprometidas;
- Confirme se algum dado do usuário final pode ter sido comprometido.
Ter em mente algumas perguntas também é muito importante:
- O incidente de segurança pode ter causado algum impacto nos dados do usuário final? Em caso afirmativo, esses usuários finais serão notificados conforme as leis aplicáveis ou acordos contratuais?
- Você tem um prazo previsto para esperar que o incidente seja resolvido?
- Qual é a categoria de incidente de segurança que ocorreu, vulnerabilidade, invasão, vazamento de dados?
- Quais ações corretivas foram tomadas para remover a causa raiz do incidente e evitar que incidentes semelhantes ocorram no futuro?
- Qual é o seu plano para se comunicar com os usuários finais sobre este incidente?
Isso é algo que já deve estar planejado, ter um plano de resposta a incidente e ter todos os passos para resolver o mais rápido possível, é fundamental!
Isso pode ser feito observando alguns passos:
- Identificar os pontos fracos da sua aplicação.
- Proteger o acesso a partes confidenciais da aplicação.
- Fortalecer os perímetros de segurança contra ataques futuros.
- Tentativas malsucedidas devem ser tratadas como incidentes, isso pode te preparar para ataques futuros.
Conclusão
A última fase é aprender com os incidentes ocorridos, lições a serem aprendidas: rever os logs do incidente para verificar possíveis pontos fracos em sua configuração, ajustar as regras do WAF e verificar ou introduzir novas políticas e, testar sempre as novas regras e ficar atento aos falsos positivos.
O ciclo de vida de resposta incidente deve ser trabalhado constantemente, a análise e detecção devem fluir após o incidente para se ter um valioso aprendizado e assim, continuar melhorando sua segurança de seus aplicativos e estar preparado para futuros incidentes.
