Segurança de Aplicação

Operações segundo SAMM: Gestão de Incidentes em Segurança de Aplicações

Dando sequência à série de publicações sobre o framework OWASP SAMM (Software Assurance Maturity Model), neste artigo iremos abordar a prática de Gestão de Incidentes em Segurança de Aplicações, dentro do domínio de Operações.

Imagine um cenário, onde tivemos um incidente de segurança com uma de nossas aplicações e agora precisamos entender o que devemos fazer. Primeiro vamos entender o que é um incidente de Segurança.

Incidentes em segurança de aplicações: o que é?

Em suma, um incidente de segurança se refere a qualquer acesso, divulgação, modificação ou destruição não autorizado, ou suspeito de dados da sua aplicação. De fato, quando há um comprometimento de segurança de sua aplicação, então, neste momento temos um incidente de Segurança.

Nesse sentido, precisamos ter um caminho e um conjunto de responsabilidades claramente definidas para as quais a equipe vai atuar ou quem será chamado para lidar com a situação. Lembrando que como o próprio OWASP SAMM menciona:

“Muitos incidentes de segurança foram detectados meses, ou mesmo anos, após a violação inicial. Durante o ‘tempo de espera’ antes que um incidente seja detectado, danos significativos podem ocorrer, aumentando a dificuldade de recuperação. Nosso primeiro fluxo de atividade, Detecção de Incidentes, concentra-se em diminuir esse tempo de permanência.”

Quanto antes soubermos quando o incidente aconteceu, mais rápida será nossa resposta e atuação nele.

Etapas em caso de incidentes em segurança de aplicações

Caso ocorra um incidente de segurança com sua aplicação, você pode seguir algumas etapas:

  • Identifique a causa raiz do incidente, por exemplo, consultando logs, revisando o código, etc.
  • Determine por quanto tempo o problema de segurança pode estar presente;
  • Determine quais usuários de sua aplicação foram afetados e todas as informações que foram ou podem ter sido comprometidas;
  • Confirme se algum dado do usuário final pode ter sido comprometido.

Ter em mente algumas perguntas também é muito importante:

  • O incidente de segurança pode ter causado algum impacto nos dados do usuário final? Em caso afirmativo, esses usuários finais serão notificados conforme as leis aplicáveis ​​ou acordos contratuais?
  • Você tem um prazo previsto para esperar que o incidente seja resolvido?
  • Qual é a categoria de incidente de segurança que ocorreu, vulnerabilidade, invasão, vazamento de dados?
  • Quais ações corretivas foram tomadas para remover a causa raiz do incidente e evitar que incidentes semelhantes ocorram no futuro?
  • Qual é o seu plano para se comunicar com os usuários finais sobre este incidente?

Isso é algo que já deve estar planejado, ter um plano de resposta a incidente e ter todos os passos para resolver o mais rápido possível, é fundamental!

Isso pode ser feito observando alguns passos:

  • Identificar os pontos fracos da sua aplicação.
  • Proteger o acesso a partes confidenciais da aplicação.
  • Fortalecer os perímetros de segurança contra ataques futuros.
  • Tentativas malsucedidas devem ser tratadas como incidentes, isso pode te preparar para ataques futuros.

Conclusão

A última fase é aprender com os incidentes ocorridos, lições a serem aprendidas: rever os logs do incidente para verificar possíveis pontos fracos em sua configuração, ajustar as regras do WAF e verificar ou introduzir novas políticas e, testar sempre as novas regras e ficar atento aos falsos positivos.

O ciclo de vida de resposta incidente deve ser trabalhado constantemente, a análise e detecção devem fluir após o incidente para se ter um valioso aprendizado e assim, continuar melhorando sua segurança de seus aplicativos e estar preparado para futuros incidentes.

Nova call to action
About author

Articles

Experiência em Segurança da Informação focado em AppSec. Graduado em Defesa Cibernética e Pós em Segurança Ofensiva e Inteligência Cibernética. Experiência em Segurança Web, detecção, prevenção e mitigação de vulnerabilidades. Certificado em: Pentest Essentials Certification | Ethical Hacking Essentials Certification | ISO-IEC 27001 Information Security Associate Certification | Cybersecurity Foundation Certification (ISO/IEC 27032) | Computer Forensics Foundation Certification (ISO/IEC 27032) | Cybersecurity Analyst Certification (CCSA) | Cybersecurity Foundation Certification (CSFPC) | Network Security Expert Certification (NSE2) | Professional Scrum Foundation Certification (SFPC) | DevOps Essentials Professional Certificate (DSPC).
Related posts
Segurança de Aplicação

Operações segundo SAMM: Gestão Operacional em Segurança de Aplicações

Neste artigo, daremos sequência à série de publicações sobre o OWASP SAMM (Software Assurance…
Read more
Segurança de Aplicação

Programa de segurança de aplicações: conheça o AppSec Journey

Primordialmente, a Segurança de Aplicações (AppSec) deve ser integrada em todas as etapas do…
Read more
Segurança de Aplicação

Operações segundo SAMM: Gestão de Ambiente em Segurança de Aplicações

Este artigo faz parte de uma série de publicações feitas com base no projeto SAMM da OWASP, caso…
Read more

Deixe um comentário