Segurança de Aplicação

Operações segundo SAMM: Gestão de Incidentes em Segurança de Aplicações

Dando sequência à série de publicações sobre o framework OWASP SAMM (Software Assurance Maturity Model), neste artigo iremos abordar a prática de Gestão de Incidentes em Segurança de Aplicações, dentro do domínio de Operações.

Você também pode ouvir esse conteúdo:

Imagine um cenário, onde tivemos um incidente de segurança com uma de nossas aplicações e agora precisamos entender o que devemos fazer. Primeiro vamos entender o que é um incidente de Segurança.

Incidentes em segurança de aplicações: o que é?

Em suma, um incidente de segurança se refere a qualquer acesso, divulgação, modificação ou destruição não autorizado, ou suspeito de dados da sua aplicação. De fato, quando há um comprometimento de segurança de sua aplicação, então, neste momento temos um incidente de Segurança.

Nesse sentido, precisamos ter um caminho e um conjunto de responsabilidades claramente definidas para as quais a equipe vai atuar ou quem será chamado para lidar com a situação. Lembrando que como o próprio OWASP SAMM menciona:

“Muitos incidentes de segurança foram detectados meses, ou mesmo anos, após a violação inicial. Durante o ‘tempo de espera’ antes que um incidente seja detectado, danos significativos podem ocorrer, aumentando a dificuldade de recuperação. Nosso primeiro fluxo de atividade, Detecção de Incidentes, concentra-se em diminuir esse tempo de permanência.”

Quanto antes soubermos quando o incidente aconteceu, mais rápida será nossa resposta e atuação nele.

Etapas em caso de incidentes em segurança de aplicações

Caso ocorra um incidente de segurança com sua aplicação, você pode seguir algumas etapas:

  • Identifique a causa raiz do incidente, por exemplo, consultando logs, revisando o código, etc.
  • Determine por quanto tempo o problema de segurança pode estar presente;
  • Determine quais usuários de sua aplicação foram afetados e todas as informações que foram ou podem ter sido comprometidas;
  • Confirme se algum dado do usuário final pode ter sido comprometido.

Ter em mente algumas perguntas também é muito importante:

  • O incidente de segurança pode ter causado algum impacto nos dados do usuário final? Em caso afirmativo, esses usuários finais serão notificados conforme as leis aplicáveis ​​ou acordos contratuais?
  • Você tem um prazo previsto para esperar que o incidente seja resolvido?
  • Qual é a categoria de incidente de segurança que ocorreu, vulnerabilidade, invasão, vazamento de dados?
  • Quais ações corretivas foram tomadas para remover a causa raiz do incidente e evitar que incidentes semelhantes ocorram no futuro?
  • Qual é o seu plano para se comunicar com os usuários finais sobre este incidente?

Isso é algo que já deve estar planejado, ter um plano de resposta a incidente e ter todos os passos para resolver o mais rápido possível, é fundamental!

Isso pode ser feito observando alguns passos:

  • Identificar os pontos fracos da sua aplicação.
  • Proteger o acesso a partes confidenciais da aplicação.
  • Fortalecer os perímetros de segurança contra ataques futuros.
  • Tentativas malsucedidas devem ser tratadas como incidentes, isso pode te preparar para ataques futuros.

Conclusão

A última fase é aprender com os incidentes ocorridos, lições a serem aprendidas: rever os logs do incidente para verificar possíveis pontos fracos em sua configuração, ajustar as regras do WAF e verificar ou introduzir novas políticas e, testar sempre as novas regras e ficar atento aos falsos positivos.

O ciclo de vida de resposta incidente deve ser trabalhado constantemente, a análise e detecção devem fluir após o incidente para se ter um valioso aprendizado e assim, continuar melhorando sua segurança de seus aplicativos e estar preparado para futuros incidentes.

Nova call to action

Série artigos SAMM

  1. Governança segundo SAMM: Estratégias e Métricas em Segurança de Aplicações
  2. Governança segundo SAMM: Políticas e Conformidades em Segurança de Aplicações
  3. Governança segundo SAMM:  Educação e Orientação em Segurança de Aplicações
  4. Design segundo SAMM: Modelagem de Ameaças em Segurança de Aplicações
  5. Design segundo SAMM: Requisitos de Segurança em Segurança de Aplicações
  6. Design segundo SAMM: Arquitetura Segura em Segurança de Aplicações
  7. Implementação segundo SAMM: Build Seguro em Segurança de Aplicações
  8. Implementação segundo SAMM: Deploy Seguro em Segurança de Aplicações
  9. Implementação segundo SAMM: Gestão de Defeitos em Segurança de Aplicações
  10. Verificação segundo SAMM: Análise de Arquitetura em Segurança de Aplicações
  11. Verificação segundo SAMM: Testes Orientados a Requisitos em Segurança de Aplicações
  12. Verificação segundo SAMM: Testes de Segurança em Segurança de Aplicações
  13. Operações segundo SAMM: Gestão de Incidentes em Segurança de Aplicações
  14. Operações segundo SAMM: Gestão de Ambientes  em Segurança de Aplicações
  15. Operações segundo SAMM: Gestão Operacional em Segurança de Aplicações
About author

Articles

Focado na área de AppSec com experiência em Segurança da Informação, atuando com as melhores práticas para segurança web, detecção, prevenção e mitigação de vulnerabilidades. Graduado em Defesa Cibernética e Pós-graduado em Segurança Ofensiva e Inteligência Cibernética.
Related posts
Segurança de Aplicação

Secure by Design em ASPM - Entenda como as ferramentas se integram nesse processo

Em um momento onde continuamos a ver problemas de vazamentos de dados e vulnerabilidades em…
Read more
Segurança de Aplicação

Nova CVE-2023-4314 identificada em plugin do WordPress

Neste artigo, vamos analisar um estudo de caso de uma CVE encontrada em um plugin do WordPress…
Read more
Segurança de Aplicação

Mitigação de Vulnerabilidades: Elevando a Segurança no Desenvolvimento de Software

No cenário digital em constante evolução, a importância da segurança de software não pode ser…
Read more

Deixe um comentário