Embed Size (px)
Citation preview
RESUMO EXECUTIVO: POR QUE VOCÊ PRECISA DA SEGURANÇA DE APLICATIVOS DA WEBCompressão dos riscos inerentes dos sites de negócio
Resumo
Os aplicativos da Web nunca foram tão indispensáveis para o negócio. Mas eles possuem riscos significativos. Este resumo explora os possíveis ataques e exploits baseados na Web que a TI deve enfrentar, incluindo:
• Injeção de código/inclusão de código remoto
• Vulnerabilidades de scripts intersite (XSS)
• Interceptação de sessão da Web
• Autenticação e autorização insuficientes
Introdução
No mundo atual centralizado em aplicativos, os aplicativos da Web são um capacitador fundamental para a maioria das organizações que compete em um ambiente de negócio digital com concorrência global. Isso inclui atribuição de marca, publicidade,
competitividade e aquisição de clientes, para citar apenas alguns. Empresas, instituições e governo são constantemente pressionados para inovar e desenvolver aplicativos da Web úteis para satisfazer o apetite infinito dos usuários por acesso instantâneo a informações, serviços e suporte.
O crescimento explosivo dos aplicativos da Web no negócio
Atualmente, os usuários da internet correspondem a mais da metade¹ da população mundial. Agora, 93%¹ dos usuários da internet estão on-line e possivelmente permanecem on-line por mais tempo usando seus dispositivos móveis. Além disso, com o surgimento da Internet das Coisas (IoT), adicionamos dezenas de bilhões² de dispositivos já conectados, que se comunicam e trocam dados por meio de aplicativos da Web e móveis, como TVs, dispositivos digitais para vestir, carros, consoles de jogos, unidades de vendas e todos os tipos de appliances inteligentes.
Como resultado, as organizações buscam proporcionar o melhor engajamento e experiência de serviço possível por meio de
2
diferentes tipos de aplicativos da Web interativos e aplicativos móveis de fácil utilização. Com isso, os aplicativos da Web nunca foram tão indispensáveis. As empresas precisam manter todos os aplicativos on-line e protegidos.
Problemas inerentes à segurança
No entanto, sempre que um software de aplicativo da Web é implantado juntamente com dados que ele precisa acessar, ele se torna um risco à segurança. Isso porque ele é um possível ponto de entrada para invasores que querem roubar esses dados ou obter mais acesso a partes mais confidenciais da rede. Todo aplicativo da Web implantado expõe a organização a um espectro muito amplo de possíveis ataques e exploits baseados na Web.
Um relatório recente³ afirma que quase 50% dos aplicativos da Web estão sempre vulneráveis ao longo do ano. Essas falhas nocivas incluem vazamento de informações (37%), scripts intersite (33%), falsificação de conteúdo (27%), proteção insuficiente da camada de transporte (21%) e falsificação de solicitação intersite (15%). Em termos de impacto crítico no negócio, a principal vulnerabilidade é a injeção de SQL, seguida por scripts intersite (XSS), falsificação de solicitação intersite (XSFR) e autorização insuficiente.
Essas constatações indicam que os aplicativos da Web continuam a apresentar problemas graves de segurança e qualidade do código fonte. As equipes de desenvolvimento da Web parecem não ter incorporado totalmente a prática de segurança necessária no desenvolvimento de códigos. Segundo a Gartner4, "Os desenvolvedores vão continuar desenvolvendo códigos inseguros, e não há nada que possam fazer sobre isso. É uma batalha perdida com os hackers".
O processo de desenvolvimento ineficiente da Web e a aplicação insuficiente de patches de segurança estão colocando os dados de conformidade em risco. Como resultado, as empresas não estão cumprindo os controles regulamentares de segurança, como PCI, HIPPA e GDRP. As vulnerabilidades dos softwares são regularmente divulgadas e estão sendo exploradas em aplicativos como o Content Management Systems (CMS), fóruns e portais usados por organizações de todos os tamanhos e setores.
O uso de muitos protocolos, como HTTP(S), JSON, XML e SOAP, em aplicativos da Web e a natureza irrestrita e aberta da interface do usuário (UI) agravam esse problema. Além disso, as organizações colocam seus aplicativos
da Web em risco enquanto aguardam por patches dos sistemas pelos desenvolvedores de software internos e/ou de terceiros.
Cenários de ataque
Como exemplo, vamos analisar um formulário da Web típico que foi criado usando uma linguagem de desenvolvimento da Web popular, como JavaScript ou PHP.
Este formulário aceita diversos parâmetros dos aplicativos da Web para processar as informações que estão sendo coletadas. Se o aplicativo não tiver proteções de segurança, como análise e validação dos dados de entrada, os invasores conseguirão explorar o aplicativo e comprometer o serviço publicando um conteúdo arbitrário no formulário.
Neste cenário, é possível que uma ou mais vulnerabilidades comuns do aplicativo PHP permitam que os invasores incluam seu próprio código no aplicativo da Web desejado. Isso é geralmente conhecido como um tipo de ataque de inclusão de código local ou remoto.
Hoje em dia, os servidores da Web típicos hospedam múltiplos aplicativos da Web em um único host e são acessíveis por meio de uma única porta (porta 80 para HTTP e 443 para HTTPS). Isso cria uma grande superfície de ataque para as organizações defenderem.
Conclusão
As empresas não podem depender nem contar com sua equipe de desenvolvimento da Web para a criação de aplicativos da Web perfeitos. Com um número de tentativas de ataques na Web que pode variar de centenas de milhares a milhões por ano, os administradores de TI devem assumir a responsabilidade pelas questões de segurança.
Saiba mais. Leia nosso resumo de solução, "Melhores práticas para firewall de aplicações web" (Em inglês), ou visite www.sonicwall.com/web-application-firewall.
¹ https://thenextweb.com/contributors/2017/04/11/current-global-state-internet/² https://cdn.ihs.com/www/pdf/IoT-ebook.pdf³ https://info.whitehatsec.com/rs/675-YBI- 674/images/WHS%202017%20Application%20Security%20Report%20FINAL.pdf4 https://sdtimes.com/automation/stop-fighting-yesterdays-software-security-wars/
3
© 2018 SonicWall Inc. TODOS OS DIREITOS RESERVADOS.
SonicWall é uma marca comercial ou marca registrada da SonicWall Inc. e/ou de suas afiliadas nos Estados Unidos e/ou em outros países. Todas as outras marcas comerciais e registradas são de propriedade de seus respectivos proprietários.
As informações deste documento são fornecidas em relação aos produtos da SonicWall Inc. e/ou de suas afiliadas. Este documento, de forma isolada ou em conjunto com a venda de produtos SonicWall, não concede nenhuma licença, expressa ou implícita, por preclusão ou de outra forma, a qualquer direito de propriedade intelectual. SALVO CONFORME DEFINIDO NOS TERMOS E CONDIÇÕES ESPECIFICADOS NOS CONTRATOS DE LICENÇA PARA ESTE PRODUTO, A SONICWALL E/OU SUAS AFILIADAS NÃO ASSUMEM QUALQUER RESPONSABILIDADE E RENUNCIAM A QUALQUER GARANTIA, EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, RELACIONADA AOS SEUS
PRODUTOS, INCLUINDO, ENTRE OUTROS, A GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A DETERMINADO PROPÓSITO OU NÃO VIOLAÇÃO. EM HIPÓTESE ALGUMA A SONICWALL E/OU SUAS AFILIADAS SERÃO RESPONSÁVEIS POR QUAISQUER DANOS DIRETOS, INDIRETOS, CONSEQUENCIAIS, PUNITIVOS, ESPECIAIS OU INCIDENTAIS (INCLUINDO, SEM LIMITAÇÃO, DANOS POR PERDA DE LUCROS, INTERRUPÇÃO DE NEGÓCIOS OU PERDA DE INFORMAÇÕES), DECORRENTES DO USO OU IMPOSSIBILIDADE DE UTILIZAR ESTE DOCUMENTO, MESMO QUE A SONICWALL E/OU SUAS AFILIADAS TENHAM SIDO AVISADAS DA POSSIBILIDADE DE TAIS DANOS. A SonicWall e/ou suas afiliadas não se responsabilizam por qualquer garantia ou declaração referente à exatidão ou à integridade deste documento e reservam-se o direito de fazer alterações em especificações e descrições de produtos a qualquer momento, sem aviso prévio. A SonicWall Inc. e/ou suas afiliadas não se comprometem em atualizar as informações contidas neste documento.
Sobre nós
A SonicWall tem combatido o setor do crime cibernético por mais de 25 anos, defendendo desde pequenas e médias empresas até grandes corporações mundialmente. A nossa combinação de produtos e parceiros propiciou uma solução de defesa cibernética em tempo real, associada às necessidades específicas de mais de 500.000 empresas, em mais de 150 países, o que permite que você faça mais negócio com menos preocupações.
Se você tiver dúvidas sobre o possível uso deste material, entre em contato com:
SonicWall Inc. 1033 McCarthy Boulevard Milpitas, CA 95035
Acesse o nosso site para obter mais informações. www.sonicwall.com
ExecBrief-WhyYouNeedWebAppSec-US-VG-MKTG1952
