Pesquisas apontam que uma boa parte das intrusões e vazamentos de dados são ocasionados por vulnerabilidades e falta de implementação de boas práticas de segurança em aplicações, sejam elas instaláveis ou web.
As aplicações estão cada vez mais presentes em nosso cotidiano, especialmente após a digitalização “forçada” dos negócios causada pela transformação digital acelerada que presenciamos nos últimos anos. Hoje em dia, a maioria das transações bancárias já são realizadas através de internet/mobile banking; até mesmo serviços governamentais essenciais ao exercício da cidadania estão migrando para o ciberespaço, o que torna a segurança de aplicações mais importante do que nunca.
Ainda assim, de acordo com levantamentos do instituto de pesquisas e consultoria de mercado Gartner, ¾ dos ataques cibernéticos utilizam como vetor alguma vulnerabilidade em aplicações — sejam elas instaláveis em um dispositivo (como apps para computadores e smartphones) ou web (acessíveis e executáveis diretamente através de seu navegador). Isso mostra que o setor de segurança cibernética ainda precisa amadurecer bastante nesse quesito para impedir riscos tanto à empresa quanto aos usuários finais.
É importante lembrarmos, antes de qualquer outra coisa, que as normas de proteção de informações pessoais e sensíveis criou um cenário ainda mais crítico para esse setor. No Brasil, temos a Lei Geral de Proteção de Dados (LGPD ou Lei nº 13.709/2018); a nível europeu, temos o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation ou GDPR). Ambas prevêem multas e sanções pesadíssimas para a exposição indevida de dados dos usuários de suas aplicações.
Mas, afinal, como garantir a segurança de uma aplicação? Já sabemos que, na internet, o uso de web application firewalls (WAFs) é uma das medidas cruciais. Também já sabemos a importância das posturas básicas — podemos chamar até de “orientações clichês” — da metodologia DevSecOps. Porém, ainda assim, o mercado de AppSec vem crescendo de forma exponencial, e muitas de suas soluções podem auxiliar a eliminar os gaps que ainda existem na esteira de desenvolvimento.
OWASP Top Ten: o básico do básico
Uma iniciativa cujo domínio é crucial para qualquer desenvolvedor ou equipe de desenvolvimento é a OWASP Top Ten. Estamos falando da famosa e respeitada lista, atualizada periodicamente, pelo Open Web Application Security Project (ou Projeto Aberto de Segurança de Aplicações Web), uma comunidade aberta e global que visa ensinar boas práticas para garantir a proteção de aplicações online. Tal lista nada mais é do que um ranking das principais vulnerabilidades que afetam esse tipo de software.
Sem atualizações desde 2017, a OWASP Top Ten foi atualizada em 2021 e trouxe uma série de novidades. Confira a lista atualizada:
- A01:2021 — Quebra de Controle de Acesso
- A02:2021 — Falhas Criptográficas
- A03:2021 — Injeção
- A04:2021 — Design Inseguro
- A05:2021 — Configuração Insegura
- A06:2021 — Componente Desatualizado e Vulnerável
- A07:2021 — Falha de Identificação e Autenticação
- A08:2021 — Falha na Integridade de Dados e Software
- A09:2021 — Monitoramento de Falhas e Registros de Segurança
- A10:2021 — Falsificação de Solicitação do Lado do Servidor
O primeiro colocado, “Quebra de Controle de Acesso”, subiu diversas posições no ranking e mostra a importância das falhas na configuração de identificação e acesso privilegiado a informações contidas no back-end da aplicação. Falhas de criptografia também se mostram preocupantes, e, como sempre, falhas de injeção (como SQL Injection, que se baseia na configuração inadequada de bancos de dados que utilizam a linguagem SQL) continuam sendo um vetor de ataque bastante comum.
Claro, como já citamos aqui, também é interessante ficar de olho em APIs, componentes e bibliotecas de código aberto, que podem conter falhas involuntárias ou até intencionais — recentemente, foi noticiado que o responsável por um projeto open source “envenenou” de propósito seu repositório como forma de protesto político — o que acabou fazendo vítimas que, no fim das contas, não estavam envolvidas no conflito em questão.
Um mercado em crescimento
O mercado de soluções de Application Security (AppSec), de acordo com um recente relatório da Markets and Markets, deve aumentar de US$ 6,2 bilhões registrados em 2020 para US$ 13,2 bilhões em 2025, o que representa um aumento anual composto de 16,1%.
Estamos falando de um segmento específico na prateleira de soluções de cibersegurança que auxiliam a mitigar as ameaças que podem colocar uma aplicação em risco, incluindo o uso de tecnologias preditivas (com o emprego de inteligência artificial e deep learning) para detectar falhas que possam passar despercebidas pelos olhos do profissional.
Mas, novamente, é importante frisar que essas soluções podem ser consideradas complementos a serem “plugados” em sua esteira de desenvolvimento baseada na metodologia DevSecOps. Ou seja: continua sendo crucial pensar em segurança desde os primórdios do projeto, em seus desenhos iniciais, e não apenas implementada no fim do ciclo (release, teste e monitoramento).
Para que possamos alcançar tal objetivo, é crucial que as áreas de segurança e operações estejam sempre supervisionando e participando ativamente de toda a esteira de desenvolvimento, garantindo que as melhores ferramentas estejam à disposição e que a privacidade do usuário esteja sendo respeitada.
–
A Agility oferece uma solução completa de DevSecOps e Proteção de Aplicações Multicloud, saiba mais em: https://somosagility.com.br/xaas/protecao-de-aplicacoes-multicloud/