Veja abaixo o artigo traduzido de Simon Roe, gerente de produto da empresa de software cibernético Outpost24 sobre um dos aspectos de transformação digital mais negligenciados pelas equipes de segurança:
Muitas vezes, me perguntam: “onde estão nossos aplicativos da web e quão seguros eles são? ”. No entanto, se você está fazendo esta pergunta, então já é tarde demais. As violações continuam a acontecer apesar das vulnerabilidades dos aplicativos da web. Na verdade, de acordo com uma pesquisa da Verizon, 43% das violações de dados são o resultado direto de vulnerabilidades de aplicativos.
Este valor alarmante torna-se mais preocupante quando se considera o fato de ser mais do que o dobro do ano anterior. Basta olhar para o notório grupo cibercriminoso Magecart para obter provas de como esses ataques podem ser perigosos: em 2018, a British Airways recebeu uma multa de US $ 230 milhões por controles de segurança insubstanciais em seus aplicativos da web. Como resultado da segurança inadequada, um ataque Magecart violou os dados de pagamento de quase 400.000 clientes.
Simplificando, seu aplicativo da web é como um iceberg. Existem muitos links e páginas acima da superfície, mas o que está por baixo pode ser um mistério.
A execução de aplicativos e servidores voltados para a Internet geralmente fornecerá muitos vetores de ataque variáveis. Você não tem um entendimento completo de onde elas estão e o que está em seus aplicativos. Por exemplo, você tem certeza da visibilidade que tem nas campanhas executadas por equipes de marketing interno ou pode haver uma página de destino desprotegida associada a uma campanha de marketing esquecida?
Executando uma auditoria em sua pegada digital, você provavelmente descobrirá aplicativos desconhecidos e elementos não protegidos que você nem mesmo considerou em comparação com um hacker oportunista durante o reconhecimento que pode encontrá-los primeiro.
Lembre-se de que existem equipes em sua organização sem nenhum conhecimento de segurança de TI que têm acesso ao back-end do seu aplicativo da web. Você tem certeza de que suas ações serão centradas na segurança? Uma série de fatores anteriormente não considerados pode expandir sua superfície de ataque de aplicativo endereçável, fornecendo um caminho tentador para os cibercriminosos. Se você perder um desses vetores, ele pode ser o ponto central para os hackers entrarem no sistema e arruinar não apenas os aplicativos que você conhece, mas aqueles que você pode nem saber que existiam (IoT, aquisição e sites de terceiros).
Mapear a superfície de ataque de seu aplicativo não é tarefa fácil. Buzzwords como ‘DevSecOps’, ‘bug bounties’ e ‘pen testing’ complicam um mercado já congestionado, levantando a questão: “por onde devo começar? ”.
A resposta está no tempo. As ferramentas de descoberta de superfície de ataque podem ajudar a examinar os bastidores e revisar a composição de seus aplicativos em relação aos vetores comuns de ataque da web antes que se tornem um problema. Por exemplo, mecanismo de segurança – “existe validação de entrada?” e método de criação de página – como o endereço foi criado para identificar quaisquer falhas de segurança que podem ser facilmente detectadas por um adversário.
Automatizar o processo de descoberta de seus aplicativos da web ajudará a fornecer acesso a percepções de risco acionáveis para identificar os problemas iminentes e implementar controles de segurança que são bem informados por seus níveis de risco de superfície de ataque.
O mercado atual está dominado por diferentes soluções de segurança cibernética, cada uma prometendo um ROI exclusivo. Portanto, os tomadores de decisão de segurança cibernética que estão cientes das limitações de recursos devem priorizar a visibilidade da superfície de ataque para gerenciar o risco que TODOS os aplicativos da web representam.
A falha em implantar um esforço de descoberta de segurança pode transformar dez ou 20 problemas em duzentas ou trezentas falhas. Portanto, não espere que os vetores de ataque se acumulem, avalie a superfície de ataque de seu aplicativo da web agora e use essas informações para orientar os controles de segurança de seu aplicativo para evitar que os cibercriminosos cheguem a entrar (quanto mais a um ponto de apoio) em sua organização.
Posts recentes