Técnicas e soluções para tratar as 10 principais vulnerabilidades em aplicações web – Atualização do OWASP TOP 10

Screen Shot 2017-12-12 at 15.38.59

No primeiro artigo desta série apresentamos as novidades na lista OWASP Top 10. Neste, apresentaremos ações, técnicas e ferramentas de prevenção e tratamento das vulnerabilidades, em especial a A10: Registro e Monitoração Ineficientes.

Desenvolvimento seguro (Projeto) – Não construa o avião com ele voando! De verdade! Entenda a necessidade do negócio, faça o AS IS e o TO BE, modele cada página, valide com o cliente (dono da aplicação), escolha a melhor linguagem (mais segura) para o cenário, dimensione o banco de dados para suportar o máximo acesso necessário sem perder o desempenho, estresse a capacidade, valide a segurança e teste com o usuário final. Você escutou tudo isso no primeiro período da faculdade. Execute na vida real, de forma ordenada. Siga o cronograma e entregue uma aplicação web segura ao cliente.

Se necessário, a Clavis pode te ajudar com a Análise de Código e Segurança de Software, Teste de Invasão em Redes, Sistemas e Aplicações e com os Testes de Desempenho. Cada uma das atividades ocorre conforme definido no cronograma do projeto.

Para que o escopo e o cronograma sejam cumpridos dentro do custo e entreguem a qualidade esperada, é preciso que todos entendam como a OWASP Top 10 calcula os riscos. Dessa forma, do projetista ao usuário final (teste) cada vulnerabilidade será analisada e tratada.

Um bom projeto terá os seguintes requisitos:

  • Redução da superfície de ataque – mínimos pontos de acesso necessários;
  • Defesa em profundidade – tecnologias atuando na prevenção e na monitoração;
  • Menor privilégio – usuários, métodos ou funções não possuem acesso administrativo;
  • Padrões seguros – sem margem para “jeitinho”. Trabalhe com validação dupla;
  • Isolar e executar o código que será desserializado em um ambiente de baixo privilégio;
  • Implementar verificadores de integridade em qualquer objeto serializado;
  • Gerar um registro com as exceções e falhas de desserialização.

Os requisitos citados devem ser complementados com as atividades de Modelagem de Ameaças. Este processo vai além de simular ataques na fase de homologação. Ele faz parte do projeto do sistema para endereçar as potenciais ameaças e escolher arquitetura, componentes e etc.. Ele também pode ser utilizado para testes, mas pode gerar um custo muito maior caso seja inferido a algum erro de projeto.

Um projeto que contempla codificação segura, correção de vulnerabilidades conhecidas e simulação de ataques atenderá aos 7 (sete) requisitos acima e, facilitará as atividades de manutenção sob responsabilidade da equipe de Produção.

A Solução BART, da Clavis, simula injeção SQL, Falhas de Autenticação, Cross-Site Scripting (XSS), entre outras vulnerabilidades, automatizando parte dos testes e, pode ser utilizada para auxiliar o processo de desenvolvimento seguro, indicando quais vulnerabilidades conhecidas devem ser corrigidas, antes que a aplicação seja disponibilizada em produção.

A Solução BART vai além de simular vulnerabilidades durante o projeto de desenvolvimento de uma aplicação web, ela auxilia no processo de Hardening (prevenção das vulnerabilidades) dos ativos, plataformas de virtualização e sistemas operacionais, testando a segurança dos acessos lógicos e uma possível Má Configuração de Segurança.

A Solução BART é atualizada regularmente com as novas informações disponíveis no mercado, possibilitando às empresas gerenciar o uso de baselines seguras no ambiente de produção.

Ainda no ambiente de homologação, porém, depois de corrigir os erros no código e as falhas na infraestrutura, execute um Teste de Invasão para a validação final da aplicação. Este teste vai além da busca de vulnerabilidades conhecidas, que você já tratou com o BART, ele traz o conhecimento dos hackers éticos para encontrar o desconhecido e simular um atacante real. Corrija possíveis falhas encontradas neste teste, valide a correção e, então disponibilize a aplicação para o negócio. Um bom começo de jogo!

Todavia, o segundo tempo não pode ser jogado na base do “já ganhou”. A manutenção da aplicação precisa ser tratada com a mesma seriedade do projeto. Nesta fase, a Solução Octopus forma uma dupla de zaga segura com a solução BART, que você já usa desde a homologação.

A Solução Octopus executa os controles exigidos para tratamento da A10: Registro e Monitoração Ineficientes. Os logs gerados pela aplicação, pelo banco de dados, pelas ferramentas de proteção (como WAF e DBF) e os alertas preventivos emitidos pelo BART são correlacionados e entregues para a equipe de suporte atuar preventivamente sobre os novos riscos que surgem diariamente com a evolução dos ataques e a descoberta de novas vulnerabilidades nas aplicações. Estes alertas facilitam o planejamento das janelas de Mudança.

A Solução Octopus monitora, coleta, processa e correlaciona os logs gerados pela aplicação e pelas ferramentas de proteção em uso no ambiente. A solução Octopus pode ser usada tanto para monitorar e prevenir a ocorrência de vulnerabilidades quanto para emitir alertas de incidentes causados pela exploração destas ou de outras vulnerabilidades.

Ao monitorar o uso de contas de acesso e a execução das regras de negócio na aplicação web, a Solução Octopus vai além de tratar a vulnerabilidade A10, ele suporta o processo de Gestão de Incidentes, pois, identifica e monitora os ataques, permitindo que a equipe de resposta atue nas ocorrências preventivamente. Além disso, pode ser expandida para atender a qualquer aplicação ou ativo que gere logs dentro teu ambiente tecnológico.

A utilização de técnicas e ferramentas de prevenção e tratamento das vulnerabilidades constantes na lista OWASP Top 10 trazem respeito e confiabilidade para a tua aplicação, atraindo clientes e alavancando os resultados do negócio.

Elas vão além disso, podem auxiliar na monitoração e na gestão de todo o ambiente tecnológico enquanto reduzem o custo total investido em soluções de segurança da informação (você não precisa pagar custos de importação, por exemplo).

Por último, pavimentam o caminho para a conformidade com leis, normas e padrões internacionais de segurança da informação. Mas, esse é o assunto do terceiro artigo…

Conheça o BART: Gestão Centralizada de Vulnerabilidades

Conheça o Octopus SIEM

Veja mais informações também em Atualização do OWASP TOP 10 – Conheça os 10 atuais e principais riscos de segurança em aplicações web