A resposta do governo às ameaças à segurança cibernética é suficiente para sua organização?

Views: 581
0 0
Read Time:5 Minute, 39 Second

Com os ataques deste ano contra Colonial Pipeline e Kaseya, o ransomware e seu impacto na infraestrutura foram empurrados para a vanguarda da consciência política americana. Esses ataques cibernéticos trouxeram dor ao público, gerando uma resposta da Casa Branca.

A resposta foi seguida mais recentemente por memorandos do NIST e do Escritório de Gestão e Orçamento (OMB) esclarecendo definições, procedimentos e prazos para o esforço de segurança nacional. As equipes de segurança cibernética não devem se enganar ao seguir este plano para proteção abrangente contra riscos; há uma ameaça significativa não abordada pela resposta do governo.

Aqui está o porquê: a OMB orienta as organizações governamentais a se concentrarem em sistemas autônomos que estão conectados a infraestrutura crítica ou informações confidenciais, mas negligenciam uma área-chave – os aplicativos da web dos quais o setor privado depende para conduzir negócios há anos. Os aplicativos da Web geralmente são profundamente integrados e amplamente acessados dentro das empresas, desafiando as fronteiras de segurança bem definidas dos sistemas autônomos visados pela OMB. Negligenciar a segurança de aplicativos da web, portanto, negligencia uma área significativa de risco cibernético para as empresas.

A Forrester conclui que as aplicações web são o vetor de ataque mais usado para violações, mas as violações geralmente não se originam de novos ataques. As violações de dados geralmente se originam com vulnerabilidades bem compreendidas (e explorações correspondentes) que as organizações não conseguiram resolver. Algumas violações são resultado de simples acidentes ou negligência, como bancos de dados expostos. É claro, então, que, além de proteger os sistemas especificados pela OMB, as empresas precisam proteger seus aplicativos da web e ativos da web por meio de descoberta abrangente e verificação contínua de vulnerabilidades.

As organizações precisam descobrir todas as aplicações web que usam

Empresas de médio a grande porte podem ter centenas de aplicativos da web e ativos da web em produção. Como algo tão simples quanto um servidor de e-mail não corrigido ou banco de dados exposto pode levar a violações significativas de dados ou perda de controle dos sistemas, as empresas precisam proteger todos os seus aplicativos da web. Mas com recursos de desenvolvimento e segurança cada vez mais limitados, o que uma empresa deve priorizar?

O primeiro passo é descobrir quais aplicativos estão por aí. Para as organizações, isso significa descobrir todos os ativos da web, incluindo aqueles que podem ter sido perdidos, esquecidos ou implantados extraoficialmente por desenvolvedores cidadãos. Depois que uma empresa identificar todos os aplicativos da web expostos, ela pode avaliar cada um para determinar o risco de segurança representado por cada aplicativo e priorizar os planos de correção de acordo.

As empresas podem descobrir seus aplicativos e ativos da web através de dois tipos de digitalização:

  • Rastejando o espaço da web para descobrir ativos da web expostos publicamente associados aos domínios da empresa; e
  • Digitalização de aplicativos da web, serviços web e APIs da web, incluindo código proprietário, de código aberto e de terceiros.

Juntas, essas varreduras fornecem uma base sobre a qual os profissionais de segurança podem avaliar o risco e criar planos de remediação.

Desloque a segurança para a esquerda

Ao mudar a segurança para a esquerda, as empresas podem detectar vulnerabilidades no estágio mais precoce possível do ciclo de vida de desenvolvimento de software antes que os aplicativos cheguem à produção. Detectar vulnerabilidades o mais cedo possível pode evitar atrasos na produção, ciclos dispendiosos de redesenvolvimento e pode contribuir para uma evolução necessária em direção a práticas seguras de codificação.

A pressão para inovar pode violar a pressão para manter a segurança. Um estudo de maio de 2021 realizado pela Osterman Research mostrou que 89% dos desenvolvedores lançaram conscientemente código inseguro pelo menos parte do tempo. Componentes de terceiros, cada vez mais usados pelos desenvolvedores, também podem introduzir vulnerabilidades. Até 91% dos softwares modernos contêm componentes de código aberto e 75% das bases de código contêm pelo menos uma vulnerabilidade de código aberto, de acordo com um relatório recente da Synopsys. Algumas dessas vulnerabilidades são simplesmente falhas no software, enquanto outras podem ser trojans plantados por hackers.

Os profissionais de segurança devem digitalizar código e componentes durante o desenvolvimento para detectar vulnerabilidades precocemente. Isso inclui não apenas código, mas também configurações do sistema, as versões e os níveis de patch de tecnologias, frameworks e bibliotecas associadas ao software. Uma vez detectados e quantificados, os dados de vulnerabilidade podem ser combinados com a lista de aplicativos e ativos descobertos para criar uma lista prioritária para correção.

Desloque a segurança à direita

As empresas investiram pesadamente na mudança de segurança para a esquerda nos últimos anos, mas a proporção de violações em relação ao número de sites permaneceu constante na última década. Parte da razão é que nem todos os aplicativos e ativos da web em uso em uma empresa passam por seus pipelines de desenvolvimento interno. Para aumentar as estratégias de mudança para a esquerda, as empresas também devem digitalizar suas aplicações web e ativos web onde a borracha encontra a estrada: em produção.

Os serviços de teste de penetração – bem como vários scanners de teste de segurança de aplicativos, como SAST, DAST e IAST – permitem que os profissionais de segurança verifiquem aplicativos em produção e testem vulnerabilidades da perspectiva de um invasor externo. Alguns até combinam sua digitalização com um agente de software interno, permitindo que o scanner teste páginas e arquivos que estão desvinculados ou ocultos. À medida que os scanners percorrem páginas e ativos de aplicativos da web, eles podem testar uma ampla gama de vulnerabilidades, como injeção de SQL e scripts entre sites (XSS).

Digitalize aplicativos continuamente

A Casa Branca recomenda testar a segurança de um sistema com testes de penetração. Na taxa em que os aplicativos da web evoluem em ambientes DevOps e à facilidade com que se pode girar um aplicativo integrado de terceiros, um relatório de teste de caneta pode ser obsoleto poucas horas após sua conclusão. As empresas devem definir políticas para digitalizar continuamente todos os seus aplicativos em desenvolvimento, controle de qualidade e produção, para se manter a par de sua superfície de ataque em mudança e implementar o endurecimento de segurança em tempo hábil.

Isso é apenas o começo

Os esforços de segurança impulsionados pela Casa Branca são um passo importante para proteger infraestrutura e dados sensíveis em nível nacional, mas devemos lembrar que é apenas o começo de um longo caminho.

As empresas que seguem as diretrizes do governo à risca sem considerar outros ângulos de ataque se encontrarão vulneráveis a ataques cada vez mais sofisticados de criminosos e hackers patrocinados pelo estado. Para maximizar totalmente a segurança e minimizar o risco, as empresas devem ir além das diretrizes nacionais para entender seus riscos e trabalhar continuamente para ficar um passo à frente dos adversários.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS