Por Michael Wright
A Agência de Segurança Cibernética e Infraestrutura (CISA) introduziu o “Secure by Design Pledge” voluntário para fabricantes de software empresarial, focando na melhoria da segurança de seus produtos e serviços. Este compromisso descreve sete princípios-chave, formando o núcleo de uma sólida ética de segurança por design. Vamos explorar esses princípios e como a Imperva se alinha a eles.
Sete Princípios-Chave do Secure by Design:
1. Autenticação Multifator (MFA):
O compromisso incentiva o aumento do uso de MFA em todos os produtos, enfatizando métodos resistentes a phishing, com exemplos que incluem a habilitação padrão de MFA e “sinais de cinto de segurança” para incentivar os usuários. A Imperva já implementa MFA robusta em seus serviços.
A segurança do cliente é o nosso negócio. Suportamos o single sign-on (SSO) baseado em padrões na versão básica de cada produto e implementamos autenticação de dois fatores (2FA) para aprimorar a segurança dos seus dados e da nossa rede. Ao exigir duas formas de identificação, a 2FA adiciona uma camada extra de proteção, tornando muito mais difícil para usuários não autorizados acessarem informações sensíveis. Isso nos ajuda a garantir que seus dados pessoais e empresariais permaneçam seguros, reduzindo o risco de violações de segurança e aumentando a confiança geral em nossos serviços.
Além do ID de Usuário e Senha regulares, a 2FA utiliza um método de validação confiável de terceiros para confirmar a identidade do usuário. Para senhas de nível de sistema e credenciais de comunicação interna – temos uma política rígida contra senhas padrão, bem como a aplicação de rotação de senhas. Incentivamos ativamente os clientes a usar métodos de autenticação mais avançados, como pares de chaves, certificados e tokens de curta duração quando aplicável.
2. Senhas Padrão:
O compromisso visa eliminar senhas padrão, substituindo-as por autenticação mais segura. A Imperva já emprega senhas aleatórias e únicas por instância, além de exigir a criação de senhas fortes durante a instalação. Para senhas de nível de sistema e credenciais de comunicação interna – temos uma política rígida contra senhas padrão, bem como a aplicação de rotação de senhas. Incentivamos ativamente os clientes a usar métodos de autenticação mais avançados, como pares de chaves, certificados e tokens de curta duração quando aplicável.
3. Redução de Classes Inteiras de Vulnerabilidades:
Este princípio foca na redução proativa de classes comuns de vulnerabilidades, como injeção de SQL e cross-site scripting. Na Imperva, temos um programa para promover princípios de codificação segura em nossa organização de desenvolvimento e implementar varreduras contínuas de código para garantir a qualidade e segurança do código. Vulnerabilidades potenciais são resolvidas de acordo com a severidade e nossas políticas de tratamento de vulnerabilidades. Aspectos de segurança relacionados tanto à segurança de aplicações quanto à infraestrutura são parte integrante da gestão de mudanças e da entrega de novos códigos. Testes de aceitação de segurança incluem varreduras com ferramentas de automação, bem como testes de penetração manuais para garantir a descoberta e o tratamento precoce de vulnerabilidades potenciais.
Aplicamos consistentemente o uso de consultas parametrizadas para prevenir ataques de injeção de SQL, e nossos frameworks de templates web vêm com proteção integrada contra vulnerabilidades de cross-site scripting. Também utilizamos linguagens seguras para memória em todos os novos produtos.
4. Correções de Segurança:
O compromisso enfatiza a melhoria nas taxas de instalação de patches de segurança pelos clientes. No entanto, com o CloudWAF e outros produtos SaaS – o ônus de aplicar patches não recai sobre nossos clientes. Nós seguimos uma prática rígida internamente.
A gestão de vulnerabilidades é parte integral da manutenção de uma organização segura, limitando a capacidade de explorar vulnerabilidades. Novas vulnerabilidades são identificadas constantemente. A equipe de InfoSec da Imperva possui um programa para avaliar e tratar vulnerabilidades identificadas. As prioridades são definidas usando a classificação da vulnerabilidade (por exemplo, pontuação CVSS) e os controles compensatórios em vigor que mitigam o risco.
NOTA: A aplicação de patches depende de dois processos: a aplicação contínua de patches nos sistemas corporativos e a varredura de vulnerabilidades para identificar vulnerabilidades que possam ter sido negligenciadas.
O escopo do programa de Gestão de Vulnerabilidades e Patches da Imperva inclui tanto os ambientes corporativos quanto de produção, da seguinte forma:
- Laptops e telefones de escritório
- Servidores (físicos e virtuais)
- Dispositivos de rede
- Sistemas e softwares (aplicativos e DB de terceiros, etc.)
- Ambientes de produção para nosso serviço, como o Imperva Cloud WAF
- Sites de data center de terceiros do Imperva Cloud WAF (PoPs)
5. Política de Divulgação de Vulnerabilidades (VDP):
O compromisso exige uma VDP pública que autoriza testes públicos, compromete-se a não perseguir ações legais contra repórteres de boa-fé e fornece um canal de reporte claro.
Incentivamos pesquisadores de segurança a compartilhar os detalhes de quaisquer vulnerabilidades suspeitas com a Equipe de Segurança da Informação da Imperva, submetendo um formulário de bug bounty. A Imperva então revisa a submissão para determinar se a descoberta é válida e não foi previamente relatada. A critério da Imperva, a submissão pode ser elegível para compensação monetária. Exigimos que pesquisadores de segurança incluam informações detalhadas, incluindo instruções passo a passo, que nos permitam reproduzir a vulnerabilidade. Mais informações podem ser encontradas aqui com nossa Política de Divulgação Responsável.
6. CVEs:
O compromisso promove a transparência na divulgação de vulnerabilidades, exigindo campos CWE e CPE precisos em cada registro CVE e emissão oportuna para vulnerabilidades críticas. Para uma solução SaaS como o CloudWAF, achamos isso menos relevante, pois conduzimos todas as etapas necessárias para mitigar quaisquer CVEs antes de publicar versões.
7. Evidências de Intrusões:
Este princípio foca em capacitar os clientes a coletar evidências de intrusões.
O Imperva CWAF fornece aos seus clientes todos os seus logs de segurança, bem como logs de acesso para rastrear qualquer tráfego que atinja as aplicações dos clientes, seja considerado malicioso ou não. Além disso, fornecemos aos clientes logs completos de auditoria de qualquer alteração de configuração feita em nosso sistema, incluindo logins. Oferecemos diferentes prazos de retenção de logs dependendo do pacote do cliente (mas a base inclui retenção de 30 dias sem custo adicional).
Validação por Terceiros
Soluções de segurança, independentemente do método de implantação, não devem aumentar a superfície de ataque dos ambientes que elas foram projetadas para proteger. Além disso, privilégios concedidos a soluções de segurança não devem ser exploráveis por atores maliciosos. O SecureIQLab avaliou a segurança do produto Cloud WAAP da Imperva e testou-o contra 11 técnicas de avaliação de vulnerabilidades comumente usadas para assegurar que os sistemas WAAP são construídos para proteger razoavelmente contra ciberataques, conforme recomendado pela Agência de Segurança Cibernética e Infraestrutura (CISA).
A Imperva tem orgulho de anunciar que passou na Avaliação de Vulnerabilidades do WAAP com uma pontuação de 100%. Você pode ler mais sobre os achados aqui.
A Imperva acredita em seu compromisso com o Compromisso Secure by Design da CISA, o que solidifica ainda mais nossa reputação como líder em cibersegurança. À medida que avançamos juntos para 2025, vamos todos nos comprometer a tornar nosso mundo e a tecnologia que usamos mais seguros por design.
Esse artigo tem informações retiradas do blog da Imperva. A Neotel é parceira da Imperva e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.