0
0
À medida que o e-skimming, o Magecart e outros tipos de ataques front-end crescem em frequência e gravidade, as empresas enfrentam maneiras de proteger os aplicativos e sites front-end (ou seja, do lado do cliente). O JavaScript — que impulsiona a funcionalidade principal em aproximadamente 98% dos sites globais — contém bugs e vulnerabilidades. Essas vulnerabilidades JavaScript representam uma parte significativa dos caminhos de ataque mais comuns.
Para proteger seus clientes contra ataques do lado do cliente, as empresas precisam considerar a aplicação de metodologias tradicionais de teste para sua frente, além de seu back-end.
Teste de penetração
Um teste de penetração, mais comumente referido como um “pentest”, é um ataque deliberado de cibersegurança, conduzido com permissão da organização por especialistas profissionais em segurança cibernética. Ele foi projetado para descobrir fraquezas e vulnerabilidades nos controles de segurança de uma organização. As empresas usam equipes vermelhas internas para realizar esses ataques ou contratam uma empresa externa especializada em testes de penetração. Durante o pentest, as equipes vermelhas tentam enumerar e infiltrar a infraestrutura digital, redes e pontos finais de seu alvo. Uma vez identificadas as vulnerabilidades, os pentesters tentam imitar táticas, técnicas e procedimentos de atores de ameaças (TTPs) para forragear mais profundamente nos sistemas e redes de seus alvos. A saída final do pentest é um relatório que descreve quais lacunas de segurança existem e o que precisa ser enfrentado para proteger os negócios contra ameaças cibernéticas.
Avaliações de vulnerabilidade
Uma avaliação de vulnerabilidade é uma análise sistemática e revisão das fraquezas de segurança em uma tecnologia, sistema, aplicação ou rede. Durante essas avaliações, um analista de segurança determinará se o sistema é suscetível a quaisquer vulnerabilidades conhecidas ou exploráveis, atribuirá níveis de gravidade a eles, recomendará remediação ou mitigação e priorizará a ordem na qual a remediação deve ocorrer com base no nível de gravidade.
Avaliações de segurança
Ao contrário das avaliações de pentesting e vulnerabilidades, que se concentram nas ferramentas e tecnologias, avaliações de segurança examinam processos, governança e conformidade para determinar até que ponto suas ferramentas, aplicativos, sites e tecnologias estão seguros contra riscos e ameaças cibernéticas. O resultado final de uma avaliação de segurança deve ser uma visão profunda das lacunas de segurança de sua organização, alinhadas tanto ao seu programa geral de segurança quanto a um modelo de governança (por exemplo, NIST). Os tons do relatório também devem fornecer um nível de risco de sua organização em seu estado atual. De um modo geral, as avaliações de segurança são uma peça central do processo de gerenciamento de riscos de qualquer organização.
Uma necessidade crítica para avaliações de segurança do lado do cliente
Avaliações de segurança do lado do cliente são realmente bastante incomuns neste momento. Infelizmente, essa falta de avaliações do lado do cliente apresenta um grande problema dado o aumento dramático dos ataques do lado do cliente, como scripting cross-site, formjacking e Magecart. Com o aumento do uso de frameworks front-end, bibliotecas e ferramentas de terceiros, é hora de as organizações expandirem o escopo de avaliações e testes tradicionais de segurança para incluir a superfície de ataque do lado do cliente de seus sites e aplicativos web.
Avaliações de segurança do lado do cliente são tediosas se feitas manualmente e a automação pode ajudar. Existem cinco categorias de perguntas que um consultor ou analista de segurança precisa responder para descobrir possíveis problemas do lado do cliente e seus riscos associados:
1. Que ativos do lado do cliente temos?
Se você não sabe o que tem, não pode protegê-lo. O primeiro passo de uma avaliação de segurança é fazer o inventário de todas as páginas da Web, aplicativos web, landing pages, formulários, formulários de pagamento, rastreadores de marketing e outros ativos do lado do cliente que podem representar um risco para o negócio se corrompidos.
2. Que tecnologias usamos? Que código de primeira e de terceiros estamos usando? Como é nossa cadeia de suprimentos JavaScript?
Isso é crítico. Os sites hoje são montados em tempo real usando uma variedade de protocolos, conexões e fontes de dados. As empresas devem ter um inventário de todas as páginas da Web e componentes de aplicativos web. Os assessores precisam ter uma imagem completa de todos os scripts, onde eles são carregados, como eles são carregados e como eles interagem com outro código JavaScript em todo o lado do cliente. A maneira mais fácil para os atores de ameaças roubarem dados protegidos é corrompendo JavaScript de terceiros. Sem testes contínuos do lado do cliente, você pode nunca saber que um ator de ameaças violou sua cadeia de suprimentos JavaScript e está roubando informações do cliente.
3. Quem tem acesso aos nossos dados em tempo real?
Uma vez que você tenha uma lista de seus ativos e as tecnologias associadas, é hora de começar a olhar para quem tem acesso a eles e que tipo de acesso eles têm. Terceiros estão lendo todos os dados do seu cliente durante cada envio de formulários? Como você está protegendo a privacidade do seu usuário? Ser capaz de moldar insights de acesso a dados em todo o lado do cliente é o próximo grande passo na proteção.
4. Estamos no meio de um ataque agora?
Uma vez que você tenha um inventário completo de suas páginas, aplicativos e o código que você usa, é hora de ver se seus ativos web do lado do cliente estão apenas fazendo o que você quer que eles estejam fazendo… ahem… ou seja, os dados que você está coletando estão coletando apenas sendo coletados por você ou estão sendo enviados para o domínio de comando e controle de um ator de ameaças no Uzbequistão? Você deseja olhar para seus keyloggers, seus WebSockets, quaisquer comportamentos anômalos e se houver alguma transferência de dados para países ou servidores não autorizados.
5. O que precisa ser consertado agora?
Uma vez que o assessor de segurança tenha inventar seus ativos do lado do cliente e o código usado para construí-los e mantê-los, e quaisquer possíveis violações e vulnerabilidades exploradas tenham sido descobertas, o assessor deve fornecer um relatório detalhado sobre o que a equipe de segurança da organização deve fazer para proteger o negócio. Avaliações de segurança do lado do cliente devem apontar:
Lacunas na configuração de segurança
- Controles de acesso atuais: Isso identifica quem atualmente tem acesso ao que e como limitar o acesso para garantir que apenas indivíduos autorizados possam modificar ou utilizar ativos do lado do cliente.
- Acesso excessivamente permissivo: Limpe recomendações sobre como implantar uma abordagem do Zero Trust em aplicativos e sites da web do lado do cliente para reduzir o risco de adulteração. Isso ajuda a garantir que quem tenha acesso total, leia apenas acesso e acesso à transferência de dados.
Elementos maliciosos
- Scripts de host maliciosos: Algum host malicioso está roubando ativamente dados? O que pode ser feito para corrigir esse problema?
- Scripts maliciosos: A empresa está usando atualmente qualquer script de primeiro ou terceiro que tenha sido corrompido e esteja exfiltrando dados ou modificando a página da Web ou aplicativo de alguma forma? O que pode ser feito para corrigir esse problema?
Vulnerabilidades
- Vulnerabilidades exploradas: Existem vulnerabilidades conhecidas atualmente sendo exploradas? Existe um patch disponível para corrigir essas vulnerabilidades e quais são as mais críticas para corrigir?
- Outras vulnerabilidades: Existem vulnerabilidades conhecidas que podemos corrigir proativamente para reduzir o risco cibernético do lado do cliente? Um patch está disponível e quão crítico é corrigir a vulnerabilidade agora?
Quais as limitações de pentesting, avaliação de vulnerabilidades e avaliação de segurança?
Normalmente, pentests, avaliações de vulnerabilidades e avaliações de segurança são realizados como projetos de curto prazo que são repetidos trimestral ou anualmente. Encontrar bons pentesters é difícil e eles exigem um alto salário por causa do conjunto de habilidades e experiência especializados que possuem. Muitas organizações contratam um provedor de serviços de segurança gerenciado (MSSP) para conduzir o pentest.
Vamos supor que um teste de penetração ou avaliação é 100% preciso e fornece resultados acionáveis. Fantástico. No entanto, os resultados são um instantâneo no tempo, o que significa que os hackers têm a capacidade de executar ataques entre avaliações trimestrais ou anuais. Além disso, os hackers estão sempre procurando novas vulnerabilidades para explorar e provavelmente saberão sobre novas explorações antes que um pentest seja concluído. Contar com avaliações trimestrais ou anuais de vulnerabilidade é um ótimo começo, mas as empresas ainda permanecem expostas a violações. Em última análise, ameaças e atores de ameaças podem se mover muito mais rápido do que qualquer empresa.
Testes e avaliações de penetração também apresentam limitações porque:
- São tempo e recursos intensivos.
- São limitados em escopo a determinadas aplicações, tecnologias e redes.
- Solicite um consultor, testador ou funcionário qualificado com o know-how para ter sucesso.
- Conte com o uso de ferramentas e tecnologias especializadas para descobrir vulnerabilidades e ameaças.
Pentests, avaliações de vulnerabilidades e avaliações de segurança são certas para mim?
Sim! Sim, eles são! Eles são um aspecto necessário de qualquer programa de cibersegurança. Mas tenha em mente que eles não são contínuos. As informações obtidas durante um pentest ou avaliação representam apenas as questões que existem naquele momento, e pode haver uma lista de novas vulnerabilidades e problemas que um pentest ou avaliação diferentes descobrirão em uma semana ou um mês. Atores de ameaça se movem mais rápido do que qualquer governo ou empresa. Para ficar à frente da ameaça, você precisa de mais do que uma avaliação de tempo em tempo ou de vulnerabilidade.
Saiba mais sobre a segurança javaScript
Leia sobre avaliações front-end do JavaScript e como melhorar a segurança do lado do cliente, JavaScript em nosso novo e-book The Ultimate Guide to Client-Side Security.
Você pode baixar o e-book gratuitamente aqui.
Se você mantém um site para apoiar seus usuários finais como parte do seu modelo de negócio, então a segurança do lado do cliente é crucial. Baixe este e-book gratuito para obter uma melhor compreensão do lado do cliente e como você pode proteger sua empresa e seus clientes de skimming web, scripts entre sites, formjacking e a multidão de outras ameaças cibernéticas atacando a parte frontal de seus aplicativos web.
FONTE: HELPNET SECURITY