Guia de segurança para sites: uma lista de verificação em dez etapas

Siga esta lista de verificação de segurança de site com as dez principais medidas que as organizações devem adotar para autenticar e autorizar usuários, criptografar o tráfego da web , mitigar riscos de terceiros, bloquear ataques DDoS e bots e muito mais.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Identificar diferentes maneiras de proteger sites
  • Entender as principais formas de autenticar e autorizar usuários da web
  • Explicar alguns dos ataques a sites mais comuns

Copiar o link do artigo

A importância da segurança do site

A segurança do site é fundamental para todas as organizações que dependem de aplicativos web como fonte de receita, eficiência e informações de clientes. As organizações com sites que recebem e armazenam dados confidenciais, ou fornecem infraestrutura e serviços críticos, são particularmente suscetíveis a ataques que variam em complexidade, escala e origem.

A segurança de aplicativos web como disciplina é ampla e em constante evolução, visto que o cenário de ameaças da internet e o ambiente regulatório estão em constante mudança. Por exemplo, esta lista de verificação se concentra em como proteger os sites, mas a proteção de APIs e aplicativos habilitados por IA (que os sites incorporam cada vez mais) é cada vez mais importante para grandes empresas.

No entanto, sites voltados para o público de todos os tamanhos e em todos os setores podem se beneficiar de medidas de "básicas" em relação a controles técnicos, controle de acesso e gerenciamento de usuários. Para isso, este guia de segurança de site faz estas dez recomendações:

1) Proteger contas com autenticação forte

Recomendação: usar a autenticação de dois fatores em vez da autenticação somente por senha

Assim como uma companhia aérea deve verificar a identidade de um passageiro com um documento de identidade válido antes de permitir que ele embarque em um avião, as organizações também devem verificar quem está fazendo login nos sistemas digitais que alimentam seus aplicativos web .

O processo de impedir o acesso não autorizado (garantindo que os indivíduos são quem afirmam ser) é chamado autenticação. A autenticação comprova a identidade verificando características específicas, ou "fatores", em relação a um registro digital.

Estes são os fatores de autenticação mais comuns:

  • Algo que a pessoa sabe: verifica se há um conhecimento secreto que apenas a pessoa real deve ter, como uma combinação de nome de usuário e senha, perguntas de segurança ou códigos PIN.
  • Algo que a pessoa tem: verifica se a pessoa possui um item que foi emitido ou que se sabe que possui (semelhante à necessidade de uma chave física para abrir a porta da frente de uma casa). Em sistemas digitais, a autenticação verifica um token de software (como um código gerado para dispositivo móvel) ou um token de hardware (como um pequeno item físico que deve ser conectado ao seu dispositivo via Bluetooth ou porta USB) antes de permitir o acesso.
  • Algo que a pessoa é: avalia as qualidades físicas inerentes de uma pessoa por meio da biometria; por exemplo, verificando uma impressão digital ou por meio de reconhecimento facial.

O problema com o primeiro tipo é que as senhas podem muitas vezes ser adivinhadas ou roubadas pelos invasores. Com a prevalência do phishing, ataques on-path, tentativas de quebra de senha com força bruta e reutilização de senhas, tornou-se mais simples para os invasores coletar dados roubados credenciais de login.

Por esse motivo, as organizações devem implementar a autenticação de dois fatores (2FA) em suas contas. A 2FA requer (pelo menos) duas formas separadas de autenticação, o que é mais eficaz do que apenas exigir uma. Embora a 2FA não seja impossível para os invasores quebrarem, ela é significativamente mais difícil e cara para ser comprometida do que a autenticação somente por senha.

2) Aplicar permissões baseadas em função

Recomendação: definir permissões baseadas em função apenas para usuários autorizados

No entanto, só porque a identidade de alguém é verificada, não significa que essa pessoa deva ter controle sobre tudo. A autorização ajuda a determinar o que um usuário autenticado pode ver e fazer (ou seja, suas permissões).

Usuários autorizados

Por exemplo, um "superadministrador" pode ser o único autorizado a editar todas as configurações e páginas, enquanto um usuário "somente leitura" pode visualizar apenas analytics do site e nada mais.

À medida que as organizações se expandem, também aumenta o número de funções em suas equipes da web: pode haver desenvolvedores de front-end, de back-end, analistas de segurança, de relatórios, web designers, editores de conteúdo e muito mais. Portanto, é importante auditar e atualizar regularmente as permissões baseadas em função.

3) Criptografar o tráfego da web com SSL/ TLS

Recomendação: estabelecer conexões com SSL/TLS gerenciado automaticamente

Qualquer site que colete e transmita dados confidenciais, como credenciais de login, informações de contato, informações de cartão de crédito, informações de saúde e muito mais, precisa de HTTPS. O HTTPS evita que os sites tenham suas informações transmitidas de uma maneira que seja facilmente visualizada por qualquer pessoa que esteja espionando na rede.

Certificado SSL de navegação segura

O HTTPS funciona através de um protocolo chamado Transport Layer Security (TLS). As versões anteriores do protocolo eram conhecidas como Secure Sockets Layer (SSL).

SSL/TLS automatizado

Procure um serviço que ofereça certificados SSL/TLS autogerenciados, que são o que permite que sites e aplicativos estabeleçam conexões seguras.

O TLS é a espinha dorsal da comunicação para a privacidade e a segurança dos dados. Ele permite que os usuários naveguem na internet com privacidade, sem expor suas informações de cartão de crédito ou outras informações pessoais e confidenciais.

Com o SSL/TLS, um cliente (como um navegador) pode verificar a autenticidade e a integridade do servidor com o qual está se conectando e usar criptografia para trocar informações. Isso, por sua vez, ajuda a evitar ataques on-path e a atender a certos requisitos de conformidade de dados.

Há outros benefícios, também: o TLS ajuda a minimizar a latência para acelerar os tempos de carregamento da página web, e os mecanismos de pesquisa tendem a não priorizar os sites que não conseguem usar criptografia.

Lembre-se de que cada certificado SSL/TLS tem uma data de expiração fixa e os períodos de validade desses certificados foram reduzidos com o tempo. Se um certificado expirar, os clientes, como o navegador do visitante, considerarão que uma conexão segura não pode ser estabelecida, resultando em avisos ou erros. Renovações de certificação perdidas também podem rebaixar as classificações de um site nos mecanismos de busca, mas certos serviços podem oferecer renovação automática.

4) Criptografar o tráfego de DNS por HTTPS ou TLS

Recomendação: manter a navegação dos usuários segura e privada com criptografia de DNS

Tecnicamente, o conteúdo de um site não fica em um URL como www.example.com, mas em um endereço de IP único como 192.0.2.1. O processo de conversão do URL em um endereço de IP legível por máquina é conhecido como pesquisa do Domain Name System (DNS) e os registros de DNS são as instruções da internet para qual endereço de IP está associado a um determinado domínio.

Entretanto, por padrão, as consultas e as respostas de DNS são enviadas em texto simples (UDP), o que significa que elas podem ser lidas por redes, provedores de internet e outras pessoas que possam estar monitorando transmissões. Isto pode ter grandes implicações na segurança e na privacidade. Se as consultas de DNS não forem privadas, então se torna mais fácil para os governos censurar a internet e para os invasores espionarem o comportamento on-line dos usuários.

Use um resolvedor de DNS gratuito para criptografar o tráfego de DNS com uma dessas opções:

  • DNS sobre TLS, ou DoT, é um padrão para criptografia de consultas de DNS a fim de mantê-las seguras e privadas. Ele dá aos administradores de rede a capacidade de monitorar e bloquear consultas de DNS, o que é importante para identificar e interromper o tráfego malicioso.
  • O DNS sobre HTTPS, ou DoH, é uma alternativa ao DoT. Com o DoH, as consultas e respostas de DNS são criptografadas, mas são enviadas por meio dos protocolos HTTP ou HTTP/2 em vez de diretamente por UDP. Isso dá menos visibilidade aos administradores de rede, mas oferece mais privacidade aos usuários.

5) Integrar a segurança de DNS

Recomendação: solucione determinadas limitações do sistema de DNS com uma segurança de DNS desenvolvida especificamente para essa finalidade.

O próprio sistema de DNS não foi criado tendo a segurança em mente e contém várias limitações de design. Por exemplo, ele não garante automaticamente de onde vêm os registros de DNS e aceita qualquer endereço que lhe for oferecido, sem questionar. Portanto, os servidores de DNS podem ficar vulneráveis a falsificação de domínio, ataques de DoS (Negação de Serviço) e muito mais.

Ataque DDoS baseado em DNS

Asegurança do DNS (DNSSEC) ajuda a abordar algumas das falhas de design do DNS. Por exemplo, o DNSSEC cria um sistema de nomes de domínio seguro ao adicionar assinaturas criptográficas aos registros de DNS existentes. Ao verificar a assinatura associada, as organizações podem verificar se um registro de DNS solicitado vem de seu nameserver autoritativo, e não de um registro falso.

Alguns resolvedores de DNS já integram o DNSSEC. Além disso, procure um resolvedor de DNS que possa fornecer recursos como filtragem de conteúdo (que pode bloquear sites conhecidos por distribuírem malware e spam) e proteção contra botnets (que bloqueia a comunicação com botnets conhecidas). Muitos desses resolvedores de DNS seguros são de uso gratuito e podem ser ativados alterando-se a configuração de um único roteador .

6) Ocultar o endereço de IP de origem

Recomendação: tornar mais difícil para os invasores encontrarem seu servidor

Se os invasores encontrarem o IP de origem do servidor de uma organização (que é onde os recursos reais do aplicativo web estão hospedados), eles podem enviar tráfego ou ataques diretamente aos servidores.

Dependendo do resolvedor de DNS já implementado, as seguintes etapas também podem ajudar a ocultar o IP de origem:

  • Não hospedar um serviço de e-mail no mesmo servidor que o recurso da web que está sendo protegido, pois e-mails enviados para endereços inexistentes são devolvidos ao invasor revelando o IP do servidor de e-mail .
  • Certificar-se de que o servidor web não se conecte a endereços arbitrários fornecidos pelos usuários.
  • Como os registros de DNS são de domínio público, alternar os IPs de origem.

7) Evitar ataques DDoS

Recomendação: implementar a mitigação de DDoS sempre ativa e a limitação de taxa

Na pior das hipóteses, os ataques de negação de serviço distribuída (DDoS) podem colocar um site ou toda a rede off-line por longos períodos de tempo.

Os ataques DDoS ocorrem quando um grande número de computadores ou dispositivos, geralmente controlados por um único invasor, tentam acessar um site ou serviço on-line de uma só vez. Esses ataques maliciosos destinam-se a colocar os recursos off-line e torná-los indisponíveis.

Os ataques DDoS na camada de aplicação continuam sendo o tipo de ataque mais comum contra aplicativos web, e estão cada vez mais sofisticados em termos de tamanho e frequência.

Ataques DDoS na camada de aplicação

Procure as seguintes ferramentas essenciais de prevenção contra DDoS:

  • Mitigação de DDoS sempre ativa: procure uma defesa contra DDoS escalável, "sempre ativa", com os seguintes recursos:
    • Absorção automática do tráfego malicioso o mais próximo possível da origem do ataque (o que reduz a latência para o usuário final e o tempo de inatividade da organização)
    • Mitigações de DDoS ilimitadas e não medidas (o que evita cobranças extras por picos no tráfego de ataque)
    • Proteções centralizadas e autônomas contra todos os tipos de ataques DDoS (incluindo ataques nas camadas de aplicação e redes)
  • Limitação de taxa: a limitação de taxa é uma estratégia para limitar o tráfego de rede. Ela essencialmente limita a frequência com que alguém pode repetir uma ação dentro de um determinado período de tempo por exemplo, quando as botnets tentam fazer DDoS em um aplicativo web . Isso é comparável a um policial que para um motorista por exceder o limite de velocidade da estrada. Existem dois tipos de limitação de taxa:
    • Limitação de taxa baseada em IP padrão, que protege endpoints não autenticados, limita o número de solicitações de endereços de IP específicos e lida com abusos de infratores reincidentes
    • Limitação de taxa avançada, que também protege as APIs contra abusos, mitiga ataques volumétricos de sessões de API autenticadas e oferece mais personalização

    Uma defesa abrangente contra ameaça de DDoS também depende de vários métodos que podem variar dependendo do tamanho da organização, de sua arquitetura de rede, e de outros fatores. Saiba mais sobre como evitar ataques DDoS.

    8) Gerenciar scripts de terceiros e uso de cookies

    Recomendação: procurar ferramentas especificamente para lidar com riscos do lado do cliente

    No desenvolvimento da web, “lado do cliente” se refere a tudo em um aplicativo web que é exibido ou acontece no cliente (dispositivo do usuário final). Isso inclui o que o usuário do site vê, como texto, imagens e o restante da IU, junto com quaisquer ações que um aplicativo realiza no navegador do usuário.

    A maioria dos eventos do lado do cliente requer o carregamento de JavaScript e outros códigos de terceiros no navegador do visitante da web. Porém, os invasores procuram comprometer essas dependências (por exemplo, com ataques estilo Magecart). Isso deixa os visitantes vulneráveis a malware, roubo de dados de cartão de crédito, mineração de criptomoedas e muito mais.

    Monitor de script do lado do cliente

    Os cookies também apresentam riscos do lado do cliente. Por exemplo, um invasor pode explorar cookies para expor visitantes do site à adulteração de cookies, o que pode, em última análise, levar ao controle de conta ou fraude de pagamento. No entanto, os administradores de site , desenvolvedores ou membros da equipe de conformidade muitas vezes nem sabem quais cookies estão sendo usados por seu site.

    Para reduzir o risco de scripts e cookies de terceiros, implemente um serviço que:

    • Descobre e gerencia automaticamente riscos de scripts de terceiros; e
    • Fornece visibilidade total dos cookies primários usados pelos sites.
  • 9) Bloquear bots e outros tráfegos inválidos

    Recomendação: identificar e mitigar proativamente o tráfego de bots maliciosos

    Alguns bots são "bons" e prestam um serviço necessário, como os crawlers de mecanismos de busca autorizados. Porém, outros bots são perturbadores e prejudiciais quando não são verificados.

    As organizações que vendem bens físicos ou serviços on-line são particularmente vulneráveis ao tráfego de bots. Um excesso de tráfego de bots pode acarretar:

    • Impacto no desempenho: um excesso de tráfego de bots pode impor uma carga pesada aos servidores web, reduzindo a velocidade ou negando serviço para usuários legítimos.
    • Interrupções operacionais: os bots podem raspar ou baixar conteúdo de um site, espalhar rapidamente conteúdo de spam ou acumular estoque on-line de uma empresa.
    • Roubo de dados e controle de contas: os bots podem roubar dados de cartão de crédito, credenciais de login e assumir o controle de contas.

    Procure um serviço de gerenciamento de bots que:

    • Identifica bots com precisão em escala, aplicando análise comportamental, aprendizado de máquina e impressões digitais a um grande volume de tráfego
    • Permite que os bots bons, como os dos mecanismos de pesquisa, continuem acessando o site e, ao mesmo tempo, evita o tráfego malicioso.
    • Se integra facilmente com outros serviços de segurança e desempenho de aplicativos web
    • 10) Rastrear e analisar o tráfego da web e métricas de segurança

      Recomendação: melhorar a segurança da web com decisões baseadas em dados

      Analytics e logs com dados acionáveis são importantes para melhorar continuamente o desempenho e a segurança da web.

      Por exemplo, logs e painéis de segurança de aplicativos podem fornecer informações sobre:

      • Possíveis ameaças no tráfego HTTP, de modo que os erros que afetam os usuários finais possam ser identificados e depurados.
      • Variações de ataque e seus conteúdos maliciosos (por exemplo, ataques de injeção versus ataques de execução remota de código), para que os sistemas possam ser "ajustados" e fortalecidos de acordo.
      • Tráfego de consulta de DNS e distribuição geográfica de consultas ao longo do tempo para detectar tráfego anômalo.

      A visibilidade de analytics do tráfego da web é um componente essencial para a avaliação de riscos contínua. Com ela, as organizações podem tomar decisões mais bem fundamentadas sobre como melhorar o desempenho de seus aplicativos e onde aumentar seus investimentos em segurança.

      Como a Cloudflare ajuda a proteger sites?

      A nuvem de conectividade da Cloudflare simplifica a segurança e a distribuição de aplicativos web, com um conjunto completo de serviços integrados que conectam e protegem os aplicativos web e as APIs das organizações.

      Esses serviços incluem proteção contra DDoS, um firewall de aplicativos web (WAF) líder do setor, gerenciamento de bots, segurança do lado do cliente, um gateway de API, um resolvedor de DNS público gratuito, certificados SSL/TLS gratuitos, analytics de segurança e desempenho na web abrangente e muito e mais.

      Descubra os serviços que atendem às necessidades do seu site em www.cloudflare.com/plans.