Siga esta lista de verificação de segurança de site com as dez principais medidas que as organizações devem adotar para autenticar e autorizar usuários, criptografar o tráfego da web , mitigar riscos de terceiros, bloquear ataques DDoS e bots e muito mais.
Após ler este artigo, você será capaz de:
Copiar o link do artigo
A segurança do site é fundamental para todas as organizações que dependem de aplicativos web como fonte de receita, eficiência e informações de clientes. As organizações com sites que recebem e armazenam dados confidenciais, ou fornecem infraestrutura e serviços críticos, são particularmente suscetíveis a ataques que variam em complexidade, escala e origem.
A segurança de aplicativos web como disciplina é ampla e em constante evolução, visto que o cenário de ameaças da internet e o ambiente regulatório estão em constante mudança. Por exemplo, esta lista de verificação se concentra em como proteger os sites, mas a proteção de APIs e aplicativos habilitados por IA (que os sites incorporam cada vez mais) é cada vez mais importante para grandes empresas.
No entanto, sites voltados para o público de todos os tamanhos e em todos os setores podem se beneficiar de medidas de "básicas" em relação a controles técnicos, controle de acesso e gerenciamento de usuários. Para isso, este guia de segurança de site faz estas dez recomendações:Recomendação: usar a autenticação de dois fatores em vez da autenticação somente por senha
Assim como uma companhia aérea deve verificar a identidade de um passageiro com um documento de identidade válido antes de permitir que ele embarque em um avião, as organizações também devem verificar quem está fazendo login nos sistemas digitais que alimentam seus aplicativos web .
O processo de impedir o acesso não autorizado (garantindo que os indivíduos são quem afirmam ser) é chamado autenticação. A autenticação comprova a identidade verificando características específicas, ou "fatores", em relação a um registro digital.
Estes são os fatores de autenticação mais comuns:
O problema com o primeiro tipo é que as senhas podem muitas vezes ser adivinhadas ou roubadas pelos invasores. Com a prevalência do phishing, ataques on-path, tentativas de quebra de senha com força bruta e reutilização de senhas, tornou-se mais simples para os invasores coletar dados roubados credenciais de login.
Por esse motivo, as organizações devem implementar a autenticação de dois fatores (2FA) em suas contas. A 2FA requer (pelo menos) duas formas separadas de autenticação, o que é mais eficaz do que apenas exigir uma. Embora a 2FA não seja impossível para os invasores quebrarem, ela é significativamente mais difícil e cara para ser comprometida do que a autenticação somente por senha.
Recomendação: definir permissões baseadas em função apenas para usuários autorizados
No entanto, só porque a identidade de alguém é verificada, não significa que essa pessoa deva ter controle sobre tudo. A autorização ajuda a determinar o que um usuário autenticado pode ver e fazer (ou seja, suas permissões).
Por exemplo, um "superadministrador" pode ser o único autorizado a editar todas as configurações e páginas, enquanto um usuário "somente leitura" pode visualizar apenas analytics do site e nada mais.
À medida que as organizações se expandem, também aumenta o número de funções em suas equipes da web: pode haver desenvolvedores de front-end, de back-end, analistas de segurança, de relatórios, web designers, editores de conteúdo e muito mais. Portanto, é importante auditar e atualizar regularmente as permissões baseadas em função.
Recomendação: estabelecer conexões com SSL/TLS gerenciado automaticamente
Qualquer site que colete e transmita dados confidenciais, como credenciais de login, informações de contato, informações de cartão de crédito, informações de saúde e muito mais, precisa de HTTPS. O HTTPS evita que os sites tenham suas informações transmitidas de uma maneira que seja facilmente visualizada por qualquer pessoa que esteja espionando na rede.
O HTTPS funciona através de um protocolo chamado Transport Layer Security (TLS). As versões anteriores do protocolo eram conhecidas como Secure Sockets Layer (SSL).
Procure um serviço que ofereça certificados SSL/TLS autogerenciados, que são o que permite que sites e aplicativos estabeleçam conexões seguras.
O TLS é a espinha dorsal da comunicação para a privacidade e a segurança dos dados. Ele permite que os usuários naveguem na internet com privacidade, sem expor suas informações de cartão de crédito ou outras informações pessoais e confidenciais.
Com o SSL/TLS, um cliente (como um navegador) pode verificar a autenticidade e a integridade do servidor com o qual está se conectando e usar criptografia para trocar informações. Isso, por sua vez, ajuda a evitar ataques on-path e a atender a certos requisitos de conformidade de dados.
Há outros benefícios, também: o TLS ajuda a minimizar a latência para acelerar os tempos de carregamento da página web, e os mecanismos de pesquisa tendem a não priorizar os sites que não conseguem usar criptografia.
Lembre-se de que cada certificado SSL/TLS tem uma data de expiração fixa e os períodos de validade desses certificados foram reduzidos com o tempo. Se um certificado expirar, os clientes, como o navegador do visitante, considerarão que uma conexão segura não pode ser estabelecida, resultando em avisos ou erros. Renovações de certificação perdidas também podem rebaixar as classificações de um site nos mecanismos de busca, mas certos serviços podem oferecer renovação automática.
Recomendação: manter a navegação dos usuários segura e privada com criptografia de DNS
Tecnicamente, o conteúdo de um site não fica em um URL como www.example.com, mas em um endereço de IP único como 192.0.2.1. O processo de conversão do URL em um endereço de IP legível por máquina é conhecido como pesquisa do Domain Name System (DNS) e os registros de DNS são as instruções da internet para qual endereço de IP está associado a um determinado domínio.
Entretanto, por padrão, as consultas e as respostas de DNS são enviadas em texto simples (UDP), o que significa que elas podem ser lidas por redes, provedores de internet e outras pessoas que possam estar monitorando transmissões. Isto pode ter grandes implicações na segurança e na privacidade. Se as consultas de DNS não forem privadas, então se torna mais fácil para os governos censurar a internet e para os invasores espionarem o comportamento on-line dos usuários.
Use um resolvedor de DNS gratuito para criptografar o tráfego de DNS com uma dessas opções:
Recomendação: solucione determinadas limitações do sistema de DNS com uma segurança de DNS desenvolvida especificamente para essa finalidade.
O próprio sistema de DNS não foi criado tendo a segurança em mente e contém várias limitações de design. Por exemplo, ele não garante automaticamente de onde vêm os registros de DNS e aceita qualquer endereço que lhe for oferecido, sem questionar. Portanto, os servidores de DNS podem ficar vulneráveis a falsificação de domínio, ataques de DoS (Negação de Serviço) e muito mais.
Asegurança do DNS (DNSSEC) ajuda a abordar algumas das falhas de design do DNS. Por exemplo, o DNSSEC cria um sistema de nomes de domínio seguro ao adicionar assinaturas criptográficas aos registros de DNS existentes. Ao verificar a assinatura associada, as organizações podem verificar se um registro de DNS solicitado vem de seu nameserver autoritativo, e não de um registro falso.
Alguns resolvedores de DNS já integram o DNSSEC. Além disso, procure um resolvedor de DNS que possa fornecer recursos como filtragem de conteúdo (que pode bloquear sites conhecidos por distribuírem malware e spam) e proteção contra botnets (que bloqueia a comunicação com botnets conhecidas). Muitos desses resolvedores de DNS seguros são de uso gratuito e podem ser ativados alterando-se a configuração de um único roteador .
Recomendação: tornar mais difícil para os invasores encontrarem seu servidor
Se os invasores encontrarem o IP de origem do servidor de uma organização (que é onde os recursos reais do aplicativo web estão hospedados), eles podem enviar tráfego ou ataques diretamente aos servidores.
Dependendo do resolvedor de DNS já implementado, as seguintes etapas também podem ajudar a ocultar o IP de origem:
Recomendação: implementar a mitigação de DDoS sempre ativa e a limitação de taxa
Na pior das hipóteses, os ataques de negação de serviço distribuída (DDoS) podem colocar um site ou toda a rede off-line por longos períodos de tempo.
Os ataques DDoS ocorrem quando um grande número de computadores ou dispositivos, geralmente controlados por um único invasor, tentam acessar um site ou serviço on-line de uma só vez. Esses ataques maliciosos destinam-se a colocar os recursos off-line e torná-los indisponíveis.
Os ataques DDoS na camada de aplicação continuam sendo o tipo de ataque mais comum contra aplicativos web, e estão cada vez mais sofisticados em termos de tamanho e frequência.
Procure as seguintes ferramentas essenciais de prevenção contra DDoS:
Uma defesa abrangente contra ameaça de DDoS também depende de vários métodos que podem variar dependendo do tamanho da organização, de sua arquitetura de rede, e de outros fatores. Saiba mais sobre como evitar ataques DDoS.
Recomendação: procurar ferramentas especificamente para lidar com riscos do lado do cliente
No desenvolvimento da web, “lado do cliente” se refere a tudo em um aplicativo web que é exibido ou acontece no cliente (dispositivo do usuário final). Isso inclui o que o usuário do site vê, como texto, imagens e o restante da IU, junto com quaisquer ações que um aplicativo realiza no navegador do usuário.
A maioria dos eventos do lado do cliente requer o carregamento de JavaScript e outros códigos de terceiros no navegador do visitante da web. Porém, os invasores procuram comprometer essas dependências (por exemplo, com ataques estilo Magecart). Isso deixa os visitantes vulneráveis a malware, roubo de dados de cartão de crédito, mineração de criptomoedas e muito mais.
Os cookies também apresentam riscos do lado do cliente. Por exemplo, um invasor pode explorar cookies para expor visitantes do site à adulteração de cookies, o que pode, em última análise, levar ao controle de conta ou fraude de pagamento. No entanto, os administradores de site , desenvolvedores ou membros da equipe de conformidade muitas vezes nem sabem quais cookies estão sendo usados por seu site.
Para reduzir o risco de scripts e cookies de terceiros, implemente um serviço que:
Recomendação: identificar e mitigar proativamente o tráfego de bots maliciosos
Alguns bots são "bons" e prestam um serviço necessário, como os crawlers de mecanismos de busca autorizados. Porém, outros bots são perturbadores e prejudiciais quando não são verificados.
As organizações que vendem bens físicos ou serviços on-line são particularmente vulneráveis ao tráfego de bots. Um excesso de tráfego de bots pode acarretar:
Procure um serviço de gerenciamento de bots que:
Recomendação: melhorar a segurança da web com decisões baseadas em dados
Analytics e logs com dados acionáveis são importantes para melhorar continuamente o desempenho e a segurança da web.
Por exemplo, logs e painéis de segurança de aplicativos podem fornecer informações sobre:
A visibilidade de analytics do tráfego da web é um componente essencial para a avaliação de riscos contínua. Com ela, as organizações podem tomar decisões mais bem fundamentadas sobre como melhorar o desempenho de seus aplicativos e onde aumentar seus investimentos em segurança.
A nuvem de conectividade da Cloudflare simplifica a segurança e a distribuição de aplicativos web, com um conjunto completo de serviços integrados que conectam e protegem os aplicativos web e as APIs das organizações.
Esses serviços incluem proteção contra DDoS, um firewall de aplicativos web (WAF) líder do setor, gerenciamento de bots, segurança do lado do cliente, um gateway de API, um resolvedor de DNS público gratuito, certificados SSL/TLS gratuitos, analytics de segurança e desempenho na web abrangente e muito e mais.
Descubra os serviços que atendem às necessidades do seu site em www.cloudflare.com/plans.