O que é segurança de aplicativos web?

A natureza global da internet expõe aplicativos web e APIs a ataques de muitos locais e de vários níveis de escala e complexidade. Como tal, a segurança de aplicativos web abrange uma variedade de estratégias e cobre muitas partes da cadeia de suprimentos de software.

Quais são os riscos comuns de segurança dos aplicativos web?

Os aplicativos web podem enfrentar vários tipos de ataque, dependendo dos objetivos do invasor, da natureza do trabalho da organização visada e das lacunas de segurança específicas do aplicativo. Os tipos de ataque mais comuns incluem:

• vulnerabilidades zero-day: estas são vulnerabilidades desconhecidas para os fabricantes de um aplicativo e que, portanto, não têm uma correção disponível.Atualmente vemos mais de 20 mil a cada ano.Os ataques procuram explorar estas vulnerabilidades rapidamente e, muitas vezes, seguem tentando fugir das proteções implementadas pelos fornecedores de segurança.
• Cross site scripting (XSS) o XSS é uma vulnerabilidade que permite que um invasor injete scripts do lado do cliente em uma página web para acessar informações importantes diretamente, personificar o usuário ou induzir o usuário a revelar informações importantes.
• SQL injection (SQi) SQi é um método pelo qual um invasor explora vulnerabilidades na maneira como um banco de dados executa consultas de pesquisa. Os invasores usam a SQi para obter acesso a informações não autorizadas, modificar ou criar novas permissões de usuário ou manipular ou destruir dados confidenciais de qualquer outra forma.
• Ataques de negação de serviço (DoS) e ataques de negação de serviço distribuída (DDoS) por meio de uma variedade de vetores, os invasores conseguem sobrecarregar o servidor afetado ou sua infraestrutura circundante com diferentes tipos de tráfego de ataque. Quando um servidor perde a capacidade de processar com eficácia as solicitações recebidas, começa a se comportar com lentidão e, finalmente, passa a negar serviço às solicitações recebidas de usuários legítimos.
• Corrupção de memória a corrupção da memória ocorre quando um local na memória é acidentalmente modificado, resultando em um possível comportamento inesperado do software. Os agentes mal-intencionados tentam farejar e explorar a corrupção da memória por meio de ataques como injeções de código ou estouro de buffer.
• Estouro de buffer o estouro de buffer ou transbordamento de dados é uma anomalia que ocorre quando o software grava dados em um espaço definido na memória conhecido como buffer. Se a capacidade do buffer for excedida, isso faz com que os dados em locais de memória adjacentes sejam substituídos. Esse comportamento pode ser explorado para injetar códigos maliciosos na memória, possivelmente criando uma vulnerabilidade na máquina afetada.
• Falsificação de solicitações entre sites (CSRF) — a falsificação de solicitações entre sites tem como objetivo induzir uma vítima a fazer uma solicitação que utiliza sua autenticação ou autorização. Ao tirar proveito dos privilégios de conta de um usuário, um invasor é capaz de enviar uma solicitação como se fosse o usuário. Após comprometer a conta de um usuário, o invasor consegue extrair, destruir ou alterar informações importantes. As contas com muitos privilégios, como as de administradores ou executivos, frequentemente são as mais visadas.
• Preenchimento de credenciais: os invasores podem usar bots para inserir rapidamente um grande número de combinações de nome de usuário e senha roubadas no portal de login de um aplicativo web.Se essa prática der ao invasor acesso à conta de um usuário real, ele poderá roubar os dados do usuário ou fazer compras fraudulentas em nome do usuário.
• Raspagem de páginas: os invasores também podem usar bots para roubar conteúdo de páginas web em grande escala.Eles podem usar esse conteúdo para obter uma vantagem de preço sobre um concorrente, imitar o proprietário da página para fins maliciosos ou outros motivos.
• Abuso de API: APIs, ou Application Programming Interfaces, são softwares que permitem que dois aplicativos se comuniquem.Como qualquer tipo de software, eles podem ter vulnerabilidades que permitem que invasores enviem códigos maliciosos para um dos aplicativos ou interceptem dados confidenciais à medida que passam de um aplicativo para outro.Esse é um tipo de ataque cada vez mais comum à medida que o uso de APIs aumenta.A lista top 10 do OWASP para APIs resumiu sucintamente os principais riscos de segurança de APIs que as organizações enfrentam hoje.
• APIs ocultas: as equipes de desenvolvimento trabalham rapidamente para atender aos objetivos da empresa, frequentemente criando e publicando APIs sem informar as equipes de segurança.Essas APIs desconhecidas podem expor dados confidenciais da empresa, operando nas "sombras", pois as equipes de segurança encarregadas de proteger as APIs não têm conhecimento de sua existência.
• Abuso de código de terceiros: muitos aplicativos web modernos usam várias ferramentas de terceiros, por exemplo, um site de comércio eletrônico que usa uma ferramenta de processamento de pagamento de terceiros. Se os invasores encontrarem uma vulnerabilidade em uma dessas ferramentas, eles poderão comprometer a ferramenta e roubar os dados que ela processa, impedir que ela funcione ou usá-la para injetar código malicioso em outro lugar no aplicativo. Ataques Magecart, que roubam dados de cartão de crédito de processadores de pagamento, são um exemplo desse tipo de ataque. Esses ataques também são considerados ataques à cadeia de suprimentos do navegador.
• Configurações incorretas da superfície de ataque: a superfície de ataque de uma organização é toda a sua área de TI que pode ser suscetível a ataques cibernéticos: servidores, dispositivos, SaaS e ativos de nuvem acessíveis pela internet.Essa superfície de ataque pode permanecer vulnerável a ataques devido a certos elementos serem negligenciados ou configurados incorretamente.

Quais são as estratégias importantes de segurança de aplicativos web?

Conforme mencionado, a segurança de aplicativos web é uma disciplina ampla e em constante evolução. Como tal, as melhores práticas da disciplina mudam à medida que surgem novos ataques e vulnerabilidades. Mas o cenário moderno de ameaças da internet é ativo o suficiente para que nenhuma organização seja capaz de sobreviver sem certos serviços de segurança que mapeiam as necessidades específicas de seus negócios:

• Mitigação de DDoS: os serviços de mitigação de DDoS ficam entre um servidor e a internet pública, usando filtragem especializada e capacidade de largura de banda extremamente alta para evitar picos de tráfego malicioso sobrecarregando o servidor.Esses serviços são importantes porque muitos ataques DDoS modernos fornecem tráfego malicioso o suficiente para sobrecarregar até mesmo os servidores mais resilientes.
• Firewall de aplicativos web (WAF): que filtra o tráfego conhecido ou suspeito de estar aproveitando as vulnerabilidades de aplicativos da web.Os WAFs são importantes porque novas vulnerabilidades surgem muito rápida e silenciosamente, sendo praticamente impossível para quase todas as organizações se manterem atualizadas.
• Gateways de APIs: que ajudam a identificar "APIs ocultas" negligenciadas e bloqueiam o tráfego conhecido ou suspeito de visar vulnerabilidades de API.Eles também ajudam a gerenciar e monitorar o tráfego de APIa.(Saiba mais sobre segurança de APIs.)
• DNSSEC: um protocolo que garante que o tráfego de DNS de um aplicativo web seja roteado com segurança para os servidores corretos, para que os usuários não sejam interceptados por um invasor intermediário.
• Gerenciamento de certificado de criptografia: no qual um terceiro gerencia elementos chave do processo de criptografia SSL/TLS, tais como geração de chaves privadas, renovação de certificados e revogação de certificados devido a vulnerabilidades.Isso elimina o risco de que esses elementos passem despercebidos e exponham o tráfego privado.
• Gerenciamento de bots: que utiliza o aprendizado de máquina e outros métodos especializados de detecção para distinguir o tráfego automatizado do de usuários humanos, e impedir que os primeiros acessem um aplicativo web.
• Segurança do lado do cliente: que verifica novas dependências JavaScript de terceiros e alterações de código de terceiros, ajudando as organizações a capturar atividades maliciosas mais cedo.
• Gerenciamento de superfícies de ataque: ferramentas de gerenciamento de superfície de ataque acionáveis devem fornecer um único lugar para mapear sua superfície de ataque, identificar possíveis riscos de segurança e mitigar os riscos com alguns cliques.

Quais práticas recomendadas de segurança de aplicativos as organizações devem esperar de seus fornecedores?

Os desenvolvedores web podem projetar e construir aplicações de forma a impedir que invasores acessem dados privados, acessem fraudulentamente contas de usuários e executem outras ações maliciosas. A lista Top 10 do OWASP registra os riscos de segurança mais comuns dos aplicativos sobre os quais os desenvolvedores devem estar cientes. As práticas para prevenir esses riscos incluem:

• Exigir validação de entrada: o bloqueio da passagem de dados formatados inadequadamente através dos fluxos de trabalho do aplicativo ajuda a evitar que códigos maliciosos entrem no aplicativo através de um ataque de injeção.
• Usar criptografia atualizada: o armazenamento de dados do usuário de forma criptografada, juntamente com o uso do HTTPS para criptografar a transmissão do tráfego de entrada e saída, ajuda a evitar que os invasores roubem dados.
• Apresentar autenticação e autorização fortes: construir e impor controles para senhas fortes, apresentar opções de autenticação multifator, incluindo chaves físicas. Apresentar opções de controle de acesso e outras práticas torna mais difícil para os invasores acessar de forma fraudulenta contas de usuário e mover-se lateralmente em seu aplicativo.
• Acompanhamento de APIs: existem ferramentas para identificar "APIs ocultas" negligenciadas que podem constituir uma superfície de ataque, mas a segurança de APIs se torna mais fácil quando as APIs nunca são negligenciadas em primeiro lugar.
• Documentação de alterações de código: o que ajuda as equipes de segurança e desenvolvedores a corrigir vulnerabilidades recém introduzidas mais cedo.

Como a Cloudflare mantém os aplicativos web seguros?

A Cloudflare opera uma rede global de 310 cidades que oferece muitos dos serviços de segurança listados acima, incluindo mitigação de DDoS, firewall de aplicativos web, proteção de APIs, DNSSEC, SSL/TLS gerenciado, gerenciamento de bots, segurança do lado do cliente e muito mais.

Esses serviços são todos projetados para serem executados a partir de qualquer data center em nossa rede, permitindo que eles interrompam os ataques perto de sua fonte. Eles são integrados aos nossos serviços de desempenho do site, portanto, adicionar novas proteções de segurança nunca diminui o tráfego. Além disso, todos esses serviços funcionam com todos os tipos de infraestrutura de sites e podem ser ativados em minutos.

Para experimentá-los, inscreva-se em um plano da Cloudflare.