Ser o responsável pela segurança de aplicações web nos dias atuais pode ser o maior campo minado do ponto de vista da Segurança da Informação. Isso se dá por muitas empresas estarem investindo pesado para atingir a conformidade com a Lei Geral de Proteção de Dados (LGPD). No entanto, estão esquecendo que muitos destes dados são acessíveis por meio destas aplicações que, em sua maioria, estão com um labirinto de camadas, oferecendo um campo livre para vulnerabilidades. Para piorar, as organizações precisam identificar e entender a superfície geral de ataque, com ciência exata dos pontos mais frágeis desta infraestrutura, mas costumam não ter estas informações.
É fato que grande parte das informações de identificação pessoal (PII) como nome, CPF, RG e dados financeiros são coletados e armazenados por essas aplicações. Esses dados, mesmo antes da LGPD, já eram extremamente valiosos e protegidos por regulamentações específicas da indústria (financeiras, principalmente). O não cumprimento, por exemplo, já resultava em multas pesadas, assim como a perda de confiança e danos incalculáveis à reputação da marca.
Conforme o Relatório de Inteligência de Ameaça Global (GTIR 2020), publicado neste ano pela NTT, em 2019, 55% de todos os ataques identificados foram uma combinação entre ataques de aplicações web e aplicações específicas. Enquanto as organizações correm para realizar a adequação, discutem como será feita a gestão de consentimento, levantam local de armazenamento de dados e usam consultorias jurídicas para apoiá-los na estruturação, a porta destes aplicativos permanece escancarada, sem qualquer tipo de teste, monitoração ou preocupação.
As ações para garantir a proteção e a conformidade devem andar em conjunto. É importante entender a criticidade de suas aplicações e promover a segurança em todo o ciclo de sua vida, principalmente se são aplicações personalizadas, feitas pela sua organização ou por um terceiro, sob medida. Para minimizar seus riscos, valide que suas aplicações web estejam sob os seguintes controles:
- Testes de segurança de aplicação regulares
- Firewalls de aplicação Web
- Política de melhores práticas e normas para desenvolvimento seguro de aplicações web
- Monitoramento contínuo para desempenho e comportamento
Os testes de aplicações em todo o ciclo de sua vida têm se mostrado bastante efetivos, quando aliados a um processo rigoroso de gestão de vulnerabilidades. Com uma média que varia bastante, a indústria entende que os tempos para aplicar correções e consertar vulnerabilidades pode durar entre semanas e meses. Essa exposição é suficiente para criar problemas e embrulhar o estômago de qualquer executivo mais avesso ao risco. É por isso que soluções como testes de segurança de aplicações dinâmicos (DAST) e testes de segurança de aplicações estáticos (SAST) são fortes aliados.
Os testes dinâmicos funcionam em ambientes produtivos e detectam vulnerabilidades, reportando com alta eficiência o que está presente, eliminando boa parte dos falsos positivos e permitindo essa varredura de forma constante, agilizando o tempo para reparo. Vemos que, quanto mais testes são realizados, menor se torna o tempo para consertar os problemas, o que diminui a janela de exposição. Afinal, nenhum gestor de infraestrutura ou aplicação, por exemplo, quer receber o mesmo indicador vermelho por dois meses seguidos em um relatório, informando que seu time não fez o trabalho de mitigação correto. Infelizmente, isso acontece muitas vezes, porque há falta de visibilidade e controle.
Quando as reuniões se tornam regulares, assim como a cobrança por resultados, essas ações se tornam realidade e os esforços deixam de ser hercúleos para serem mais facilmente gerenciáveis e organizados. Além disso, ao combinar os testes dinâmicos com os testes estáticos, o software feito em casa ou por terceiros já ganha robustez e segurança antes mesmo de entrar no ambiente produtivo, minimizando grandemente as falhas, agilizando também o tempo de correção (em quantidade) e economizando custos. Afinal, é muito mais barato e eficiente consertar problemas relacionados à segurança ainda em código dentro do ambiente de desenvolvimento ou homologação.
Portanto, é essencial para as organizações localizar e compreender qualquer aspecto que possa ser explorado como ponto de entrada por um hacker experiente. Por isso é importante a presença de um parceiro que conheça o cenário global de ataques e esteja disposto a acompanhá-lo em sua jornada de segurança, oferecendo os serviços necessários para que você atinja a maturidade e a conformidade com a LGPD do jeito certo. Tudo isso não apenas com consultoria jurídica, mas com toda a proteção tecnológica para o consentimento, o armazenamento e o principal alvo, aplicações e seus dados. Afinal, empresas que investem em segurança, testam e preparam ostensivamente seu ambiente não podem ser acusadas de negligência.
*Pedro Godoy é Solution Architect da NTT Ltd.