Ataques de sites podem passar despercebidos durante meses, à medida que hackers roubam informações confidenciais. As perdas financeiras e danos à reputação de uma possível violação estão estimulando as organizações a proteger seus aplicativos da web. Aqui encontramos Ilia Kolochenko, CEO da High-Tech Bridge e arquiteta-chefe da ImmuniWeb, como manter seu site seguro em 2015.

  • Como o cenário de ameaças à segurança está se moldando para 2015

TechRadar Pro: Quais ferramentas as organizações estão usando para proteger seus sites??

Ilia Kolochenko: Quando as violações de segurança enchem as notícias com histórias de dados de clientes roubados e falhas de sites, as organizações geralmente recorrem a scanners automáticos. E esse excesso de confiança nos scanners está deixando as organizações em uma posição vulnerável. Infelizmente, ainda há um equívoco comum de que a varredura de vulnerabilidades de sites totalmente automatizada traz os mesmos resultados que os testes manuais de penetração de aplicativos da Web..

TRP: Por que ainda precisamos de testes de penetração manual??

IK: A necessidade de habilidades humanas foi recentemente demonstrada por uma grande nova análise (relatada pela Ars Technica) conduzida pelas universidades de KU Leuven (Bélgica) e Stony Brook (Nova York)..

Os pesquisadores testaram sites "protegidos" com vários selos de confiança fornecidos por fornecedores de segurança que oferecem vulnerabilidade automatizada e serviços de verificação de malware - empresas conceituadas como Symantec, McAfee, Trust-Guard e Qualys.

A pesquisa mostrou que "os provedores de selo têm um desempenho muito ruim quando se trata da detecção de vulnerabilidades nos sites que eles certificam". Esta é uma fraqueza inerente a quase todas as soluções totalmente automatizadas - elas só podem ir tão longe antes que sua produção precise ser analisada por um pentester qualificado (testador de penetração).

TRP: Conte-nos como a varredura de vulnerabilidades funciona?

IK: A varredura de vulnerabilidades pode ser muito barata ou até gratuita, enquanto os testes de penetração podem ser considerados muito caros e demorados para planejar e executar. No entanto, o teste de penetração traz um valor agregado significativo em comparação a todos os tipos de verificação de malware ou vulnerabilidade atualmente no mercado de segurança da Web..

Na verdade, hoje quase todo mundo pode fazer varredura de vulnerabilidades: basta baixar alguns dos vários scanners de vulnerabilidades - alguns bem excelentes - e executá-los em um site. Eles gerarão um relatório automático fornecendo inúmeras vulnerabilidades e fraquezas reais e potenciais - e provavelmente também vários falsos positivos.

Os falsos positivos são demorados - você precisa verificar cada um dos problemas detectados pelo scanner. Muito pior são os falsos negativos - as vulnerabilidades existentes que as soluções automatizadas perdem, deixando os sistemas vulneráveis ​​e dando aos administradores do site uma falsa sensação de segurança. Algumas soluções automatizadas podem atribuir um risco médio a 403 ou 500 páginas de erro retornadas pelo servidor da Web (que não são vulnerabilidades, apenas páginas de erro).

Por fim, os administradores de sites, sob pressão de cargas de trabalho pesadas, começam a ignorar todas as vulnerabilidades de risco médio dos relatórios de verificação diária. Como resultado, eles perdem informações importantes sobre vulnerabilidades reais que merecem sua atenção..

TRP: Quais empresas devem usar scanners de vulnerabilidade?

IK: Os scanners de segurança são provavelmente uma ferramenta obrigatória para grandes empresas que executam alguns testes de segurança internamente, contando com profissionais de segurança internos capazes de verificar e concluir os resultados de uma verificação automatizada. A varredura de vulnerabilidades automatizada também pode ser muito útil para manter as equipes internas atualizadas sobre o estado geral de seus aplicativos da Web..

No entanto, soluções automatizadas e scanners de segurança não são capazes de substituir um teste de penetração. Eles também não são adequados para PMEs, nem para projetos em que as empresas precisam de rapidez e da mais alta qualidade em testes de segurança..

TRP: Quais são as vantagens do teste de penetração manual??

IK: O pentesting verdadeiro começa a partir de onde uma varredura de vulnerabilidade é concluída. Um pentester pegará os relatórios de provavelmente vários scans diferentes e usará suas habilidades e experiência para eliminar os falsos positivos e identificar vulnerabilidades perdidas..

Em particular, é provável que ele reconheça as fraquezas na lógica de negócios, que os scanners não podem detectar com eficiência, e veja como outras falhas técnicas podem ser encadeadas para causar uma violação importante. Um exemplo recente de falha na lógica de aplicação é o site da Alibaba, onde um pequeno bug expunha as informações mais sensíveis de milhões de usuários. Outro exemplo recente é uma vulnerabilidade semelhante no site da Delta Airlines, onde a manipulação de URL permitia o acesso ao cartão de embarque de qualquer pessoa.

Outro exemplo da necessidade vital de um nível profundo de conhecimento em TI e segurança é a descoberta de uma vulnerabilidade por um scanner. A vulnerabilidade provavelmente já é conhecida da equipe de segurança e permanece sem correção por uma "boa razão" - em alguns casos, um patch para a vulnerabilidade pode ameaçar a funcionalidade de um processo de negócios crítico. É um caso frequente em grandes empresas, onde muitos produtos críticos são desenvolvidos internamente ou terceirizados, e sofrem de vários problemas de compatibilidade que impedem que os sistemas sejam mantidos atualizados..

Nesse caso, um scanner provavelmente gerará informações genéricas sobre uma técnica de correção. Um pentester qualificado, no entanto, é capaz de compreender as necessidades e os processos do cliente, e provavelmente sugerirá uma solução apropriada que não impactará a continuidade dos negócios e, se não corrigir a vulnerabilidade, pelo menos impedirá sua exploração (adicionando regras para o Web Application Firewall, por exemplo).

TRP: Qual a precisão dos scanners de vulnerabilidade?

IK: Em nossa experiência, a maioria dos scanners provavelmente encontra apenas cerca de 40 a 60% das vulnerabilidades em aplicativos da Web. Não é um problema com a tecnologia de escaneamento - provavelmente um scanner poderia ser desenvolvido para um aplicativo, plataforma ou framework específico capaz de encontrar 99% das vulnerabilidades específicas do aplicativo..

No entanto, levando em consideração a grande variedade de tecnologias da Web que existem hoje, é impossível desenvolver um scanner universal que detecte com eficiência as vulnerabilidades em todos os tipos de aplicativos da web. Especialização humana é necessária aqui.

TRP: Quais são os limites para testes de penetração na web??

IK: Testes de penetração na Web também têm seus limites. Por exemplo, eles não podem impedir que um PC de administração de um site seja invadido, com o objetivo de roubar credenciais de FTP ou SSH para infectar o site com malware mais tarde. No entanto, o malware pode ser identificado rapidamente com a verificação diária de malware.

A varredura de vulnerabilidades deve ser usada para monitoramento contínuo de segurança e integridade, enquanto o teste de invasão deve ser usado para identificar adequadamente todas as vulnerabilidades e fraquezas existentes e desenvolver correções confiáveis ​​para elas. É nesse ponto que o monitoramento diário contínuo combinado com o teste de penetração trimestral é a maneira mais eficiente e eficaz de manter um site seguro.

TRP: Onde você vê o futuro da avaliação de segurança da Web??

IK: Como solução para a lacuna entre os testes de segurança automatizados e manuais, a High-Tech Bridge lançou o ImmuniWeb SaaS este ano - uma abordagem híbrida para testes de segurança da Web.

O ImmuniWeb combina testes de segurança da Web manuais e automatizados, adequados para todos os tipos de empresas, independentemente de seu tamanho, localização geográfica ou habilidades internas. A alta velocidade e a grande escala de testes automatizados combinados com experiência e experiência humana detectam com precisão as falhas de segurança mais complexas perdidas por scanners e outras soluções automatizadas.

Além disso, os auditores da ImmuniWeb fornecem aos nossos clientes soluções personalizadas adequadas às suas necessidades comerciais e técnicas..