Quando o assunto é segurança, muitas organizações ainda concentram
investimentos e esforços na proteção da rede, deixando de lado as
aplicações, alvo da maioria das violações de dados. Estudo realizado
pelo Instituto Ponemon, empresa de pesquisas, aponta que companhias
dedicam menos de 10% do orçamento de segurança de TI para blindar os
softwares.
As razões são muitas, diz Jeremiah Grossman, fundador e CTO da WhiteHat Security, que identifica vulnerabilidades e realiza gestão de serviços para sites. Primeiro, diz, muitos profissionais de segurança têm um ponto cego em software. “A maioria dos empregados não é direcionado para software", aponta. "Eles têm um background em TI e tudo o que eles realmente sabem como fazer é proteger a rede”, completa.
Em segundo lugar, estão as questões regulatórias e de conformidade. “As empresas devem cumpri-las", aponta. "Eles passam a maior parte do orçamento para aquisição de firewalls e antivírus, com o objetivo de atender questões de conformidade”, explica.
Priorizar segurança de aplicativos é um desafio
Muitas vezes, é difícil para a organização priorizar a segurança do aplicativo, diz Grossman. Mesmo quando as organizações identificam vulnerabilidades graves em seus sites, essa não é necessariamente uma decisão simples cem razão do custo do desenvolvimento.
“A organização tem de corrigi-los", observa. "E a área de negócios tem de pensar ‘se não entregarmos os recursos, as vulnerabilidades, de fato, vão nos custar muito dinheiro em um futuro próximo’”, aconselha.
Vulnerabilidades em aplicações estão em declínio
Grossman diz que o cenário de segurança de aplicativos mostra sinais de melhora. Enquanto 2011 foi batizado como o “Ano da Infração”, título concedido com base em uma série de violações de empresas como RSA, Sony, Facebook e Citigroup, ano passado o número grave de vulnerabilidades em sites também caiu.
Durante 12 anos, a WhiteHat reuniu uma série de relatórios de estatísticas de segurança baseados nas vulnerabilidades que encontram nos sites que avaliam. A parcela de 2011, com base no exame de vulnerabilidades críticas de 7 mil sites, encontrou uma média de 79 vulnerabilidades sérias por página, uma redução drástica da média de 230 registrada em 2010 e 2011 em 2007.
Os resultados da WhiteHat mostram um retrato do estado da segurança se sites hoje. A vertical finanças continuou a mostrar a sua dedicação à segurança, de acordo com os relatórios.
Sites bancários têm o menor número de vulnerabilidades graves quando comparados a páginas de outros segmentos, com uma média de 17 vulnerabilidades sérias por site. Os bancos também têm a maior taxa de recuperação de 74%. Cada setor, com as notáveis exceções de saúde e seguros, apresentaram melhora a partir de 2010.
Além disso, o tempo de correção mostrou grande melhoia, caindo para uma média de 38 dias, muito menor do que a média de 116 dias em 2010. "Os desenvolvedores sabem que 38 dias é um número muito bom", avalia Grossman. "Mas para os usuários finais, esse tempo é inaceitável”, assinala.
Passos para melhorar a segurança
Para melhorar a segurança do aplicativo e fazer o melhor uso do orçamento de segurança de TI, Grossman sugere, em primeiro lugar, determinar se a empresa é um alvo de oportunidade ou um destino de escolha.
Alvos de oportunidade são violados quando a postura de segurança é mais fraca do que a média da indústria de atuação. Alvos de escolha possuem algum tipo de informação única e valiosa, ou talvez uma reputação ou marca que é particularmente atraente para um atacante.
“Na web, se você está fazendo negócios de qualquer tipo, vai ser um alvo de oportunidade", diz Grossman. "Todo mundo tem algo que vale a pena roubar na visão de um sujeito mal-intencionado. Outras empresas são alvo de escolha, porque têm números de cartão de crédito, ou listas de clientes”, observa. De acordo com ele, essa definição ajuda a alinhar a necessidade de segurança.
Se você determinar que é um alvo de oportunidade, diz Grossman, precisa ter certeza de que é um pouco mais seguro do que a média dos negócios no mesmo setor de atuação. Ele observa as organizações podem usar os dados do relatório WhiteHat Security para identificar se estão acima ou abaixo da média.
Alvos de escolha, por outro lado, precisam manter-se seguros o máximo possível e, em seguida, preparar planos de como reagir quando as barreiras são rompidas para minimizar os danos.
Grossman também recomenda que as companhias direcionem um certo esforço para compreender como os atacantes se aproximarão de seus sites. Além disso, ele diz que as organizações precisam entender seus pontos de referência: quais vulnerabilidades são mais prevalentes em seus sites, qual é seu tempo de correção, o percentual de correção, janela média de exposição etc.
Se a organização sempre identifica vulnerabilidades de um determinado tipo, como cross-site scripting ou injeção de SQL, é um sinal de que os desenvolvedores precisam entender a questão. Se o time-to-fix é particularmente lento, é um sinal de que a companhia tem um problema e seus desenvolvedores não estão tratando vulnerabilidades como bugs.
“Compreenda seu ciclo de desenvolvimento de software", recomenda Grossman. "Entenda onde a organização é boa, onde não é, e faça os ajustes necessários”, finaliza.
As razões são muitas, diz Jeremiah Grossman, fundador e CTO da WhiteHat Security, que identifica vulnerabilidades e realiza gestão de serviços para sites. Primeiro, diz, muitos profissionais de segurança têm um ponto cego em software. “A maioria dos empregados não é direcionado para software", aponta. "Eles têm um background em TI e tudo o que eles realmente sabem como fazer é proteger a rede”, completa.
Em segundo lugar, estão as questões regulatórias e de conformidade. “As empresas devem cumpri-las", aponta. "Eles passam a maior parte do orçamento para aquisição de firewalls e antivírus, com o objetivo de atender questões de conformidade”, explica.
Priorizar segurança de aplicativos é um desafio
Muitas vezes, é difícil para a organização priorizar a segurança do aplicativo, diz Grossman. Mesmo quando as organizações identificam vulnerabilidades graves em seus sites, essa não é necessariamente uma decisão simples cem razão do custo do desenvolvimento.
“A organização tem de corrigi-los", observa. "E a área de negócios tem de pensar ‘se não entregarmos os recursos, as vulnerabilidades, de fato, vão nos custar muito dinheiro em um futuro próximo’”, aconselha.
Vulnerabilidades em aplicações estão em declínio
Grossman diz que o cenário de segurança de aplicativos mostra sinais de melhora. Enquanto 2011 foi batizado como o “Ano da Infração”, título concedido com base em uma série de violações de empresas como RSA, Sony, Facebook e Citigroup, ano passado o número grave de vulnerabilidades em sites também caiu.
Durante 12 anos, a WhiteHat reuniu uma série de relatórios de estatísticas de segurança baseados nas vulnerabilidades que encontram nos sites que avaliam. A parcela de 2011, com base no exame de vulnerabilidades críticas de 7 mil sites, encontrou uma média de 79 vulnerabilidades sérias por página, uma redução drástica da média de 230 registrada em 2010 e 2011 em 2007.
Os resultados da WhiteHat mostram um retrato do estado da segurança se sites hoje. A vertical finanças continuou a mostrar a sua dedicação à segurança, de acordo com os relatórios.
Sites bancários têm o menor número de vulnerabilidades graves quando comparados a páginas de outros segmentos, com uma média de 17 vulnerabilidades sérias por site. Os bancos também têm a maior taxa de recuperação de 74%. Cada setor, com as notáveis exceções de saúde e seguros, apresentaram melhora a partir de 2010.
Além disso, o tempo de correção mostrou grande melhoia, caindo para uma média de 38 dias, muito menor do que a média de 116 dias em 2010. "Os desenvolvedores sabem que 38 dias é um número muito bom", avalia Grossman. "Mas para os usuários finais, esse tempo é inaceitável”, assinala.
Passos para melhorar a segurança
Para melhorar a segurança do aplicativo e fazer o melhor uso do orçamento de segurança de TI, Grossman sugere, em primeiro lugar, determinar se a empresa é um alvo de oportunidade ou um destino de escolha.
Alvos de oportunidade são violados quando a postura de segurança é mais fraca do que a média da indústria de atuação. Alvos de escolha possuem algum tipo de informação única e valiosa, ou talvez uma reputação ou marca que é particularmente atraente para um atacante.
“Na web, se você está fazendo negócios de qualquer tipo, vai ser um alvo de oportunidade", diz Grossman. "Todo mundo tem algo que vale a pena roubar na visão de um sujeito mal-intencionado. Outras empresas são alvo de escolha, porque têm números de cartão de crédito, ou listas de clientes”, observa. De acordo com ele, essa definição ajuda a alinhar a necessidade de segurança.
Se você determinar que é um alvo de oportunidade, diz Grossman, precisa ter certeza de que é um pouco mais seguro do que a média dos negócios no mesmo setor de atuação. Ele observa as organizações podem usar os dados do relatório WhiteHat Security para identificar se estão acima ou abaixo da média.
Alvos de escolha, por outro lado, precisam manter-se seguros o máximo possível e, em seguida, preparar planos de como reagir quando as barreiras são rompidas para minimizar os danos.
Grossman também recomenda que as companhias direcionem um certo esforço para compreender como os atacantes se aproximarão de seus sites. Além disso, ele diz que as organizações precisam entender seus pontos de referência: quais vulnerabilidades são mais prevalentes em seus sites, qual é seu tempo de correção, o percentual de correção, janela média de exposição etc.
Se a organização sempre identifica vulnerabilidades de um determinado tipo, como cross-site scripting ou injeção de SQL, é um sinal de que os desenvolvedores precisam entender a questão. Se o time-to-fix é particularmente lento, é um sinal de que a companhia tem um problema e seus desenvolvedores não estão tratando vulnerabilidades como bugs.
“Compreenda seu ciclo de desenvolvimento de software", recomenda Grossman. "Entenda onde a organização é boa, onde não é, e faça os ajustes necessários”, finaliza.
Nenhum comentário:
Postar um comentário