Em um mundo perfeitamente equilibrado, disponibilidade e segurança seriam iguais. Certamente os usuários de aplicativos estão tão preocupados com a segurança de seus dados quanto com o acesso a eles.
Como todos sabemos, este não é um mundo perfeitamente equilibrado. Os usuários têm a mesma probabilidade — talvez até mais — de excluir um aplicativo e abandonar uma marca, devido a problemas de disponibilidade e desempenho, do que devido a uma violação de dados.
Ah, eles ainda fazem barulho por causa de uma violação. Mas geralmente custa dinheiro à empresa em vez de usuários dedicados.
Essa dicotomia se reflete nas prioridades relatadas a nós pelos profissionais de segurança no Relatório de Proteção de Aplicativos de 2018 do F5 Labs . Entre os CISOs, a preocupação número um não é — como você pode suspeitar com base no título — a segurança. Em uma pesquisa anterior focada em CISOs, " O papel evolutivo dos CISOs e sua importância para os negócios ", a maioria dos CISOs declarou que sua principal preocupação é a disponibilidade e que evitar o tempo de inatividade dos aplicativos é a principal missão de suas organizações.
Isso também se refletiu em nosso próximo relatório sobre o estado da automação de rede. Quando perguntados sobre quais métricas são usadas para medir o sucesso individualmente e em equipe, "tempo de atividade da rede" ficou no topo da lista para 59% dos profissionais de segurança, com "tempo de atividade do aplicativo" em segundo lugar, com quase metade (49%) dos entrevistados de segurança.
Incluído no termo disponibilidade está o desempenho. A velocidade é considerada um componente da disponibilidade, e a segurança geralmente é deixada de lado quando se trata de detectar os ataques que produzem resultados. Como a inspeção de dados essencial para detectar códigos e dados maliciosos é cara e introduz latência, sua prática é frequentemente vista como contraproducente.
O foco na disponibilidade é um trunfo para os invasores. Cientes da priorização de seus alvos em termos de disponibilidade, o relatório do F5 Labs observa que " os invasores também estão programando ataques DDoS como distrações para encobrir roubo de dados e ataques de fraude realizados simultaneamente enquanto os administradores estão distraídos ". Essa técnica, conhecida como "cortina de fumaça", não é nenhuma novidade. Como observamos em 2017 , as organizações estão sendo cada vez mais atingidas por ataques DDoS volumétricos para ocultar as verdadeiras intenções dos invasores.
E os consumidores estão pagando por isso.
Cada vez mais os invasores estão usando nosso foco na disponibilidade como uma distração. Isso é preocupante, porque os invasores estão intensificando suas táticas, empregando todas as ferramentas disponíveis para encontrar uma rota através das redes, infraestrutura e aplicativos até o tesouro que está além de seus portões: os dados. O problema é que os invasores não estão apenas usando usuários e sistemas que os separam de seus objetivos. Hoje, eles também usam os próprios dados.
No Relatório de Proteção de Aplicativos 2018 do F5 Labs, pesquisadores analisaram dados de violações e ataques de diversas fontes. Os resultados não foram surpreendentes, mas são inquietantes.
No primeiro trimestre de 2018, 70% dos registros de violações analisados apontaram ataques de injeção na web como causa raiz. Isso não é nenhuma surpresa se você estiver acompanhando. Na última década, 23% de todos os registros de violação indicam que o vetor de ataque inicial foi a injeção de SQL. É tão difundido que foi listado como número um no OWASP Top 10 em 2017.
Na verdade, quase metade (46%) dos ataques contra aplicativos da web baseados em PHP foram baseados em injeção. Profissionais de segurança devem observar que o PHP está em todo lugar. Builtwith.com , que monitora as tecnologias usadas para criar os aplicativos que compõem a Internet, observa que 43% dos milhões de principais sites são criados com PHP. Os EUA hospedam quase dezoito milhões desses sites, com quase metade (47%) dos dez mil principais usando o idioma.
Esse é um campo amplo no qual os invasores podem — e o fazem — escolher alvos. Das mais de 21.000 redes exclusivas nas quais os ataques foram conduzidos, de acordo com o relatório, 58% tiveram como alvo sites baseados em PHP.
Para que você não aponte o dedo para a linguagem usada, é importante observar que os pesquisadores do F5 Labs também alertam para ficar de olho em ataques de desserialização. Esses ataques não são específicos de um idioma e se concentram nos dados em si. Do relatório:
"A serialização ocorre quando os aplicativos convertem seus dados em um formato (geralmente binário) para transporte, normalmente do servidor para o navegador da web, do navegador da web para o servidor ou de máquina para máquina por meio de APIs."
Ao incorporar comandos ou adulterar parâmetros no fluxo de dados, os ataques geralmente passam sem filtros direto para o aplicativo. Aplicativos (ou componentes de aplicativos) que não conseguem filtrar ou higienizar os dados podem ser vítimas de vulnerabilidades, como foi o caso do Apache Struts. Os ataques de desserialização são considerados uma ameaça tão grande que a OWASP os adicionou à sua lista dos 10 principais no ano passado. Considerando que 148 milhões de americanos e 15,2 milhões de cidadãos do Reino Unido foram afetados por essa vulnerabilidade, os ataques de desserialização merecem maior atenção do que recebem, devido ao seu uso relativamente pequeno na prática.
O que é revelador sobre essas duas ameaças é que elas seguem um tema comum: você também não pode confiar nos dados. Sejam modificados intencionalmente ou aproveitando solicitações legítimas, os ataques estão cada vez mais ocultos no fluxo de dados.
Mas para não focar muito no aplicativo e seus dados, não vamos ignorar que o restante da pilha é igualmente vulnerável e provavelmente será alvo de ataques. A dependência contínua de criptografia fraca, como SSL e TLS 1.0 descontinuados, é uma fonte de frustração. Esses métodos foram descontinuados porque são cheios de inseguranças e facilitam a exploração de ataques em busca de acesso.
Como observa o relatório, " novas vulnerabilidades do protocolo TLS são lançadas cerca de duas vezes por ano. No entanto, com exceção do Heartbleed, a maioria das vulnerabilidades nomeadas do protocolo TLS são acadêmicas e raramente usadas em uma violação real. Um dos maiores envolvidos foi o Community Health Systems (CHS) em 2014. O CHS perdeu quase cinco milhões de números de previdência social quando um invasor usou a vulnerabilidade Heartbleed ."
Baixa ameaça, alto risco. Ninguém quer ser esse caso raro, mas eventualmente alguém é.
A realidade é que estamos entrando em uma era em que não basta confiar em ninguém. Precisamos analisar mais profundamente a pilha para procurar ataques projetados para desabilitar e driblar as proteções implementadas para proteger aplicativos e dados. Devemos encarar a proteção de aplicativos como um continuum que avalia constantemente o estado de toda a pilha de aplicativos, da rede à infraestrutura e aos serviços. Isso significa valorizar a segurança dos nossos dados tanto quanto a velocidade com que os entregamos.
Precisamos lembrar da Regra de Segurança Zero: Nunca confie na entrada do usuário. E precisamos lembrar também que a entrada do usuário inclui dados. Isso significa aumentar a segurança para incluir a inspeção de dados de entrada e encontrar maneiras de compensar possíveis impactos no desempenho e na disponibilidade.
Significa reconhecer que a disponibilidade às vezes é apenas uma diversão e que não podemos nos dar ao luxo de cair nessa. A segurança merece — e precisa — de um lugar na mesma mesa com disponibilidade e desempenho. A prioridade de um CISO deve ser a segurança, não a disponibilidade.
Porque se o CISO não vai defender a segurança, quem vai?
Você pode encontrar mais insights e análises no Relatório de Proteção de Aplicativos de 2018 do F5 Labs , incluindo orientações úteis sobre os ataques e proteções que existem em toda a pilha de aplicativos.