Segurança da informação é sempre um tópico sensível, principalmente para micro, pequenos e médios negócios. Devido à falta de pessoas qualificadas no mercado e por conta da complexidade natural do assunto, quem entende, cobra caro. A coisa também não é diferente quando estamos tratando de ferramentas de segurança. Se profissionais apenas de segurança são escassos, aqueles que entendem de segurança e também de engenharia de software ao mesmo tempo são mais escassos ainda, e isso naturalmente acaba fazendo com que o custo de produção de ferramentas de segurança da informação seja algo relativamente custoso. E para piorar (ou melhorar) a história, além da responsabilidade que uma empresa possui de proteger os dados de seus clientes e os impactos negativos que uma invasão podem causar, o risco aumentou mais ainda com a introdução da lei geral de proteção de dados, que estipula multas para empresas e pode gerar até prisão para quem lida com a segurança de informação de seus usuários de maneira irresponsável.

Dado o cenário atual, os empresários precisam fazer uma escolha de como este irão abordar o problema de segurança. Muitos preferem o caminho da ganância e irresponsabilidade, apostando que tudo irá sempre correr bem, sem saber ao certo qual o seu nível de exposição e pior ainda, sem considerar como sua irresponsabilidade pode afetar a vida das pessoas envolvidas. Outros entretanto são responsáveis, entendem muito bem os impactos da questão, mas entretanto estão desamparados pois simplesmente não conseguem arcar com os custos de construir um programa de segurança da informação completo, com auxílio de consultorias e profissionais especializados. Se você se enquadra no perfil da segunda afirmação, foi exatamente para você que eu resolvi escrever esse texto de apoio, pois apesar de cada empresa ser um mundo à parte existem problemas de segurança que são genéricos, e nos podemos começar a resolvê-los desde já.

Modelagem de ameaças

O primeiro passo para o desenvolvimento de um programa de segurança, mesmo que genérico, é entender qual é o perfil daqueles que posam como uma ameaça para a sua empresa. Apesar de bancos, militares e organizações políticas serem os alvos prediletos dos APTs isso não quer dizer que sua empresa não possui ninguém de olho nela por não fazer parte desses setores. O desenvolvimento das atividades normais da sua empresa são incentivo suficiente para motivar um ataque, como concorrer com outra empresa, demitir e contratar funcionários, ou até mesmo ter como cliente alguma pessoa ou organização importante que também pode tornar-se um alvo por conta dos mais variados motivos. Sendo assim é importante que você dedique um tempo à pratica de modelagem de ameaças para entender bem quais são os setores da sua empresa que possuem a maior relação de risco versus probabilidade quanto o assunto é um ataque. Esse primeiro passo irá permitir que você foque no que é importante, permitindo obter uma alta efetividade em segurança com o possível baixo investimento. E lembre-se: a lei geral de proteção de dados deve ser incondicionalmente levada em consideração durante essa análise.

Um exemplo muito didático é o das Forças Armadas do Brasil em comparação com as Forças de Defesa de Israel. Enquanto o território do Brasil é de um tamanho absurdo, de topologia difícil de se navegar e separado por mar de todos os países que possuem poder militar suficiente para representar um risco frente ao poder brasileiro, as forças armadas podem dar-se ao luxo de desenvolver um programa mais relaxado, focado em tipos de ameaças específicas. Já em Israel a história é muito diferente, pois rodeados de nações hostis e não possuindo um grande território, o mínimo descuido pode ocasionar em uma completa conquista do país por forças estrangeiras, sendo assim o investimento que eles fazem em defesa é muito maior, exigindo que o serviço militar seja obrigatório até para as mulheres, e operando quase que constantemente próximos de cem porcento de sua capacidade militar. Tendo isso em mente, você precisa entender em qual parte desse espectro você está e quais são os riscos que você pode se dar ao luxo de correr para manter o equilíbrio orçamentário de sua empresa.

Web Application Firewall

Um web application firewall é basicamente um sistema de defesa que fica entre à sua aplicação e a internet. Todo o contato que seus usuários possuem com a sua aplicação serão interceptados pelo firewall, que irá decidir quais ele irá bloquear ou não baseado em regras de detecção de ataques. WAFs como CloudFlare são completamente genéricos, fáceis de usar e podem ser instalados em qualquer aplicação web tendo um custo muito baixo. Custando atualmente a partir de vinte dólares por mês, R$ 115,00 na cotação atual, essa é uma solução acessível para quase todas as empresas eu iria dizer, além do mais que não é necessário contratar um profissional especializado em segurança para realizar o setup desse produto, pois a documentação que eles disponibilizam permite que qualquer pessoa com conhecimentos básicos de servidores web e configuração de domínios faça sua configuração e instalação.

Os WAFs irão tornar sua aplicação segura contra a maioria dos tipos de ameaças eu diria, mesmo que sua aplicação possua vulnerabilidades de segurança ele tentará identificar e barrar qualquer exploração dessas vulnerabilidades, entretanto tipos de ameaças que possuem conhecimento mais avançado podem ainda burlar os WAFs para que esses não detectem seus ataques a partir de técnicas evasivas. Essas tais técnicas evasivas irão fazer com que o WAF pense que a requisição é legítima e não irá bloquear ela. Aqui está uma lista com técnicas evasivas, e pessoalmente dizendo, eu conheço muito mais técnicas do que as que estão presente nessa lista, e um dos grandes problemas dos WAFs é que uma vez que você conseguiu burlar eles e estabelecer uma comunicação cifrada com um backdoor instalado em sua aplicação eles tornam-se inúteis, sendo incapazes de reconhecer e decodificar até sistemas criptográficos de chave pública, como base 64 por exemplo. Em outras palavras, eles não são muito bons contra ameaças internas à sua aplicação, mas lembre-se, os WAFs ainda são eficientes contra a maioria dos tipos de ataques e mesmo ameaças avançadas são incapazes de burlar a maioria das regras dos WAFs quando essas estão externas à sua organização.

Treinamento em desenvolvimento seguro

Caso você acredite que poderá estar na mira de algum tipo de inimigo mais avançado, então está na hora de aprender a identificar e corrigir vulnerabilidades de segurança, e o verbo aprender está diretamente ligado à pagar cursos para que seus desenvolvedores aprendam a lidar com os problemas mais comuns de segurança de aplicações web, como os listados no projeto OWASP Top 10. Felizmente o pessoal do projeto é muito generoso e no website deles você pode encontrar muitos materiais que ensinam a respeito de desenvolvimento seguro, mas esses não são muito fáceis ou didáticos. Em compensação, empresa como a Udemy permitem que cursos como este, que são muito mais didáticos e voltados ao ensino do que os documentos da OWASP tornem-se acessíveis. Investir no seus funcionários nesse caso torna-se barato e os benefícios serão muito bons para ambos os lados, pois o funcionário irá expandir seu leque de conhecimentos enquanto a sua empresa irá tornar-se mais segura, podendo também expandir suas operações com mais tranquilidade e menor risco. No topo de tudo isso eu também gosto de lembrar que não ir para a cadeia é um dos grandes motivadores para manter-se de acordo com a LGPD, ainda mais se assim como eu você não possuir diploma de ensino superior e tiver que aguardar seu julgamento em cela comum.

Ferramentas de análise estática de código-fonte

Quando você treinar seus funcionários eu garanto que eles irão ser capazes de identificar diversas vulnerabilidades em seu sistema e corrigir a maioria delas, entretanto não pense que isso irá resolver todos seus problemas. Apesar de ser essencial treinar seus funcionários, esses ainda não serão capazes de identificar todos os problemas de segurança existente em seu código, até pelo fato de que muitas vulnerabilidades são descobertas em linguagens de programação com o passar do tempo, e também porque olhar para o código tendo em mente os problemas de negócio já é difícil o suficiente, levar em conta segurança ao mesmo tempo e todas a formas possíveis de exploração se torna humanamente impossível eu diria, se você quer ter um bom output produtivo. Nesse caso você pode contar com ferramentas que irão analisar o código de sua aplicação de forma automática, que irão gerar relatórios mostrando todos os pontos vulneráveis da sua aplicação e provendo material de apoio para que seus funcionários consigam corrigir os problemas. Essas ferramentas possuem seu preço liberado somente mediante consulta, mas como um insider eu antecipo que o custo gira em torno ao de um ou dois salários mínimos nos planos iniciais, que normalmente cobrem com folga as necessidades de micro, pequenos e médios negócios. A empresa que possui o melhor custo benefício é a RIPS. Eles estão na Alemanha, e você irá precisar desenrolar o inglês para entrar em contato com eles e solicitar o atendimento de um consultor na América Latina, se você não mencionar que está na América Latina eles normalmente irão te cobrar um valor mais caro, voltado ao mercado europeu.

Além das ferramentas de análise estática de código-fonte, você poderá também contar com as ferramentas de análises de dependências, pois grande parte das vulnerabilidades da sua aplicação estão relacionadas à bibliotecas ou plugins que você utiliza em seu sistema. Sendo assim, você pode contar com ferramentas como a fornecida pela empresa Snyk por exemplo, que cria até pull requests automáticas corrigindo as vulnerabilidades encontradas em seu sistema. Essa ferramenta, levando em conta a cotação atual do dólar, irá custar algo em torno de três ou quatro salários mínimos para empresas que possuem até dez desenvolvedores, porque claro, seu valor está voltado para outros mercados.

Agora cabe à você escolher a partir da sua modelagem de ameaças qual a solução que possui o melhor custo-benefício para sua empresa, e se caso você tenha a condição orçamentária de implementar todas as sugestões dessa postagem, você já estará à frente da grande maioria das empresas que atuam no mercado brasileiro por uma boa margem, falando por experiência própria.

[]´s

Leave a comment

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: