Blog

You are currently viewing Seus Aplicativos estão sob ataque

Seus Aplicativos estão sob ataque

  • Post author:
  • Post category:News

Rationale e Check Point Seus Aplicativos estão sob ataque!

O desenvolvimento de aplicativos mudou e cresceu com a rápida adoção de ambientes baseados em nuvem. Como o nome sugere, os aplicativos da web são programas acessíveis aos usuários por meio de um navegador da web. Eles são uma parte importante da presença na web de uma organização. Muitas vezes, essa presença incorpora interfaaces de programação de aplicativos (APIs) que permitem acesso programático aos aplicativos da Web de uma organização ou serviços subjacentes para a aplicação.

Sem surpresa, esses aplicativos Web e APIs são um alvo comum de criminosos cibernéticos. A ameaça crescente se torna mais perigosa pela adoção de serviços na nuvem necessários para construir tais aplicativos. Os serviços de proteção de API e aplicativo Web em nuvem (WAAP) são a evolução dos serviços de firewall de aplicativo Web em nuvem para atender a esses novos desafios.

As soluções tradicionais são baseadas em regras — elas analisam cada solicitação isoladamente e as comparam com regras definidas manualmente. O problema com essa abordagem está no ritmo acelerado do desenvolvimento de aplicativos. A mesma razão pela qual os desenvolvedores são atraídos para sistemas de aplicativos da Web baseados em nuvem é o que cria uma superfície de ataque crescente. Os aplicativos estão evoluindo mais rápido do que nunca – criando e expondo mais APIs.

Está muito evidente que as organizações estão adotando um desenvolvimento de software mais ágil, onde a maioria já está integrando sua cadeia de ferramentas DevOps em implantações na nuvem. Porém, a minoria está interessada na adoção do DevSecOps.

Os criminosos cibernéticos atacam aplicativos web e APIs usando métodos como injeção de SQL e scripts entre sites, além de scripts automáticos, conhecidos como “bots”. Esses ataques são prejudiciais e caros, e a capacidade de proteger aplicativos nunca foi tão crítica.

A Nuvem matou o WAF baseado em regras

Os WAFs binários baseados em regras são insuficientes para proteger os aplicativos cada vez mais complexos pelos seguintes motivos:

  1. Os aplicativos Web baseados em nuvem geralmente se baseiam em várias fontes de código, incluindo repositórios de código aberto. Um aplicativo é construído de pequenos pedaços de código que são mais exclusivos e de propósito único, mas há um número maior deles. Isso pode levar a mais vulnerabilidades. No caso de código aberto — vulnerabilidades amplamente conhecidas que podem ser vetores fáceis para um ataque.
  • A taxa de mudança é infinitamente mais rápida do que antes. Aplicativos de nuvem modernos podem estar a um clique de distância da produção. Um “commit” no “Github” passará automaticamente por testes e depois para produção com pouco envolvimento humano. Qualquer solução que exija ajuste manual de Segurança para Aplicativo nunca corresponderá ao ritmo de desenvolvimento.
  • Os aplicativos se tornaram mais abertos e conectados. Os aplicativos de nuvem modernos têm um grande número de recursos interagindo com serviços de terceiros fora do “perímetro”. Os dados podem entrar e sair dos aplicativos de muitas mais maneiras do que no passado. Com efeito, agora existem centenas de perímetros para proteger.
  • Como sempre, os ataques aumentam consistentemente em seu nível de sofisticação. Além do uso de bots e APIs como vetores de ataque, há um grande problema de escalonamento de privilégios na nuvem. Atacantes que se infiltram em um aplicativo procurarão chaves de API para outros aplicativos ou recursos. Devido a permissões baseadas em funções mal configuradas, a execução remota de código pode ser muito mais prejudicial na nuvem.

A melhor alternativa para WAFs binários baseados em regras é uma solução que não requer ajuste de regras com implantação automatizada. Utilizando o conceito de “Application Self Protection” e alimentado por um mecanismo de IA contextual, como a tecnologia inovadora do CloudGuard AppSec da Check Point, que possui:

  • Implantação automatizada e interrupção de ataques na camada de aplicativos, incluindo OWASP top10, sem ajuste manual ou falsos positivos.
  • Interrupção do acesso e abuso de APIs não autorizados, sem quebrar aplicativos e frustrar os usuários.
  • Identificação e interrupção dos bots maliciosos antes que eles possam impactar negativamente a experiência dos clientes
  • “Catch any HTTP” baseado em CVEs e vulnerabilidades conhecidas.

Dúvidas? Fale com nosso time e solicite uma demonstração.


Fonte: Check Point Software Brasil

Tags: , , , , , , ,