www.cesce.pt
 
 


De pouco importa que o investimento de segurança seja exclusivamente direccionado para a segurança das infra-estruturas de comunicação, se esse mesmo investimento é negligenciado ao nível aplicacional. Assim, há que considerar e não descurar a plataforma de Web Application Firewall (WAF).

Esta consideração é tão ou mais importante que outros níveis de segurança que são necessários implementar para garantir a integridade, a confidencialidade e disponibilidade dos sistemas de informação, mas o que se está assistir nos dias de hoje é que as novas ameaças ou desafios que as empresas enfrentam nesta área estão cada vez mais interligadas com a necessidade de encontrar soluções e estratégias ao nível da segurança aplicacional totalmente viradas para a web.

A abordagem que as empresas devem dedicar à segurança dos seus sistemas muda com muita frequência. O ritmo dessas mudanças é marcado pela dinâmica do desenvolvimento de novas ameaças, da conceção de novos perigos e da avaliação constante dos riscos que um ataque pode ter para uma empresa que tenha grande parte do seu negócio online. A forma como as organizações devem encarar esses perigos mudou, como deve mudar também a maneira como se protegem contra eles.

Se por um lado as empresas têm conhecimento das ameaças existentes no mundo online e dos perigos que estas representam para o seu negócio, por outro existe claramente falta de informação sobre as consequências de um ataque. As companhias nem sempre sabem o que pode acontecer em caso de infeção ou de um ataque bem-sucedido. O que representa para a infraestrutura? Qual o período de downtime (caso exista)? Como se consegue repor a situação de operacionalidade e principalmente qual o custo para o negócio da empresa? As perguntas são simples – as respostas nem por isso. Não são muitas as organizações que sabem dá-las: uma lacuna de informação que dificulta a justificação de investimentos nesta área. Uma área onde a simples firewall já não é suficiente.

Uma abordagem de segurança multi-layer é a mais aconselhada para empresas que querem assegurar um nível máximo de proteção, e a utilização de soluções de segurança aplicacional é um dos passos que não deve ser ignorado pelas empresas que operam num mercado cada vez mais competitivo. Mais: ele é obrigatório para organizações cujo core business se baseia na maior das redes.

Urge neste campo uma plataforma de Web Application Firewall (WAF), se possível com certificação CSA Web Application Firewall, e que tenha balanceamento integrado e capacidades de scanning de vulnerabilidades. Com estas soluções, é possível implementar estratégias de segurança aplicacional totalmente viradas para a Net.

A segurança potenciada por estas soluções é particularmente importante no cenário atual, em que as empresas utilizam aplicações Web baseadas no browser para recorrerem a webmail, módulos de vendas e negócio, entre outras. Estas aplicações não são no seu core desenvolvidas tendo como preocupação a segurança do código, pelo que são alvos primordiais para execução de código malicioso, para roubo de identidade ou de dados, entre outras ameaças. De resto, e de acordo com o Web Application Security Consortium, aproximadamente metade das aplicações usadas no universo online está vulnerável a este tipo de ataques e 99 por cento não estão de acordo com as compliances PCI DSS. Exemplos como a recente exposição pública de dados pessoais de agentes da PSP ou as falhas de segurança de dados na rede PlayStationNetwork da Sony, são apenas alguns exemplos de explorações bem-sucedidas de falhas não detetadas pelas firewalls tradicionais, como sejam o cross-site scripting, o http Response Splitting ou o SQL injection.

As soluções a implementar devem ser capazes de detetar e bloquear ameaças específicas, concebidas para atacar aplicações Web, garantindo uma proteção superior à facultada pela firewall tradicional e por plataformas de IPS/Deep Packet Inspection. Devem conseguir assegurar uma proteção efetiva das aplicações web, ajudando as empresas a cumprir os requisitos de compliance, fazer o scan para analisar e detetar as vulnerabilidades destas aplicações e oferecer vantagens no que respeita a Application Delivery, assegurando a disponibilidade e melhorando a performance de aplicações Web críticas.

Uma segurança que deve ser à prova de bala.

 

 

António Dias
Consultor de Soluções de Segurança
CESCE SI

dci@cesce.pt