Os desafios da segurança de aplicativos em 2013

Nunca antes a segurança da informação esteve tão presente no dia a dia das pessoas. Esta é uma questão que afeta a todos sem distinção, de grandes corporações, passando por pequenas empresas e organizações sem fins lucrativos, até pessoas físicas. Por outro lado, assistimos a uma grande difusão de dispositivos, não somente corporativos, mas também dos próprios usuários que passaram a se conectar a Internet para acessar aplicativos e informações, de forma ininterrupta.

E o que isso representa em termos de segurança da informação? De imediato, podemos perceber que as políticas tradicionais de segurança, especialmente voltadas à proteção das estações de trabalho, não são mais tão eficazes para conter as brechas de segurança, principalmente se levarmos em consideração a mobilidade dos usuários e dos sistemas de informação. Mas o que a mobilidade tem a ver com isto?

Não há dúvidas que a mobilidade é, hoje, a palavra de ordem. Para se ter uma ideia, segundo a IDC, foram vendidos cerca de 2,6 milhões de tablets no Brasil em 2012. Neste ano, este número deve saltar para 5,4 milhões. Outra pesquisa, da Our Mobile Planet realizada pelo Google em parceria com o Instituto Ipsos, revelou que 14% dos celulares no País são smartphones. O uso desses dispositivos móveis intensificou a utilização de aplicações (apps), que segundo estimativas do Gartner, as lojas on-line de aplicações - App Store e o Android Market - devem distribuir 70 milhões de aplicativos até 2014.

E se por um lado a ubiquidade do acesso à tecnologia representa uma quebra de paradigma, esta difusão de mobilidade tem por principal característica a descentralização do acesso à informação, permitindo que seus clientes, parceiros ou grupos de amigos realizem, a partir de ambientes não controlados, interações sensíveis com seus aplicativos hospedados na Internet. Uma pesquisa da Juniper Research informa que o número de colaboradores que usam smartphones e tablets pessoais nas empresas vai mais que dobrar até 2014, chegando a 350 milhões em comparação com quase 150 milhões este ano.

Para entender melhor o problema, vamos tratar da questão dos aplicativos. Em sua grande maioria, os ataques de hoje começam por meio de brechas de segurança nos aplicativos utilizados pelas pessoas para realizar suas atividades diárias, tais como acessar e-mail, canais de atendimento, portais de notícias, enquetes, internet bank, etc. A partir destas falhas, os criminosos estruturam operações com alvos específicos como a prática de fraudes eletrônicas, roubo de identidade e crimes contra o sistema financeiro. A fragilidade dos aplicativos disponibilizados por uma determinada empresa pode, inclusive, determinar o grau de sucesso para atacar os seus serviços e clientes.

Para se ter uma ideia, nove de cada 10 aplicações corporativas que foram analisadas pela RedeSegura possuem algum tipo de vulnerabilidade que pode ser explorada por meio de ferramentas amplamente disponíveis na Internet. Destas aplicações vulneráveis, apenas duas serão corrigidas em uma janela de tempo necessária para evitar ataques mais sérios. Já o relatório de Tendências e Riscos X-Force dá conta que mais de 4,4 mil novas vulnerabilidades de segurança na web e em mídias sociais foram encontradas no primeiro semestre de 2012. Destas, 47% não foram corrigidas.

Mas por que isso acontece? Tradicionalmente as organizações nunca se preocuparam diretamente com os aplicativos. Bastava assegurar que o usuário e o meio de comunicação estivessem protegidos. Entretanto, neste jogo de insegurança, perdem os dois lados. Perde o desenvolvedor do aplicativo, que permite que seu sistema e dados de clientes sejam expostos de maneira arbitrária, e perde o usuário, que muitas vezes é vítima de ataques facilitados por estas falhas, instalando e hospedando malwares, programas maliciosos como botnets e cavalos de troia.

Sem a correta metodologia de detecção de falhas de segurança ainda na fase do desenvolvimento dos aplicativos, procedimento muitas vezes esquecido, o serviço, mesmo com funcionalidades perfeitas, será um calcanhar de Aquiles na segurança. Além desta prevenção, é importante rodar um sistema confiável que consiga rastrear, da forma mais eficiente possível, as brechas na segurança dos aplicativos já existentes em produção. Estas são mudanças primordiais para o futuro da segurança da informação neste mundo cada vez mais conectado.

.Por: Thiago Zaninotti, CISSP-ISSAP, CSSLP, CISM, é mestre em engenharia da computação pelo Instituto de Pesquisas Tecnológicas de São Paulo, criador da tecnologia patenteada da N-Stalker e CTO da Rede Segura Tecnologia. | Perfil-A Rede Segura Tecnologia foi fundada pela N-Stalker, empresa com mais de 13 anos de experiência em segurança na internet, para licenciar com exclusividade o uso do Sistema RedeSegura, que implementa uma metodologia de segurança dirigida para as aplicações web e seus servidores. O uso do Sistema RedeSegura suporta o processo de Gerenciamento de Vulnerabilidades, criando um ciclo contínuo de melhoria da segurança que vai desde a avaliação da qualidade das entregas do desenvolvedor (QA de Segurança), até o Monitoramento do Risco de ataques no ambiente web de produção, cobrindo todo o ciclo de vida das aplicações web com avaliações de segurança recomendadas pela OWASP, o PCI-DSS, e SANS/FBI. A metodologia de segurança proposta pela Rede Segura Tecnologia integra equipes técnicas multidisciplinares em torno de uma política de segurança abrangente, e em conformidade com melhores práticas, promovendo assim um avanço do Grau de Maturidade das empresas na Gestão da Segurança da Informação. | www.redesegura.com.br.