Habilidades cibernéticas relaxadas, pontos cegos do desenvolvedor por trás das avarias do AppSec das organizações

Organizações governamentais e instituições educacionais, em particular, estão cada vez mais na mira dos hackers, à medida que vulnerabilidades graves da web aumentam em espiral.

Execução remota de código (RCE), script entre sites (XSS) e injeção de SQL (SQLi) são todos os principais infratores de software. Todos os três aumentam ou pairam em torno dos mesmos números alarmantes ano após ano.

O RCE, geralmente o objetivo final de um invasor mal-intencionado, foi a principal causa da fuga de TI após a exploração do Log4Shell. Essa vulnerabilidade tem visto um aumento constante desde 2018.

A empresa de segurança corporativa Invicti divulgou seu relatório AppSec Indicator Spring 2022 no mês passado, que revelou vulnerabilidades da Web de mais de 939 de seus clientes em todo o mundo. As descobertas vêm de uma análise do maior conjunto de dados da plataforma Invicti AppSec – com mais de 23 bilhões de varreduras de aplicativos de clientes e 282.000 vulnerabilidades de impacto direto descobertas.

A pesquisa da Invicti mostra que um terço das instituições educacionais e organizações governamentais experimentaram pelo menos uma ocorrência de SQLi no ano passado. Os dados de 23,6 bilhões de verificações de segurança ressaltam a necessidade premente de uma abordagem abrangente de segurança de aplicativos, com organizações governamentais e educacionais ainda em risco de injeção de SQL este ano.

Os dados mostram que inúmeras vulnerabilidades comuns e bem compreendidas continuam a proliferar em aplicativos da web. Também mostra que a presença contínua dessas vulnerabilidades apresenta um sério risco para as organizações em todos os setores.

Mesmo vulnerabilidades bem conhecidas ainda prevalecem em aplicativos da web, de acordo com o presidente e COO da Invicti, Mark Ralls. As organizações devem assumir o controle de sua postura de segurança para garantir que a segurança seja parte do DNA da cultura, dos processos e das ferramentas de uma organização, para que a inovação e a segurança funcionem juntas.

“Vimos que as vulnerabilidades mais graves da web continuam a florescer, mantendo-se estáveis ​​ou aumentando em frequência nos últimos quatro anos”, disse Ralls ao TechNewsWorld.

Principais conclusões

A escalada desenfreada de incidentes de injeção de SQL encontrada entre organizações governamentais e educacionais foi o aspecto mais surpreendente da pesquisa, observou Ralls.

Especialmente incômodo é o SQLi, que aumentou cinco por cento em frequência nos últimos quatro anos. Esse tipo de vulnerabilidade da Web permite que agentes mal-intencionados modifiquem ou substituam consultas que um aplicativo envia para seu banco de dados. Isso é particularmente preocupante para organizações do setor público, que geralmente armazenam dados e informações pessoais altamente confidenciais.

Os RCEs são a joia da coroa para qualquer ciberataque e o vetor por trás do evento Log4Shell do ano passado. Também aumentou cinco por cento desde 2018. O XSS teve um aumento de seis por cento na frequência.

“Essas tendências ecoaram em todas as descobertas do relatório, revelando uma situação preocupante para a segurança cibernética”, disse Ralls.

Lacuna de habilidades, falta de talento envolvida

Outra grande surpresa para os pesquisadores é o aumento no número de vulnerabilidades relatadas por organizações que verificam seus ativos. Inúmeras razões podem ser a causa. Mas a falta de software desenvolvido treinado em segurança cibernética é um dos principais culpados.

“Os desenvolvedores, em particular, podem precisar de mais educação para evitar esses erros em primeiro lugar. Vimos que as vulnerabilidades não estão sendo descobertas mesmo nos estágios iniciais de desenvolvimento durante a varredura”, explicou Ralls.

Quando os desenvolvedores não abordam as vulnerabilidades, eles acabam colocando suas organizações em risco. As ferramentas de automação e integração em vigor podem ajudar os desenvolvedores a lidar com essas vulnerabilidades mais rapidamente e reduzir os custos potenciais para a organização, acrescentou.

Não culpe apenas os aplicativos da Web

Os aplicativos da Web em si não estão se tornando menos seguros. É mais uma questão de os desenvolvedores estarem cansados, sobrecarregados e muitas vezes não terem experiência suficiente.

Frequentemente, as organizações contratam desenvolvedores que não possuem a formação e o treinamento de segurança cibernética necessários. Com o impulso contínuo em direção à transformação digital, empresas e organizações estão digitalizando e desenvolvendo aplicativos para mais aspectos de suas operações, de acordo com Ralls.

“Além disso, o número de novos aplicativos da web que entram no mercado a cada dia significa que cada aplicativo extra é uma vulnerabilidade potencial”, disse ele. Por exemplo, se uma empresa tiver dez aplicativos, é menos provável que tenha um SQLi do que se uma empresa tiver 1.000 aplicativos.

Quais são as habilidades necessárias para um profissional de cibersegurança?

Aplicando a cura

As equipes de negócios – seja desenvolvendo ou usando software – exigem o paradigma certo e as tecnologias certas. Isso envolve priorizar modelos de design seguros cobrindo todas as bases e inserir a segurança nos processos de pré-codificação por trás da arquitetura do aplicativo.

“Destrua os silos entre as equipes”, aconselhou Ralls. “Especialmente entre segurança e desenvolvimento – e garantir que normas e padrões em toda a organização estejam em vigor e sejam mantidos universalmente.”

Em relação ao investimento em ferramentas AppSec para conter a maré crescente de software defeituoso, Ralls recomendou a utilização de ferramentas robustas que:

  • automatize o máximo possível;
  • integre-se perfeitamente aos fluxos de trabalho existentes;
  • fornecer análises e relatórios para mostrar a prova de sucesso e onde mais trabalho é necessário.

Não negligencie a importância da precisão. “Ferramentas com baixas taxas de falsos positivos e orientações claras e acionáveis ​​para desenvolvedores são necessárias. Caso contrário, você perderá tempo, sua equipe não adotará a tecnologia e sua postura de segurança não será melhor”, concluiu.

Pontos cegos parcialmente em jogo

Violações significativas e vulnerabilidades perigosas continuam a expor os pontos cegos das organizações, acrescentou Ralls. Como prova, veja os impactos do Log4Shell.

Empresas em todo o mundo correram para verificar se eram suscetíveis a ataques RCE na biblioteca Log4j amplamente usada. Alguns desses riscos estão aumentando em frequência quando deveriam desaparecer para sempre. Tudo se resume a uma desconexão entre a realidade do risco e o mandato estratégico para a inovação.

“Nem sempre é fácil fazer com que todos participem da segurança, especialmente quando parece que a segurança está retendo os indivíduos na conclusão do projeto ou será muito caro para configurar”, disse Ralls.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *