Vamos começar o novo ano discutindo a necessidade de um Web Application Firewall (WAF), alavancando estruturas de segurança e bibliotecas de código fonte, e um novo serviço chamado Bugalert que irá notificá-lo de quaisquer vulnerabilidades de alta/crítica gravidade na hora.
Usar um WAF ou não usar um WAF
A eficácia do WAF é um tema muito debatido, pois pode ser difícil determinar a eficácia de um WAF. Os WAFs podem ser benéficos sempre que as seguintes condições forem satisfeitas:
- O custo da correção das vulnerabilidades é maior do que a implementação de um WAF; ou
- A quantidade de tráfego que será bloqueada é inferior ao seu limite de tolerância.
Você também pode usar um firewall para implementar mitigações que impeçam que bots e raspadores cheguem ao seu website, oferecer segurança na camada de aplicação e permitir/banir a listagem de IPs. Uma simples implementação de um WAF poderia incluir o uso de um Captcha ou um desafio Javascript para reduzir estes tipos de bots. Você pode usar um WAF como um proxy para permitir o tráfego específico enquanto proíbe o resto.
Uma importante tomada de posição sobre os WAFs é que eles não são uma solução de conjunto e esqueçam-na. Eles exigem um cuidado amoroso desde o início até a implantação do WAF. Requer um pessoal/equipa dedicado a manter o WAF para otimizar seu uso continuamente.
A maneira ideal de abordar um WAF é tratá-lo como uma solução que é predominantemente projetada para bloquear o tráfego indesejado em sua aplicação web.
Alavancando estruturas de segurança e bibliotecas para código seguro
Implementar um código seguro por conta própria pode ser uma tarefa incômoda para executar corretamente. Atacantes podem abusar de pequenos fragmentos de seu código para tornar sua aplicação vulnerável.
Com relação à capacidade de proteger seu código, existem estruturas e bibliotecas que permitem que você se concentre na segurança enquanto permite que você se concentre na construção de seu produto. Este artigo do Github discute diferentes métodos e fatores que podem ajudá-lo a avaliar o que você deve procurar ao usar essas estruturas e bibliotecas.
Sempre que você estiver decidindo que bibliotecas usar, você deve considerar estes cinco fatores:
- A embalagem é amplamente utilizada?
- O pacote tem uma boa reputação?
- Existem boas críticas sobre a biblioteca específica?
- O pacote é mantido ativamente?
- O pacote tem maturidade?
- Este é um bom indicador de que existe um roteiro claro com a maioria das características sendo implementadas de forma consistente.
- Os problemas de segurança do pacote estão sendo resolvidos em tempo hábil?
Quando você está lidando com estruturas web e quer segurança nessas estruturas, é importante determinar quais tarefas de segurança (codificação de saída XSS ou validação de entrada) devem ser tratadas pela estrutura.
Um fator importante a considerar ao utilizar uma estrutura web com alguma forma de segurança embutida nela é permitir que a estrutura trate da codificação de dados para você. Quando você deixa a estrutura lidar com a codificação de dados para você, isto irá mitigar as chances de um usuário perder ou implementar incorretamente uma medida de segurança. Se você vai permitir um possível comportamento inseguro, deve haver uma análise completa do comportamento permitido e a percepção de que não é o padrão.
Ao incorporar bibliotecas e estruturas, é importante atualizar as dependências em seu código-fonte. Você pode usar ferramentas de análise de composição de software como o GitHub Dependabot para manter suas dependências atualizadas.
Bugalert
Após a vulnerabilidade do log4j, um profissional de segurança, Matthew Sullivan, lançou um novo serviço chamado Bugalert, que alerta os profissionais de segurança e TI para quaisquer vulnerabilidades altas e críticas. O único objetivo da Bugalert é notificar rapidamente falhas graves de software via e-mail, telefone ou SMS.
A Bugalert está atualmente para que os colaboradores desenvolvam e melhorem seu programa. Para qualquer pessoa interessada em contribuir, sinta-se à vontade para abrir uma edição do Github.
Comentários