Introdução
A segurança da informação é um conjunto de práticas, políticas e tecnologias que visam
proteger os dados e sistemas de informações contra acessos não autorizados, uso
indevido, destruição, alteração ou divulgação.
A segurança da informação envolve a proteção da confidencialidade, integridade e
disponibilidade das informações, conhecidos como os princípios fundamentais da
segurança.
Fica clara a importância em falarmos de segurança da informação para as empresas, cada
vez mais usuárias de sistemas, bancos de dados e estocadoras de dados e informações
essenciais para a continuidade de seu negócio.
Além disso, a segurança da informação abrange diversas áreas, como a gestão de riscos,
compliance e governança, através de processos como o controle de acesso e
autenticação, a criptografia, o monitoramento de sistemas e a resposta a incidentes de
segurança.
Ela também se estende à conscientização e treinamento de usuários para minimizar riscos
humanos, que frequentemente são uma das maiores vulnerabilidades.
Importância da segurança da informação
A importância da segurança da informação é inegável e é abordada por diversas normas e
regulamentações que fornecem diretrizes para proteger dados e garantir a conformidade
com boas práticas.
Para saber mais sobre governança de segurança da informação:
Owasp Top 10
O OWASP Top Ten é uma lista criada pela OWASP (Open Web Application Security
Project), uma organização sem fins lucrativos dedicada a melhorar a segurança de
software.
Essa lista é uma referência importante no campo da segurança cibernética e visa destacar
as dez vulnerabilidades de segurança mais críticas em aplicações web, ajudando
desenvolvedores, empresas e profissionais de TI a identificarem e mitigarem os riscos mais
comuns.
O OWASP Top Ten é atualizado periodicamente com base em dados coletados de uma
variedade de fontes, como incidentes de segurança reais, testes de penetração e pesquisas
com especialistas em segurança. A lista é uma ferramenta importante para conscientizar as
organizações sobre os riscos de segurança mais prevalentes e orientar práticas de
desenvolvimento seguras.
O OWASP Top Ten é utilizado como um guia para implementar boas práticas de segurança
no desenvolvimento de software e é frequentemente adotado em processos de auditoria,
testes de segurança e treinamento para desenvolvedores.
A última versão do OWASP Top 10 é de 2021.
A seguir vamos fazer um estudo dos 10 principais incidentes listados e entender um pouco
o que são e como efetuar controles para prevenção de ocorrência.
Importante frisar que este artigo é para profissionais de Compliance, Controles Internos e
Riscos, como um subsídio para entendimento dos riscos em segurança da informação e
apoio na aplicação de controles, não servindo como material técnico para programadores e
profissionais de segurança da informação e governança de data, que podem consultar o
material completo e original em:
OWASP Top 10 – 2021
A01:2021 – Broken Access Control
A primeira e principal vulnerabilidade listada é a quebra de controle de acesso.
Os controles de acesso devem garantir que os usuários atuem dentro dos limites de suas
autorizações, impedindo que sejam efetuadas operações ou acesso a dados fora da
responsabilidade de um determinado usuário.
Os incidentes mais comuns vinculados ao controle de acesso são o compartilhamento de
acessos, disponibilização de acessos com permissões maiores que necessário e até
genéricas, acessos externos como APÌs sem controles necessários e utilização de
ferramentas para contornar os controles de verificação de acessos.
A02:2021 – Cryptographic Failures
Falhas na criptografia ocorrem quando temos a abertura de informações como senhas,
números de cartões, registros e informações pessoais que estavam criptografadas para
garantir a segurança, confidencialidade e atendimento regulatório.
A03:2021 – Injection
Injeções estão relacionadas a injeção de informações não validadas, filtradas ou sanitizadas
em bancos de dados. Para a prevenção desses incidentes é importante que os
desenvolvedores sigam as melhores práticas de codificação, a documentação do banco de
dados e façam testes de validação.
A04:2021-Insecure Design
Essa é uma nova categoria e está relacionada à arquitetura de modelagem da segurança
de informação.
Um design inseguro representa diversas fraquezas que podem deixar sua governança
exposta. O Owasp esclarece que um design inseguro é diferente de uma implementação
insegura, um está na forma como foi feito, enquanto o outro está na implementação do
controle. Para prevenção é necessário que o desenvolvedor utilize de uma metodologia de
codificação segura, garantindo a integração de segurança desde a fase inicial.
A05:2021 – Security Misconfiguration
As aplicações podem ficar vulneráveis se a segurança não for reforçada, deixando portas
abertas, contas e senhas desatualizadas e segurança desativada.
Necessária a aplicação de um processo consistente e cíclico de configuração e atualização
da segurança, configurando servidores, banco de dados, revisando senhas e atualizando
softwares.
A06:2021 – Vulnerable and Outdated Components
Componentes vulneráveis e desatualizados. Precisamos saber todas as versões dos
componentes que utilizamos, tanto do lado do cliente quanto do servidor. Além disso, se o
seu software estiver desatualizado, sem suporte ou vulnerável, como o sistema operacional,
servidores, bancos de dados, aplicativos, APIs e bibliotecas, você também estará exposto.
Necessária a implementação de varreduras regulares de vulnerabilidades,
acompanhamento de boletins de segurança e a implementação de correções ou
atualizações oportunas nas plataformas e dependências.
A07:2021 – Identification and Authentication Failures
A confirmação de identidade do usuário, autenticação e gerenciamento de sessões são
essenciais para proteger contra ataques relacionados à autenticação. A aplicação pode ter
falhas de autenticação se permitir ataques automatizados como o uso de listas de nomes de
usuário e senhas válidas, ataques de força bruta ou senhas fracas e conhecidas. Também
pode ser vulnerável se usar processos fracos de recuperação de credenciais, armazenar
senhas em texto simples ou com hash fraco, não implementar autenticação multifatorial ou
expuser o identificador de sessão na URL. Além disso, se reutilizar identificadores de
sessão após o login ou não invalidá-los corretamente durante o logout ou inatividade, a
segurança fica comprometida.
Para implementação de um programa de controles internos que atenda as exigências
apresentadas, conheça:
https://www.udemy.com/course/controles-internos-na-pratica/?referralCode=D094391CFBD9CF516645
A08:2021 – Software and Data Integrity Failures
Falhas na integridade de software e dados ocorrem quando o código e a infraestrutura não
protegem adequadamente contra violações de integridade. Um exemplo disso é a
dependência de aplicativos em plugins, bibliotecas ou módulos provenientes de fontes não
confiáveis e repositórios externos.
Outro risco surge com funcionalidades de atualização automática, onde atualizações são
baixadas e aplicadas sem verificação adequada de integridade, possibilitando que
atacantes distribuam versões adulteradas.
Para mitigar esses riscos, é essencial utilizar assinaturas digitais ou mecanismos
equivalentes para garantir que o software e os dados sejam provenientes de fontes
confiáveis e não tenham sido alterados. Bibliotecas e dependências devem ser obtidas
apenas de repositórios verificados, e organizações com maior nível de risco devem
considerar a criação de repositórios internos controlados.
“Ou seja, nada de software pirata ou gratuito desconhecido.”
A09:2021 – Security Logging and Monitoring Failures
Aqui estamos falando de detectar, escalar e responder a violações ativas, sendo essencial
para identificar brechas de segurança. A falta de registros e monitoramento ocorre quando
eventos auditáveis, como logins e transações críticas, não são registrados, ou quando
alertas são inexistentes, inadequados ou pouco claros. Além disso, logs de aplicações e
APIs podem não ser monitorados para atividades suspeitas, serem armazenados apenas
localmente ou não contar com limiares de alerta e processos eficazes de escalonamento.
São as conhecidas trilhas de auditoria que devem ser usadas não apenas para apresentar
quando solicitado, mas como segurança para obtenção de informações valiosas que podem
auxiliar no tratamento de um incidente.
A10:2021 – Server-Side Request Forgery (SSRF)
Falhas de SSRF ocorrem quando uma aplicação web busca um recurso remoto sem validar
a URL fornecida pelo usuário, permitindo que um atacante manipule a requisição para um
destino inesperado, mesmo que protegido por firewall, VPN ou ACL. Com a crescente oferta
de funcionalidades que envolvem a busca de URLs em aplicações modernas, a incidência
de SSRF tem aumentado, assim como sua gravidade, devido à adoção de serviços em
nuvem e à complexidade das arquiteturas atuais.
Conclusão
Como pudemos verificar, a listagem do OWASP é uma poderosa ferramenta para nos
auxiliar no tratamento dos riscos de segurança cibernética. A análise detalhada do site é
importante, lá você terá maiores detalhes dos riscos, como preveni-los e mais dicas.
Mesmo que não seja um desenvolvedor, como eu, essa listagem auxiliar como benchmark
no mapeamento de riscos, já que ela traz de forma sumarizada os 10 principais incidentes,
auxiliando para que possamos nos prevenir junto às nossas equipes de segurança da
informação.