Por que realizar análise de vulnerabilidade de aplicação ?
•Transferir como PPTX, PDF•
0 gostou•162 visualizações
2020 ofereceu uma tempestade perfeita para os cibercriminosos fornecendo aos agentes de ameaças oportunidades para ataques mais poderosos, agressivos e numerosos. 2021 não esta sendo diferente. Entenda porque é tão importante realizar testes de vulnerabilidade em aplicações.
Recomendados
Mais conteúdo relacionado
Semelhante a Por que realizar análise de vulnerabilidade de aplicação ?
Semelhante a Por que realizar análise de vulnerabilidade de aplicação ? (20)
Mais de André Luís Cardoso
Mais de André Luís Cardoso (20)
Por que realizar análise de vulnerabilidade de aplicação ?
- 1. Por que realizar análise de vulnerabilidade de aplicação?
- 2. Copyright © 2020 HCL Technologies Limited | www.hcltech.com M A R C H 2 0 2 1 In Collaboration with PwC
- 3. “ 2020 ofereceu uma tempestade perfeita para os cibercriminosos fornecendo aos agentes de ameaças oportunidades para ataques mais poderosos, agressivos e numerosos. 2021 não esta sendo diferente.
- 4. “ Metade dos aplicativos disponíveis no mercado usados em setores como manufatura, saúde, varejo, educação e serviços públicos contêm uma ou mais vulnerabilidades graves que podem ser exploradas por cibercriminosos, de acordo com um novo estudo da WhiteHat Security, empresa especializada na segurança de aplicativos. por CISO Advisor https://www.cisoadvisor.com.br/metade-dos-aplicativos-do-mercado-contem-ao-menos-uma-vulnerabilidade-grave/
- 5. onde 62% das organizações testam menos do que a metade dos seus aplicativos
- 6. O que podemos e devemos evitar? Fonte: https://techbeacon.com/security/30-app-sec-stats-matter
- 7. Qual é o valor para o negócio? REPUTAÇÃODA EMPRESA OPERAÇÕES AUTOMATIZADAS OPERAÇÕES SIMPLIFICADAS ECONOMIA DE CUSTOS
- 8. Rápido, preciso, ágil Teste de Segurança O HCL AppScan é uma ferramenta de teste de segurança de aplicativos que ajuda os desenvolvedores de software a detectar e corrigir vulnerabilidades, além de cumprir as regulamentações e as melhores práticas de segurança. SAST IAST SCA DAST
- 9. Perguntas? Você pode me encontrar aqui: ▫ @a190468 ▫ andre.cardoso@hcl.com
Notas do Editor
- Este ano tivemos no Fórum Mundial uma reunião em que foi discutido riscos para a economia nos próximos dois anos. Em primeira colocação a preocupação com pandemia. Não poderia ser diferente, porém na quarta e na quinta posição temos itens de tecnologia. Um deles é a cyber segurança, que em 2020 tivemos índices muito altos. Este documento foi publicado pela PriceWaterCoopers em Março de 2021.
- A preocupação externada pelos líderes no slide anterior faz sentido, visto que em 2020 tivemos uma quantidade de ataques muito grande. A pandemia fez com que tivéssemos que nos adaptar de forma muito rápida a modos diferentes de trabalho que não foram testados. Além disto, o consumo de aplicações pela internet também teve um boom. Muitas aplicações foram criadas de forma muito rápida para atender a necessidades prementes. Alguns casos que podemos citar: Vazamento dos CPFs - 220 milhões de cpfs ENEL Osasco clientes - 300 mil clientes Pagina do ministerio da saude STF Isto sem contar aquelas que não tem ideia de que sofreram ataques. O que nos preocupa ainda mais.
- E ai falando um pouco sobre aplicações que estão publicadas para consumo, temos dados alarmantes. Segundo estudo da WhiteHat Security A manufatura foi o setor que teve a maior “janela de exposição”, com quase 70% dos aplicativos do setor apresentando ao menos uma vulnerabilidade séria passível de exploração. Segundo o estudo, o dado é particularmente preocupante devido à mudança para o digital feita pela maioria dos setores no ano passado (2020), o que aumentou o número de aplicativos em uso. Parte do problema, parece ser o tempo médio alto para corrigir vulnerabilidades críticas, que foi revelado em 189 dias em todos os setores. Três setores — serviços educacionais, administração pública e imobiliário — levaram em média mais de um ano para consertar vulnerabilidades críticas.
- Ponemon - https://www.hcltechsw.com/wps/wcm/connect/c3658fb8-39fc-45e1-8e88-210458b95cb4/ESG_Tech_Validation.pdf?MOD=AJPERES O instituto Ponemon publicou um estudo onde revela que menos de 62% das aplicações são testadas. Sem testar não temos a ideia de quais são as vulnerabilidades e a gravidade destas. E testar aplicações é muito simples e fácil. Claro que acabar com uma vulnerabilidade é um trabalho que não é tão simples, porém saber que ela existe pode te ajudar a mitigá-la, criando workarounds enquanto você elimina ela. Por isto é tão importante saber que ela existe. Se você coloca uma ferramenta para buscar estas vulnerabilidades ainda em processo de construção, você tem uma redução de custo de 7 vezes em comparação com as correções depois que estão em produção. Ai, um pouco mais de estatísticas, o custo médio de uma violação de segurança é de $ 6,5 milhões de dólares; alto hein. Quando você integra no ciclo de desenvolvimento, você diminui o tempo médio de correção de falhas. E fica muito mais seguro.
- Neste estudo da beacon, temos informações com mais detalhes sobre onde se encontram as vulnerabilidades. 33% Violações de segurança são executadas por meio da camada de aplicativo (1 em cada 3) 90% Dos aplicativos tem falhas de segurança conhecidos 1 em 6 código aberto tem um componente que contém uma vulnerabilidade conhecida Estatísticas de vulnerabilidades: 20.000: número de vezes que um aplicativo da web foi atacado, janeiro e fevereiro de 2020; 83,9%: porcentagem de vulnerabilidades de software que já tinham uma correção disponível no dia em que foi divulgado publicamente; 3.2: Número médio de vulnerabilidades críticas de aplicativos por site em 2019; 33%: porcentagem de vulnerabilidades de segurança de aplicativos provenientes de componentes de código aberto e de terceiros; 83%: porcentagem de aplicativos com pelo menos uma falha de segurança na verificação de vulnerabilidade inicial; 64%: Dos bugs encontrados nas varreduras iniciais do código do aplicativo, porcentagem relacionada ao vazamento de informações; Fonte: https://techbeacon.com/security/30-app-sec-stats-matter
- E qual o valor que este processo de identificar vulnerabilidades pode trazer para autarquia? Economia de custos – já falamos sobre o quanto é mais barato corrigir durante a codificação (7 vezes); o custo médio de uma vulnerabilidade explorada é de 7,5milhoes de US$, agora temos LGPD que pode aplicar multas. Operações simplificadas – ao identificar estas vulnerabilidades durante o processo de codificação, fica muito mais simples corrigi-las e administrá-las; Operações automatizadas – Você pode integrar ao seu sistema de CI/CD e assim, deixar este processo de escaneio automático e incorporado no processo de codificação. Reputação da empresa – vejamos o caso do vazamento dos CPFs. Mesmo que não tenha sido comprovado, uma empresa acabou sendo eleita como a responsável. Você compartilharia seus dados com esta empresa?
- E para identificar suas vulnerabilidades você pode utilizar o AppScan. O AppScan pode fazer o scan de vulnerabilidades em Código (SAST), em aplicações dinâmicas como websites (DAST), em código/biblioteca aberta (SCA), API’s que hoje são muito consumidas através de microserviços, e temos uma tecnologia elogiada no report do Gartner que é o IAST.
- Aqui encerramos nosso bate papo de hoje. Gostaria de agradecer a oportunidade de conversar com vocês e compartilhar um pouco do que vivo hoje. Meu contato está no slide. Meu e-mail. E podem me seguir no twitter que posto bastante coisa por lá.