Ao passo que as fábricas de software criam produtos cada vez mais sofisticados e seguros. Os hackers, por sua vez, aprimoram suas técnicas de burlar a segurança da informação, seja em um programa simples ou complexo.
Logo, a questão da segurança não deve ficar relegada ao segundo plano no desenvolvimento de softwares, pois o universo do TI é baseado na confiabilidade das soluções e a quebra dessa confiança pode sair caro:
De acordo com um estudo da IBM chamado “Cost of a Data Breach 2020”, uma empresa com a segurança digital quebrada pode ter que arcar com um custo médio de US$3,86 milhões, podendo chegar a US$392 milhões em casos mais graves.
Mas como a segurança da informação pode ser um foco no desenvolvimento de um software? Quais são as principais ameaças possíveis? E quais práticas são desejáveis para uma fábrica de software? Continue a leitura para saber mais.
Como a vulnerabilidade de segurança acontece?
A Fortinet, empresa de cibersegurança, relatou que as empresas brasileiras foram alvo de mais de 24 bilhões de tentativas de ataques cibernéticos ao longo do ano de 2019. Desde 2020 o Brasil é o nono alvo preferencial de ramsonware do mundo.
A maior parte dos problemas de vulnerabilidade ocorre por falta de prevenção. Segundo uma prévia de estudo realizado pela Ernst & Young no ano de 2020 mostrou que 65% das empresas só consideram a cibersegurança após sofrerem ataques.
Softwares mal configurados, aparelhos desatualizados, brechas de segurança, arquivos expostos, buffer overflow. Esses e outros fatores tornam os sistemas menos seguros e mais suscetíveis a invasões e roubos de dados.
O foco preferencial dos cibercriminosos são as pequenas empresas, sendo que 60% delas fecham as portas 6 meses após um ciberataque.
Possíveis ataques
CSRF (Cross-site Request Forgery)
A CSRF (Cross-site Request Forgery, ou falsificação de solicitações entre sites em tradução livre) é uma técnica onde um exploit malicioso entra no site através de um usuário visto pela aplicação como confiável.
A CSRF é classificada pelo Departamento Americano de Segurança Nacional como a mais perigosa e já conseguiu atacar sites como PayPal, Netflix, YouTube e McAfee.
Ddos
DdoS, ou negação distribuída de serviço, é um tipo de ataque cibernético que tenta tornar um website ou recurso de rede indisponível, sobrecarregando o servidor até que esgote seus recursos (como memória e processamento por exemplo) e por fim deixe de operar.
O primeiro ataque de Ddos ocorreu em 1999 contra a Universidade de Minnesota e, desde então, os Ddos já conseguiram deixar inacessíveis sites como Amazon, CNN e Yahoo.
Malware
Malware é qualquer tipo de software ou código malicioso capaz de roubar, criptografar ou excluir dados, bem como alterar funções essenciais do dispositivo e espionar atividades.
Geralmente, os malwares assumem controle parcial dos dispositivos (computadores, sistemas de computador, redes, tablets e dispositivos móveis).
Cavalo de Tróia, Vírus, Ransomware, Worms, Adware, Spyware: todos esses mecanismos maliciosos são tipos de Malware.
O golpe mais frequente é o sequestro de dados: nele, o dispositivo (computador, laptop, celular) é bloqueado (por meio de um ramsonware ou cryptware) e um resgate (normalmente em bitcoin) é exigido pelos criminosos. Segundo o Purple Sec, o pagamento médio deste tipo de golpe em 2021 aumentou 82%.
Estima-se que os ataques malware devem custar ao governo americano cerca de 5 trilhões de dólares até o final de 2021.
Phishing
Técnica para enganar usuários (emulando um site ou uma rede social por exemplo) com o intuito de conseguir informações confidenciais e dados sensíveis.
Um dos tipos de Phishing mais comuns (e dos que trazem mais prejuízos) é quando os atacantes se passam por uma instituição financeira (imitando o site ou internet banking) para conseguir logins, senhas e outras informações (especialmente dados de cartão de crédito).
O nome Phishing faz alusão a palavra “Fishing” (pescaria, em inglês) e é um dos tipos mais simples de ciberataques, pois não envolve violação de sistemas: os atacantes tentam “pescar” vítimas se passando por instituições confiáveis. O phishing também tem sido muito usado para clonar contas de Whatsapp.
Outro Ataques
Vírus, Adware (programa que se executa automaticamente e exibe uma abundante quantidade de anúncios sem a permissão do usuário), código arbitrário, crimeware, cross-site scripting (xss), botnets, violação de dados, drive-by download, vírus e trojan.
Algumas boas práticas de proteção
Gerenciamento e correção de bugs
Também chamada debugging, são muitas as técnicas para efetuar a correção de bugs, como o memory dump e a análise técnica dos sistemas.
Bug Bounty
A empresa oferece uma versão beta do software e oferece dinheiro a quem encontrar bugs. Algumas das empresas que já promoveram campanhas de Bug Bounty estão: Google, Netflix, Microsoft, Samsung, Paypal, Facebook e Instagram.
IRP
O Plano de Resposta a Incidentes de Segurança, também chamado pela sigla IRP, é elaborado tanto pelos especialistas em segurança quanto pelo conselho administrativo, e tem como objetivo auxiliar na prevenção, identificação e combate aos diferentes tipos de ataques.
O IRP deve ter 6 momentos-chave:
- Preparação
- Identificação
- Contenção
- Erradicação
- Recuperação
- Aprendizado
Padrão PCI-DSS
Padrão de segurança da indústria de cartão de pagamento que garante a maior segurança em transações eletrônicas de dinheiro.
Consiste em práticas como o uso de firewall, senhas complexas, conexões criptográficas ao se comunicar com sistemas de pagamento, controle de acesso (físico e virtual), teste de rede de dados, entre outras.
Este Padrão abarca todas as empresas que trabalham com dados de cartões de crédito, como o Paypal e o Pagseguro.
SDL
O SDL (Security Development Lifecycle, ou Ciclo de Desenvolvimento Seguro, em português) permite minimizar a vulnerabilidade independente da metodologia utilizada no projeto (em cascata, ágil etc.).
Algumas das práticas do SDL no desenvolvimento de software são: modelagem de ameaças, análise estática do código com uso de ferramentas, revisão de código, testes de segurança direcionados e uma revisão final de segurança, minimizando o surgimento de vulnerabilidades.
Security by Design
A ideia principal do Security by Design é que o software tenha uma preocupação com a segurança inclusa já desde o início de seu desenvolvimento.
Em outras palavras, é uma estratégia preventiva: a ideia é deixar o software menos suscetível às ameaças eletrônicas, sendo que a segurança norteará o projeto de desenvolvimento em todas as suas fases.
Algumas práticas do Security by Design: Minimizar a superfície de ataque, princípio do menor privilégio (impossibilitar que um usuário execute tarefas sem autorização), defesa em profundidade. No contexto da cibersegurança, a defesa em profundidade se traduz no uso de recursos como: firewalls, antivírus, filtragem de conteúdo, criptografia e controle de acesso).
Desenvolvimento seguro é com a UDS
A UDS oferece soluções ágeis para cibersegurança. Buscamos que nossos clientes se tornem ciber-resilientes, ou seja, que estejam aptos a analisar, monitorar e reagir prontamente a incidentes de segurança. Fale com um de nossos especialistas e saiba mais.
