desenvolvimento de software e segurança

Desenvolvimento de software e segurança: como combinar?

Desenvolvimento de Software, Desenvolvimento Web, Educação e Edtechs, Financeiro e Fintechs, Indústria, Logística, Outros, Saúde e Healthtechs, Tech e Startups, Tecnologia, Tendência e Inovação

Ao passo que as fábricas de software criam produtos cada vez mais sofisticados e seguros. Os hackers, por sua vez, aprimoram suas técnicas de burlar a segurança da informação, seja em um programa simples ou complexo.

Logo, a questão da segurança não deve ficar relegada ao segundo plano no desenvolvimento de softwares, pois o universo do TI é baseado na confiabilidade das soluções e a quebra dessa confiança pode sair caro:

De acordo com um estudo da IBM chamado “Cost of a Data Breach 2020”, uma empresa com a segurança digital quebrada pode ter que arcar com um custo médio de US$3,86 milhões, podendo chegar a US$392 milhões em casos mais graves.

Mas como a segurança da informação pode ser um foco no desenvolvimento de um software? Quais são as principais ameaças possíveis? E quais práticas são desejáveis para uma fábrica de software? Continue a leitura para saber mais.

O atributo alt desta imagem está vazio. O nome do arquivo é traco-ok.png

Como a vulnerabilidade de segurança acontece?

A Fortinet, empresa de cibersegurança, relatou que as empresas brasileiras foram alvo de mais de 24 bilhões de tentativas de ataques cibernéticos ao longo do ano de 2019. Desde 2020 o Brasil é o nono alvo preferencial de ramsonware do mundo.

A maior parte dos problemas de vulnerabilidade ocorre por falta de prevenção. Segundo uma prévia de estudo realizado pela Ernst & Young no ano de 2020 mostrou que 65% das empresas só consideram a cibersegurança após sofrerem ataques.

Softwares mal configurados, aparelhos desatualizados, brechas de segurança, arquivos expostos, buffer overflow. Esses e outros fatores tornam os sistemas menos seguros e mais suscetíveis a invasões e roubos de dados.

O foco preferencial dos cibercriminosos são as pequenas empresas, sendo que 60% delas fecham as portas 6 meses após um ciberataque.

O atributo alt desta imagem está vazio. O nome do arquivo é traco-ok.png

Possíveis ataques

CSRF (Cross-site Request Forgery)

A CSRF (Cross-site Request Forgery, ou falsificação de solicitações entre sites em tradução livre) é uma técnica onde um exploit malicioso entra no site através de um usuário visto pela aplicação como confiável.

A CSRF é classificada pelo Departamento Americano de Segurança Nacional como a mais perigosa e já conseguiu atacar sites como PayPal, Netflix, YouTube e McAfee.

Ddos

DdoS, ou negação distribuída de serviço, é um tipo de ataque cibernético que tenta tornar um website ou recurso de rede indisponível, sobrecarregando o servidor até que esgote seus recursos (como memória e processamento por exemplo) e por fim deixe de operar.

O primeiro ataque de Ddos ocorreu em 1999 contra a Universidade de Minnesota e, desde então, os Ddos já conseguiram deixar inacessíveis sites como Amazon, CNN e Yahoo.

Malware

Malware é qualquer tipo de software ou código malicioso capaz de roubar, criptografar ou excluir dados, bem como alterar funções essenciais do dispositivo e espionar atividades.

Geralmente, os malwares assumem controle parcial dos dispositivos (computadores, sistemas de computador, redes, tablets e dispositivos móveis).

Cavalo de Tróia, Vírus, Ransomware, Worms, Adware, Spyware: todos esses mecanismos maliciosos são tipos de Malware.

O golpe mais frequente é o sequestro de dados: nele, o dispositivo (computador, laptop, celular) é bloqueado (por meio de um ramsonware ou cryptware) e um resgate (normalmente em bitcoin) é exigido pelos criminosos. Segundo o Purple Sec, o pagamento médio deste tipo de golpe em 2021 aumentou 82%.

Estima-se que os ataques malware devem custar ao governo americano cerca de 5 trilhões de dólares até o final de 2021.

Phishing

Técnica para enganar usuários (emulando um site ou uma rede social por exemplo) com o intuito de conseguir informações confidenciais e dados sensíveis.

Um dos tipos de Phishing mais comuns (e dos que trazem mais prejuízos) é quando os atacantes se passam por uma instituição financeira (imitando o site ou internet banking) para conseguir logins, senhas e outras informações (especialmente dados de cartão de crédito).

O nome Phishing faz alusão a palavra “Fishing” (pescaria, em inglês) e é um dos tipos mais simples de ciberataques, pois não envolve violação de sistemas: os atacantes tentam “pescar” vítimas se passando por instituições confiáveis. O phishing também tem sido muito usado para clonar contas de Whatsapp.

Outro Ataques

Vírus, Adware (programa que se executa automaticamente e exibe uma abundante quantidade de anúncios sem a permissão do usuário), código arbitrário, crimeware, cross-site scripting (xss), botnets, violação de dados, drive-by download, vírus e trojan. 

O atributo alt desta imagem está vazio. O nome do arquivo é traco-ok.png

Algumas boas práticas de proteção

Gerenciamento e correção de bugs 

Também chamada debugging, são muitas as técnicas para efetuar a correção de bugs, como o memory dump e a análise técnica dos sistemas.

Bug Bounty

A empresa oferece uma versão beta do software e oferece dinheiro a quem encontrar bugs. Algumas das empresas que já promoveram campanhas de Bug Bounty estão: Google, Netflix, Microsoft, Samsung, Paypal, Facebook e Instagram.

IRP

O Plano de Resposta a Incidentes de Segurança, também chamado pela sigla IRP, é elaborado tanto pelos especialistas em segurança quanto pelo conselho administrativo, e tem como objetivo auxiliar na prevenção, identificação e combate aos diferentes tipos de ataques.

O IRP deve ter 6 momentos-chave: 

  1. Preparação
  2. Identificação
  3. Contenção
  4. Erradicação
  5. Recuperação
  6. Aprendizado

Padrão PCI-DSS

Padrão de segurança da indústria de cartão de pagamento que garante a maior segurança em transações eletrônicas de dinheiro.

Consiste em práticas como o uso de firewall, senhas complexas, conexões criptográficas ao se comunicar com sistemas de pagamento, controle de acesso (físico e virtual), teste de rede de dados, entre outras.

Este Padrão abarca todas as empresas que trabalham com dados de cartões de crédito, como o Paypal e o Pagseguro.

SDL

O SDL (Security Development Lifecycle, ou Ciclo de Desenvolvimento Seguro, em português) permite minimizar a vulnerabilidade independente da metodologia utilizada no projeto (em cascata, ágil etc.).

Algumas das práticas do SDL no desenvolvimento de software são: modelagem de ameaças, análise estática do código com uso de ferramentas, revisão de código, testes de segurança direcionados e uma revisão final de segurança, minimizando o surgimento de vulnerabilidades.

Security by Design

A ideia principal do Security by Design é que o software tenha uma preocupação com a segurança inclusa já desde o início de seu desenvolvimento.

Em outras palavras, é uma estratégia preventiva: a ideia é deixar o software menos suscetível às ameaças eletrônicas, sendo que a segurança norteará o projeto de desenvolvimento em todas as suas fases.

Algumas práticas do Security by Design: Minimizar a superfície de ataque, princípio do menor privilégio (impossibilitar que um usuário execute tarefas sem autorização), defesa em profundidade. No contexto da cibersegurança, a defesa em profundidade se traduz no uso de recursos como: firewalls, antivírus, filtragem de conteúdo, criptografia e controle de acesso).

O atributo alt desta imagem está vazio. O nome do arquivo é traco-ok.png

Desenvolvimento seguro é com a UDS

A UDS oferece soluções ágeis para cibersegurança. Buscamos que nossos clientes se tornem ciber-resilientes, ou seja, que estejam aptos a analisar, monitorar e reagir prontamente a incidentes de segurança. Fale com um de nossos especialistas e saiba mais.

Autor

Simone Marques

Jornalista, especialista em mídias digitais e estrategista de conteúdos de tecnologia na UDS.

COMPARTILHE

Fique por dentro

Fale com a UDS

Autor

Simone Marques

Jornalista, especialista em mídias digitais e estrategista de conteúdos de tecnologia na UDS.