{"id":3008,"date":"2022-01-17T10:00:00","date_gmt":"2022-01-17T13:00:00","guid":{"rendered":"https:\/\/uds.com.br\/blog\/?p=3008"},"modified":"2025-03-19T11:04:40","modified_gmt":"2025-03-19T14:04:40","slug":"desenvolvimento-de-software-e-seguranca","status":"publish","type":"post","link":"https:\/\/uds.com.br\/blog\/desenvolvimento-de-software-e-seguranca\/","title":{"rendered":"Desenvolvimento de software e seguran\u00e7a: como combinar?"},"content":{"rendered":"\n

Ao passo que as f\u00e1bricas de software<\/mark><\/strong> criam produtos cada vez mais sofisticados e seguros. Os hackers, por sua vez, aprimoram suas t\u00e9cnicas de burlar a seguran\u00e7a da informa\u00e7\u00e3o, seja em um programa simples ou complexo.<\/p>\n\n\n\n

Logo, a quest\u00e3o da seguran\u00e7a n\u00e3o deve ficar relegada ao segundo plano no desenvolvimento de softwares<\/a><\/strong>, pois o universo do TI \u00e9 baseado na confiabilidade das solu\u00e7\u00f5es e a quebra dessa confian\u00e7a pode sair caro:<\/p>\n\n\n\n

De acordo com um estudo da IBM chamado \u201cCost of a Data Breach 2020\u201d, uma empresa com a seguran\u00e7a digital<\/strong> <\/mark>quebrada pode ter que arcar<\/mark><\/strong> com um custo m\u00e9dio de US$3,86 milh\u00f5es, podendo chegar a US$392 milh\u00f5es<\/mark><\/strong> em casos mais graves.<\/p>\n\n\n\n

Mas como a seguran\u00e7a da informa\u00e7\u00e3o pode ser um foco no desenvolvimento de um software? Quais s\u00e3o as principais amea\u00e7as poss\u00edveis? E quais pr\u00e1ticas s\u00e3o desej\u00e1veis para uma f\u00e1brica de software? Continue a leitura para saber mais.<\/p>\n\n\n\n

\"O<\/figure>\n\n\n\n

Como a vulnerabilidade de seguran\u00e7a acontece?<\/h2>\n\n\n\n

A Fortinet, empresa de ciberseguran\u00e7a, relatou que as empresas brasileiras foram alvo de mais de 24 bilh\u00f5es de tentativas de ataques cibern\u00e9ticos<\/mark><\/strong> ao longo do ano de 2019. Desde 2020 o Brasil \u00e9 o nono alvo preferencial de ramsonware<\/mark><\/strong> do mundo.<\/p>\n\n\n\n

A maior parte dos problemas de vulnerabilidade ocorre por falta de preven\u00e7\u00e3o<\/a><\/strong>. Segundo uma pr\u00e9via de estudo realizado pela Ernst & Young no ano de 2020 mostrou que 65% das empresas s\u00f3 consideram a ciberseguran\u00e7a ap\u00f3s sofrerem ataques.<\/p>\n\n\n\n

Softwares mal configurados, aparelhos desatualizados, brechas de seguran\u00e7a, arquivos expostos, buffer overflow. Esses e outros fatores tornam os sistemas menos seguros e mais suscet\u00edveis a invas\u00f5es e roubos de dados.<\/p>\n\n\n\n

O foco preferencial dos cibercriminosos s\u00e3o as pequenas empresas, sendo que 60% delas fecham as portas 6 meses ap\u00f3s um ciberataque.<\/p>\n\n\n\n

\"O<\/figure>\n\n\n\n

Poss\u00edveis ataques<\/h2>\n\n\n\n

CSRF (Cross-site Request Forgery)<\/h3>\n\n\n\n

A CSRF<\/strong> <\/mark>(Cross-site Request Forgery, ou falsifica\u00e7\u00e3o de solicita\u00e7\u00f5es entre sites em tradu\u00e7\u00e3o livre) \u00e9 uma t\u00e9cnica onde um exploit malicioso entra no site atrav\u00e9s de um usu\u00e1rio visto pela aplica\u00e7\u00e3o como confi\u00e1vel.<\/p>\n\n\n\n

A CSRF \u00e9 classificada pelo Departamento Americano de Seguran\u00e7a Nacional como a mais perigosa<\/mark><\/strong> e j\u00e1 conseguiu atacar sites como PayPal, Netflix, YouTube e McAfee.<\/p>\n\n\n\n

Ddos<\/h3>\n\n\n\n

DdoS<\/strong>, ou nega\u00e7\u00e3o distribu\u00edda de servi\u00e7o, \u00e9 um tipo de ataque cibern\u00e9tico que tenta tornar um website ou recurso de rede indispon\u00edvel, sobrecarregando o servidor at\u00e9 que esgote seus recursos (como mem\u00f3ria e processamento por exemplo) e por fim deixe de operar.<\/p>\n\n\n\n

O primeiro ataque de Ddos ocorreu em 1999 contra a Universidade de Minnesota e, desde ent\u00e3o, os Ddos j\u00e1 conseguiram deixar inacess\u00edveis sites como Amazon, CNN e Yahoo.<\/p>\n\n\n\n

Malware<\/h3>\n\n\n\n

Malware \u00e9 qualquer tipo de software ou c\u00f3digo malicioso capaz de roubar, criptografar ou excluir dados, bem como alterar fun\u00e7\u00f5es essenciais do dispositivo e espionar atividades<\/mark><\/strong>.<\/p>\n\n\n\n

Geralmente, os malwares assumem controle parcial dos dispositivos (computadores, sistemas de computador, redes, tablets e dispositivos m\u00f3veis).<\/p>\n\n\n\n

Cavalo de Tr\u00f3ia, V\u00edrus, Ransomware, Worms, Adware, Spyware: todos esses mecanismos maliciosos s\u00e3o tipos de Malware.<\/p>\n\n\n\n

O golpe mais frequente \u00e9 o sequestro de dados<\/mark><\/strong>: nele, o dispositivo (computador, laptop, celular) \u00e9 bloqueado (por meio de um ramsonware ou cryptware) e um resgate (normalmente em bitcoin) \u00e9 exigido pelos criminosos. Segundo o Purple Sec, <\/strong>o pagamento m\u00e9dio deste tipo de golpe em 2021 aumentou 82%<\/strong>.<\/mark><\/p>\n\n\n\n

Estima-se que os ataques malware devem custar ao governo americano cerca de 5 trilh\u00f5es de d\u00f3lares at\u00e9 o final de 2021<\/strong>.<\/mark><\/p>\n\n\n\n

Phishing<\/h3>\n\n\n\n

T\u00e9cnica para enganar usu\u00e1rios (emulando um site ou uma rede social por exemplo) com o intuito de conseguir informa\u00e7\u00f5es confidenciais e dados sens\u00edveis.<\/p>\n\n\n\n

Um dos tipos de Phishing mais comuns (e dos que trazem mais preju\u00edzos) \u00e9 quando os atacantes se passam por uma institui\u00e7\u00e3o financeira (imitando o site ou internet banking) para conseguir logins, senhas e outras informa\u00e7\u00f5es (especialmente dados de cart\u00e3o de cr\u00e9dito).<\/p>\n\n\n\n

O nome Phishing faz alus\u00e3o a palavra \u201cFishing\u201d (pescaria, em ingl\u00eas) e \u00e9 um dos tipos mais simples de ciberataques, pois n\u00e3o envolve viola\u00e7\u00e3o de sistemas: os atacantes tentam \u201cpescar\u201d v\u00edtimas se passando por institui\u00e7\u00f5es confi\u00e1veis. O phishing tamb\u00e9m tem sido muito usado para clonar contas de Whatsapp.<\/p>\n\n\n\n

Outro Ataques<\/h3>\n\n\n\n

V\u00edrus, Adware (programa que se executa automaticamente e exibe uma abundante quantidade de an\u00fancios sem a permiss\u00e3o do usu\u00e1rio), c\u00f3digo arbitr\u00e1rio, crimeware, cross-site scripting (xss), botnets, viola\u00e7\u00e3o de dados, drive-by download, v\u00edrus e trojan. <\/p>\n\n\n\n

\"O<\/figure>\n\n\n\n

Algumas boas pr\u00e1ticas de prote\u00e7\u00e3o<\/h2>\n\n\n\n

Gerenciamento e corre\u00e7\u00e3o de bugs <\/h3>\n\n\n\n

Tamb\u00e9m chamada debugging, s\u00e3o muitas as t\u00e9cnicas para efetuar a corre\u00e7\u00e3o de bugs, como o memory dump e a an\u00e1lise t\u00e9cnica dos sistemas.<\/p>\n\n\n\n

Bug Bounty<\/h3>\n\n\n\n

A empresa oferece uma vers\u00e3o beta do software e oferece dinheiro a quem encontrar bugs. Algumas das empresas que j\u00e1 promoveram campanhas de Bug Bounty est\u00e3o: Google, Netflix, Microsoft, Samsung, Paypal, Facebook e Instagram.<\/p>\n\n\n\n

IRP<\/h3>\n\n\n\n

O Plano de Resposta a Incidentes de Seguran\u00e7a, tamb\u00e9m chamado pela sigla IRP, \u00e9 elaborado tanto pelos especialistas em seguran\u00e7a quanto pelo conselho administrativo, e tem como objetivo auxiliar na preven\u00e7\u00e3o, identifica\u00e7\u00e3o e combate aos diferentes tipos de ataques.<\/p>\n\n\n\n

O IRP deve ter 6 momentos-chave: <\/p>\n\n\n\n

    \n
  1. Prepara\u00e7\u00e3o<\/li>\n\n\n\n
  2. Identifica\u00e7\u00e3o<\/li>\n\n\n\n
  3. Conten\u00e7\u00e3o<\/li>\n\n\n\n
  4. Erradica\u00e7\u00e3o<\/li>\n\n\n\n
  5. Recupera\u00e7\u00e3o<\/li>\n\n\n\n
  6. Aprendizado<\/li>\n<\/ol>\n\n\n\n

    Padr\u00e3o PCI-DSS<\/h3>\n\n\n\n

    Padr\u00e3o de seguran\u00e7a da ind\u00fastria de cart\u00e3o de pagamento que garante a maior seguran\u00e7a em transa\u00e7\u00f5es eletr\u00f4nicas de dinheiro.<\/p>\n\n\n\n

    Consiste em pr\u00e1ticas como o uso de firewall, senhas complexas, conex\u00f5es criptogr\u00e1ficas ao se comunicar com sistemas de pagamento, controle de acesso (f\u00edsico e virtual), teste de rede de dados, entre outras.<\/p>\n\n\n\n

    Este Padr\u00e3o abarca todas as empresas que trabalham com dados de cart\u00f5es de cr\u00e9dito, como o Paypal e o Pagseguro.<\/p>\n\n\n\n

    SDL<\/h3>\n\n\n\n

    O SDL (Security Development Lifecycle, ou Ciclo de Desenvolvimento Seguro, em portugu\u00eas) permite minimizar a vulnerabilidade independente da metodologia utilizada no projeto (em cascata, \u00e1gil etc.).<\/p>\n\n\n\n

    Algumas das pr\u00e1ticas do SDL no desenvolvimento de software s\u00e3o: modelagem de amea\u00e7as, an\u00e1lise est\u00e1tica do c\u00f3digo com uso de ferramentas, revis\u00e3o de c\u00f3digo, testes de seguran\u00e7a direcionados e uma revis\u00e3o final de seguran\u00e7a, minimizando o surgimento de vulnerabilidades.<\/p>\n\n\n\n

    Security by Design<\/h3>\n\n\n\n

    A ideia principal do Security by Design<\/mark><\/strong> \u00e9 que o software tenha uma preocupa\u00e7\u00e3o com a seguran\u00e7a<\/a> inclusa j\u00e1 desde o in\u00edcio de seu desenvolvimento.<\/p>\n\n\n\n

    Em outras palavras, \u00e9 uma estrat\u00e9gia preventiva: a ideia \u00e9 deixar o software menos suscet\u00edvel \u00e0s amea\u00e7as eletr\u00f4nicas, sendo que a seguran\u00e7a nortear\u00e1 o projeto<\/mark><\/strong> de desenvolvimento em todas as suas fases.<\/p>\n\n\n\n

    Algumas pr\u00e1ticas do Security by Design: Minimizar a superf\u00edcie de ataque, princ\u00edpio do menor privil\u00e9gio (impossibilitar que um usu\u00e1rio execute tarefas sem autoriza\u00e7\u00e3o), defesa em profundidade. No contexto da ciberseguran\u00e7a, a defesa em profundidade se traduz no uso de recursos como: firewalls, antiv\u00edrus, filtragem de conte\u00fado, criptografia e controle de acesso).<\/p>\n\n\n\n

    \"O<\/figure>\n\n\n\n

    Desenvolvimento seguro \u00e9 com a UDS<\/h2>\n\n\n\n

    A UDS<\/strong><\/a> oferece solu\u00e7\u00f5es \u00e1geis<\/mark><\/strong> para ciberseguran\u00e7a<\/mark><\/strong>. Buscamos que nossos clientes se tornem ciber-resilientes, ou seja, que estejam aptos a analisar, monitorar e reagir prontamente a incidentes de seguran\u00e7a. Fale com um de nossos especialistas<\/a><\/strong> e saiba mais.<\/p>\n","protected":false},"excerpt":{"rendered":"

    A seguran\u00e7a no desenvolvimento de software \u00e9 essencial para evitar ataques como phishing, malware e DDoS, que causam grandes preju\u00edzos. Pr\u00e1ticas como SDL, Security by Design e Bug Bounty ajudam a reduzir vulnerabilidades. Empresas devem integrar seguran\u00e7a desde o in\u00edcio do projeto, garantindo prote\u00e7\u00e3o cont\u00ednua contra amea\u00e7as e conformidade com padr\u00f5es como PCI-DSS.<\/p>\n","protected":false},"author":8,"featured_media":3009,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[864],"tags":[],"yst_prominent_words":[],"_links":{"self":[{"href":"https:\/\/uds.com.br\/blog\/wp-json\/wp\/v2\/posts\/3008"}],"collection":[{"href":"https:\/\/uds.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/uds.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/uds.com.br\/blog\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/uds.com.br\/blog\/wp-json\/wp\/v2\/comments?post=3008"}],"version-history":[{"count":1,"href":"https:\/\/uds.com.br\/blog\/wp-json\/wp\/v2\/posts\/3008\/revisions"}],"predecessor-version":[{"id":19726,"href":"https:\/\/uds.com.br\/blog\/wp-json\/wp\/v2\/posts\/3008\/revisions\/19726"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/uds.com.br\/blog\/wp-json\/wp\/v2\/media\/3009"}],"wp:attachment":[{"href":"https:\/\/uds.com.br\/blog\/wp-json\/wp\/v2\/media?parent=3008"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/uds.com.br\/blog\/wp-json\/wp\/v2\/categories?post=3008"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/uds.com.br\/blog\/wp-json\/wp\/v2\/tags?post=3008"},{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/uds.com.br\/blog\/wp-json\/wp\/v2\/yst_prominent_words?post=3008"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}