1

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

Proteo das Aplicaes Web

Fator Crtico para o Sucesso das Operaes

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

Sumrio
Introduo............................................................................................................................................3 PorqueFirewallsdeAplicao?...........................................................................................................3 OCernedoProblema...........................................................................................................................5 HistricodoCenriodeSeguranadeAplicaesWeb......................................................................7 OWebViserdaKinapsys:umasoluoefetiva..................................................................................12 Asvantagensdaestratgiadeproteodeaplicaes.....................................................................15 FoconoContedo......................................................................................................................16 EvitaRetrabalhodeRevisodeCdigo......................................................................................16 LiberdadedasAtividadesdeAutenticaoeControledeAcesso.............................................17 MaiorControlePorMeiodeAuditoria......................................................................................17 EliminaodeTrfegoIndevido.................................................................................................17 ConformidadecomExignciasdoPCIpara2010.......................................................................17 SuporteLocal..............................................................................................................................17 Concluso...........................................................................................................................................17 Prximospassos.................................................................................................................................18

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

Introduo
Desdesuacriaoem1991porTimBernersLee,aWebcresceusobvriosaspectos,comopode ser verificado comparandose os recursos de sites de hoje em dia com os recursos de sites de quase vinte anos atrs. Em muitos casos a complexidade resultante ordens de grandeza maior queaapresentadanosprimeirosmomentosdahistriadaWebeissoocorreporqueasfacilidades atualmente oferecidas por essa tecnologia s instituies e aos usurios tambm so muito maiores,secomparadascomaquelasoferecidasnadcadade1990.Oresultadoqueumgrande nmerodeatividadesqueeramdesempenhadasnomundorealfoitransferidoparadentrodas pginasedasaplicaesWeb. Com essas facilidades e a resultante complexidade, veio tambm o aumento de problemas, de perigosederiscosPorsuavez,essesriscos,queanteriormenteoriginavamsenarede,isto,nos protocolos de comunicao, tambm evoluram: agora so originados pelas vrias aplicaes disponveis na Web. Justamente essas aplicaes cujo objetivo entregar as facilidades desejadaspelosusuriospormeiodosserviossuadisposiotornaramseoalvoprincipalde uma vasta gama de ameaas segurana das instituies, de seus clientes e de todos os internautas. Instituiesquebaseiamparcialoutotalmenteseusnegciosnawebpreocupamseaoconstatar que as ameaas digitais tambm evoluram e cresceram em complexidade. At pouco tempo, bastava o firewall que identificasse origens e destinos no autorizados de trfego; o IDS que identificasse fluxos de comunicao suspeitos mesmo nos processos com origem e destino supostamente legtimos; o proxy que evitasse que agentes externos conhecessem algo sobre a estruturainternadacomunicao.Hojeemdiataiselementosnososuficientesparaprotegero ambientedeTIdeumainstituiodasameaasexistentes.AtaquesdecrosssitescriptingedeSQL Injection, por exemplo, base de inmeros golpes e invases via Web, simplesmente no so identificveis pelas ferramentas tradicionais de proteo ao permetro de rede, exigindo um enfoque diferente para serem barrados. Mais preocupante ainda saber que os efeitos desses tiposdeataquepodemserbemmaisnocivosparaoambientedasinstituiesqueossubterfgios de antigamente. At pouco tempo o vandalismo era a principal preocupao de administradores de rede. Atualmente, porm, o alvo preferencial dos bandidos so as informaes da instituio quepodemserroubadas,apagadasouadulteradas,ampliandoosdanossofridos.

PorqueFirewallsdeAplicao?
Para os novos problemas inerentes s aplicaes baseadas na Web, novas solues so necessrias, a fim de assegurar o crescimento dos negcios e das operaes, cada vez mais automatizadosevirtualizados.Taissoluesdevemestardisponveisemregime24x7nosbrowsers dosusurios.

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

A resposta para os novos desafios vem das tecnologias de avaliao de comportamento das prpriasaplicaes,denominadasdeWAF(WebApplicationFirewalls),cujoalcancedeavaliaoe proteo apresentase muito alm do atingido pelas ferramentas tradicionais, voltadas para a proteoderedes. AtecnologiadeWAFfazsenecessriaemfunodoprocessodedesenvolvimentodeaplicaes Webaindadeixarmuitoadesejarquantosquestesdesegurana.Existemhojeentre100e150 milhesdeaplicaesWebemfuncionamento.Apenasumapequenaporcentagemdelaspodeser consideradasegurae,aindaassim,nocompletamente(1).Poroutroladooshackers,encontrando cadavezmaisdificuldadesdepenetrarasdefesasderededasinstituiesquepretendematacar emfunode97%delasjutilizaremferramentasadequadasdeproteonessenvel,taiscomo firewalls e sistemas de deteco de intrusos , voltam seus esforos para as aplicaes, cujo acesso pgina inicial livre ao grande pblico por meio dos browsers. O resultado que expressivos 60% dos ataques perpetrados hoje em dia so direcionados s aplicaes Web (2). SegundodadoscoletadosnoBrasil,essepercentualpodechegara75%(3). O problema assume propores ainda mais alarmantes se consideramos os valores transacionais globalmentedisponibilizadosporessasaplicaes,nacasadascentenasdebilhesdedlares.Tais cifrasincentivamosesforosempreendidosporbandidosvirtuais,edemandamconstanteateno eatitudesproativasporpartedasinstituiesresponsveisporessesvalores.Oqueseafereem relao s perdas que, em mdia, cada incidente custa US$6.655.000,00 para ser reparado, ou cercaUS$202,00porregistrocomprometido.(5) Emfunodessesprejuzose,sobretudo,danecessidadedeprotegerosusurios,criamsenormas de segurana que devem ser adotadas por segmentos em que a praxe o trfego virtual de valores. Basileia 2, Sarbannes Oxley e outras padronizaes tratam de normatizar o mercado, fazendo exigncias srias sobre o ambiente e os processos das instituies. H muito tempo tais exignciastransbordaramosestreitoslimitesdaISO9000,sendoqueaconformidadehojemais queumdiferencialdemercado:umaquestodesobrevivncia. As perdas intangveis tambm devem ser consideradas nessa avaliao, pois um incidente que comprometa dados de clientes sempre toma propores que vo alm das perdas financeiras mensurveis.Tomese,porexemplo,ocasodoroubodeinformaesdaTJXanunciadoem2007. Nessaocasioaempresateve450milregistrosdeclientesroubadosporhackers,oqueresultouna trocaobrigatriademaisde45milhesdecartesnosEstadosUnidos.Oprejuzocomcustode impacto para a marca, perda de clientes existentes e perda de novos clientes, naquele caso foi estimadoemummilhoequatrocentosmildlares,noconsideradoaoscustosdeaesjudiciais edecampanhasdeorganizaesdeclassecontraaempresa(4).

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

O incidente da TJX e vrias outras fraudes contra estabelecimentos e empresas que aceitam pagamentoeletrnicofizeramcomqueasbandeirasdecartesseunissemeformassemoPCISSC Payment Card Industry Security Standard Council, que publicou o padro PC Data Security Standard,aoqualtodasasempresasdacadeiadevalordepagamentoseletrnicosestosujeitas. O PCI DSS estabelece normas e prticas que devem ser seguidas por todas as empresas que recebem,trafegam,armazenameprocessamtransaesdemeioeletrnicodepagamento.Jh umcronogramaemandamentoeasempresasquenotomaremasprovidnciasnecessriaspara proteger seu ambiente de TI e comunicao de dados estaro sujeitas a penalizaes financeiras pesadas. Diantedessecenrio,umasoluorobustaparaproteodasaplicaestornaseimprescindvele, no sentido de propiciar a proteo adequada, a tecnologia de firewall de aplicao mostrase a escolhamaiseficazcontraasameaascrescentes.

OCernedoProblema
AsaplicaesbaseadasnaWebsurgemcomorespostanecessidadedeseoferecerserviosaos clientesaumcustobaixoedeformaabrangente,permitindoinstituiofocaratenoerecursos emseucorebusinessefacilitandoainteraocomtodososplayersdacadeiadevalor,emespecial com o cliente. Contudo, esta resposta, que hoje considerada uma panaceia, traz consigo algumasquestesqueprecisamserendereadasparaqueaestratgiasejabemsucedida.Pontos importantes tais como a qualidade das aplicaes sendo desenvolvidas e a conformidade das mesmascomrelaosnormasdedesenvolvimento(comoosvriosnveisdanormaCMMI,por exemplo)soalgumasdessasquestes. A primeira e a mais crucial questo dentre tantas a ser endereada, sem dvida, a segurana. Infelizmente, as aplicaes em funcionamento na Web, em sua vasta maioria, no so desenvolvidas tendo a segurana como requisito principal. O resultado uma coleo de vulnerabilidades que colocam em risco aqueles que utilizam tais aplicaes, seja como fornecedores de servios, ou como clientes dos mesmos. As poucas providncias de segurana tomadas durante o processo de desenvolvimento no so eficazes, ou seja, grande parte das vulnerabilidades no detectada por ferramentas como scanners e analisadores de cdigos e, quandoanalisadas,noresultamnadevidaeficcia(3). UmapesquisarealizadapelaKinapsyscomempresasatuantesnoBrasilresultounaseguintelista queapontaosprincipaisproblemasdeseguranaencontradosnasaplicaesWeb(3): 1XSSCrossSiteScriptingTcnicadeataquequepermiteexecutarscriptsmaliciososno navegadordousuriodaaplicaovulnervel;

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

2ManipulaodedadosocultosAaplicaovulnervelpermiteacessoindevidoquando dadosocultossomanipuladosindevidamente; 3 Falha ao restringir acesso a URL ou funcionalidade A aplicao no restringe adequadamentesuasreasrestritas; 4 Tratamento indevido de erro, revelao de informaes sensveis A aplicao revela informaes sensveis dentro de mensagens de erro geradas pelo uso no esperado da aplicao; 5 Armazenamento inseguro de criptografia Dados sensveis que precisam ser armazenadosdeformacriptografadaestoemtextolivreoucomcriptografiainadequada; 6 Comunicao insegura A aplicao trafega dados sensveis atravs de canais no seguros; 7 Falha da especificao de requisitos Os controles de segurana que deveriam existir noexistem,devidoafalhasnaespecificao; 8 Injeo de comandos A aplicao est sujeita a ataques que exploram a injeo de comandos que sero processados por outros sistemas ou camadas. Por exemplo: SQL Injection,SMTPInjection,HTMLInjectionetc.; 9 Processo inadequado de cadastro de usurios O cadastro de usurio deve seguir recomendaesrgidasdesegurana,quesenoforemseguidaspodemexporaaplicaoa diversosincidentescausadospelafaltadesegregaoadequadadosusurios; 10QuebradeautenticaoegerenciamentodesessoAplicaesvulnerveispermitem burlar o processo de autenticao devido a gesto fraca de sesso ou procedimentos inseguros.

Emtermospercentuais,temosaseguintedistribuioparaessesataques:

7

14%

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

13%

13% 11% 11% 9% 9% 8% 8% 8%

12%

10%

8% 6%

5%
4% 2% 0%

5%

Uma rpida anlise qualitativa dessas vulnerabilidades mostra que, se exploradas, as mesmas dariamacessonoautorizadosaplicaes,permitiriamogrampeamentodofluxodetransao, eaadulteraodosdadosdastransaes.Nenhumadessassituaestolervelemumambiente demissocrticaequalquersoluoqueseapresentedeveendereartodasessasquestes,no deixandobrechaparaacessonoautorizadoaplicao,ouaocontedodastransaes.

HistricodoCenriodeSeguranadeAplicaesWeb
Quando observamos o cenrio de segurana de aplicaes Web, no surpresa encontrarmos paraleloscomodesenvolvimentodaseguranaderedes.Nocasodosataquesaopermetroeaos protocolos de comunicao, encontramos um mecanismo evolutivo no qual a tecnologia foi desenvolvida como reao aos ataques e longo foi o caminho at que o mercado adotasse as solues criadas, muitas vezes provocando grandes perdas, que acabaram se tornando as principais justificativas ainda que tardias para a tomada de ao. Tais solues, por sua vez, viriam a estimular a criatividade dos cibercriminosos, que no tardariam a criar novos ataques, forandosempreaevoluodasferramentasdeproteo.Emdeterminadomomento,oprprio

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

mercado viria a criar conjuntos de melhores prticas e normas para padronizar as solues. De outrolado,osfabricantesdesoluesnavegandoemumaregioatentodesconhecidasobo pontodevistadosnegciostestariamvriostiposdesoluoemodelosdenegcio,atqueo prprio mercado decidisse quais desses trariam valor agregado que justificasse sua existncia. A adoo em massa das solues de proteo de redes surgiria como primeiro resultado dessa maturao do mercado e possibilitaria um ambiente operacional para as instituies, gerando confiana e estabilidade suficientes para a adequada conduo dos negcios. Confiana e estabilidadesuficientesquandosetratadastecnologiasrelacionadasaataquesderede,claro. Esse ciclo guardadas as diferenas de gerao entre problemas e solues de uma e outra tecnologiarepetesecommuitasimilaridadenoquedizrespeitostecnologiasdeproteos aplicaes. Essa similaridade bastante bem documentada (5), e uma anlise de ambos os cenriospermiteaconstruodaseguintetabela:

SeguranadeRedes
Ano
1988

SeguranadeAplicaes
Ano Acontecimento
Exploit PHF, uma das mais famosas vulnerabilidades de validao de entrada CGI, usado para comprometer um grande nmero de servidores Web. O incidente, junto com outras tcnicas de hacking existentes na Web, d incio s pesquisas que mais tarde resultariam na tecnologia de Web Application Firewalls. Os primeiros Web Application Firewalls comerciais debutam no mercado. So comercializados como dispositivos perimetrais de segurana de aplicativos capazes de impedir os ataques dirigidos contra vulnerabilidades ainda em aberto, incluindooexploitPHF.

Acontecimento

Morris Worm, o primeiro vrus de 1996 computador distribudo pela Internet, infecta mais de 6.000 mquinas. O incidente propicia as pesquisas que mais tarde resultariam na tecnologia de firewallderede.

1992

O primeiro pacote comercial de 1999 firewall baseado em filtro de pacotes (DEC SEAL) debuta no mercado. comercializado como um dispositivo de segurana de permetro capaz de impedir ataques remotos visando vulnerabilidades no corrigidas, incluindooMorrisWorm. 1994 a Dado que os firewalls de rede no 2000 a Dado que os Web Application Firewalls no so amplamente 1995 so amplamente utilizados e seus 2001 utilizados e seus custos ainda no custosaindanoestojustificados, os administradores de rede esto justificados, os profissionais de experientes buscam ferramentas segurana procuram instrumentos para identificar e corrigir para identificar as vulnerabilidades vulnerabilidades. lanado o ISS das aplicaes Web. Scanners

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

1996

Internet Scanner, um scanner de segurana de rede comercial. A ferramenta Security Analysis Tool for Auditing Networks (SATAN) disponibilizadagratuitamente. Os scanners de segurana de rede 2001 revelamanecessidadedeprodutos degerenciamentodepatchesmais maduros, medida que as atualizaes de segurana se tornam mandatrias com maior frequncia. O PatchLink Update, um produto comercial de gesto patches. Chega ao mercado como umasoluoparaoproblema. Oscustosdesoftwarecomercialde 2001 gerenciamento de patches e os perodos de suspenso potencial dos servios retardam a taxa de adoo da tecnologia. Solues gratuitas e maduras de gerenciamento de patch no existem. Em um ambiente onde poucos sistemas so corrigidos, hackers exploram com sucesso grandes nmeros de redes sem defesa. Ataques generalizados destacam a 2002 necessidade de controles adicionais de segurana. O software de firewall gratuito Linux IPChains, tornase uma alternativa vivel aos produtos comerciais. Muitas empresas escolhem firewalls de permetro antes de implantar solues de gerenciamentodepatches,porque tais solues so vistas como alternativas mais rpidas, mais simples e mais eficazes sob o pontodevistadoscustos.

comerciais de aplicativos da Web (AppScan) entram no mercado, bem como verses open source, como o Whisker. OsscannersdeaplicativosdaWeb,em conjunto com pesquisas publicadas, revelam a necessidade de mais seguranaparaosaplicativosdaWeb. O Projeto Aberto de Segurana para Aplicaes Web (OWASP Open Web ApplicationSecurityProject)fundado comoumesforodacomunidadepara melhorar a sensibilizao quanto necessidade de segurana de aplicaesWeb. O Code Red o Code Red II infectam centenas de milhares de servidores Microsoft IIS vulnerveis logo no dia em que so identificados na Internet. O incidente destaca a necessidade de maior adoo do gerenciamento corporativo de patches, ainda que somente em hosts disponveis publicamente.

1996

1997

Ataquesgeneralizadosaaplicativosda Web pem em destaque a necessidade de controles adicionais de segurana. O primeiro Web Application Firewall gratuito foi lanado e tornouse uma alternativa vivel aos produtos comerciais. As empresas comeam a escolher WAFs antesdeadotariniciativasdesoftware seguro, pois os WAF so vistos como uma abordagem mais rpida, mais simplesemaisefetivasobopontode vistadoscustos.

10
1998

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

1998

Com a ampla disponibilidade de 2004 software de varredura de rede (como, por exemplo, o Nessus), a implantaocrescentedefirewalls, eumacomprovadanecessidadede defender a rede contra ataques remotos, criase a necessidade de servios de testes de penetrao deredealtamenteespecializados. Para facilitar o desafio de manter 2005 se atualizado no que se refere aos patches de segurana, o Windows Update introduzido no sistema operacionalWindows98.

Cresceexorbitantementeonmerode tipos de ataques e de convenes de nomenclatura de difcil compreenso paraleigoseusurios.Alista"OWASP Top Ten" lanada para destacar e descrever as vulnerabilidades de segurana de aplicativos web mais prevalentesecrticas. Com a ampla disponibilidade de software de varredura de aplicativos Web e outras ferramentas gratuitas, com o aumento na implantao de Web Application Firewalls, e com a comprovadanecessidadededefender oambientecontraataquesremotosa aplicaes Web, surge a necessidade de servios de testes de penetrao de aplicativos altamente especializados. O worm Samy, o primeiro worm XSS de relevncia, infecta mais de 1 milho de perfis do MySpace em menos de 24 horas, causando uma interrupo na maior rede social do mundoatento.Oincidentedestaca anecessidadedemaisseguranapara osaplicativosdaWeb. Ataques em massa de SQL Injection comeam a aparecer em bases de dados infectadas por exploits, distribudos via navegao (direto no browser). Os visitantes de sites infectados tm suas mquinas comprometidas automaticamente. Este incidente destaca a necessidade de mais segurana para aplicativos Web e do uso de Web Application Firewalls para fechar aberturas indevidasnessasaplicaes. Chega ao fim (nos EUA) o prazo estipulado pelo padro PCIDSS na seo 6.6, exigindo que os

2001

2002

OCodeRedoCodeRedIIinfectam 2005 centenasdemilharesdeservidores Microsoft IIS vulnerveis logo no dia em que so identificados na Internet. O incidente destaca a necessidadedeumamaioradoo do gerenciamento corporativo de patches, ainda que somente em hostsdisponveispublicamente. Bill Gates lana seu famoso 2007 memorando intitulado ComputaoConfivel.

2003

O SQL Slammer e o worm Blaster 2008 demonstraram o estado "poroso" da segurana das redes atravs da

11

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

2003

exploraodedezenasdemilhares de servidores com patches desatualizados, mesmo aqueles localizadosdentrodopermetroda rede. O incidente destaca a necessidade da adoo de host based firewalls e de implementaesdegerenciamento de patches para todos os hosts pblicoseprivados. A fim de manter o ritmo com o 2008 a aumentodafrequnciadeataques 2009 remotos e os requisitos de aplicao de patches, cresce a adoo de aplicaes InHouse para a de varredura de vulnerabilidades de rede, para compensar os custos proibitivos dos servios consultivos de teste depenetrao. O Service Pack 2 do Windows XP 2008 vem com o Firewall do Windows, como um recurso de segurana padroparaprotegeroshostssem correo,quepodemounoestar protegidos por um firewall de permetro.Poucotempodepoisos firewalls tornamse padro em mquinasconectadasInternet. Aamplaadoodasvarredurasde (?) vulnerabilidades de rede tornase realidade, mas os custos de software e de gesto so proibitivos. Isso, juntamente com os requisitos de conformidade, leva maior adoo de servios gerenciados de segurana e de ofertas no modelo de negcio de SaaS (software como servio), como os exemplos da Qualys e da ScanAlert a fim de reduzir o TCO (custototaldepropriedade).

comerciantes que aceitam pagamentos eletrnicos realizem revises de cdigo ou instalem Web Application Firewalls. A exigncia destaca ainda mais a necessidade de ambas as solues: comerciais e de cdigoabertodeWAF.

2004

A fim de manter o ritmo com o aumentodafrequnciadeataques,as aceleradas mudanas nas aplicaes Web, e a frequncia dos testes de exigidos pela PCIDSS 6.6, cresce a adoo de aplicaes InHouse para a varredura de vulnerabilidades em aplicaes. para compensar o aumento proibitivo nos custos dos servios consultivos de testes de penetrao. Prximosgrandesincidentes. Frameworks de desenvolvimento tais como o .NET e o JME adotam mecanismos de proteo contra ataquesbsicosdeaplicaes

2005

Prximos Incidentes? Ampla adoo de varreduras de vulnerabilidade de redeemregimeSaaS?

12
2006

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

As bandeiras de carto de crdito (?) formam o PCI Security Standards Council, reforando a exigncia de gerenciamento de vulnerabilidades, gerenciamento de patches e ampla adoo de firewalls.

Ampla adoo de Web Application Firewalls. Ampla adoo de SDL (Security Developmet Lifecycle), para desenvolvimentosegurodeaplicaes Web.

Ocontedodatabela,almdedemonstrarcomclarezaoparalelosugeridoporGrossman,aponta aindaparaumatendnciafuturadeamadurecimentodocenriodasaplicaesWebedomercado de Web Application Firewalls. Esse amadurecimento fundamental para que as instituies consigam manter as vantagens da estratgia de solues via aplicaes Web. Em ambos os contextos,tantodeseguranaderedes,quantodeseguranadeaplicaesWeb,podesededuzir oseguintegrficoqualitativo:

Problemas Conscientizao Adoo

Proteode Aplicaes

Proteo deRedes

Tempo

importante que empresas e internautas compreendam que, enquanto para o cenrio de segurana de redes a vasta maioria das instituies j se encontra no plat superior da curva de adoo (verde), no cenrio de segurana de aplicaes Web ainda nos encontramos na ala ascendentedacurvadeconscientizao(amarelo).

OWebViserdaKinapsys:umasoluoefetiva
CommaisdametadedosataquesatuaissendodirecionadasaplicaesWeb,umasoluoque endereceefetivamenteessescomponentesfazseimprescindvel.OWebApplicationFirewallsurge comoessasoluo.

13

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

MasoqueumWebApplicationFirewall? O Web Application Firewall ou WAF um elemento de segurana cujo objetivo proteger os componentes da camada 7 da pilha de comunicao do modelo OSI. Justamente por agir na camadadeaplicao,oWAFtemacapacidadedeinspecionarocontedodofluxodeinformaes chegando s aplicaes cujo acesso disponvel via Web, determinando se tais fluxos de comunicaosolegtimosousesomaliciosos,isso,setentamexplorarasaplicaesdeforma dspardaquelaparaaqualasmesmasforamcriadas.Afiguraaseguirilustraorelacionamentoeo posicionamentodofirewalldeaplicaesWebdentrodarededainstituio:

FirewalldeRede
Fazaverificaodos pacotesembuscade fluxostentandoromper opermetrosem autorizao. impotentepara barrarfluxos autorizados,mascom contedomalicioso.

Servidoresde Aplicaes

FirewalldeAplicaes
Fazaverificaodocontedo dosfluxosdecomunicao autorizadospelainfraestrutura deseguranaderede. capazdeidentificar comportamentosanmalospor partedeusuriosremotose impedirosataques.

Com a inteno de atender s necessidades prementes das instituies, apresentadas anteriormente,esoboconceitoWAF,aKinapsysdisponibilizasuasoluoWebViser. O WebViser a mais inovadora implantao do conceito de firewall de aplicaes Web, incorporando as mais novas tcnicas de proteo para assegurar o andamento adequado dos fluxos de comunicao com as aplicaes baseadas na Web. Dessa forma o WebViser atua oferecendoproteoondeosfirewallsedemaisdispositivosdeseguranaderedenoconseguem chegar. AsprincipaiscaractersticasdoWebViserso:

14

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

Ampla proteo para aplicaes Web O WebViser protege de forma generalizada aplicaescujacomunicaosedtantopormeiodoprotocoloHTTPquantodoprotocolo HTTPS; Proteo outofthebox O WebViser j em sua instalao inicial, sem que tenham sido feitas customizaes especficas, protege contra as vulnerabilidades mais exploradas, melhorandoonveldeseguranadesdeoprincpiodesuavidatilnainstituio; MododeAprendizadoOWebViserpermiteacriaodeumabasedeconhecimentocom dadossobreasvriastransaespossveisdeseremrealizadasemumaaplicaoWeb.Uma vezqueessabasetenhainformaesconsolidadas,oWebViser podeser configuradopara reagiradequadamenteaosvriostiposdetransaescoletadas,garantindomaiorpreciso nasaesemaiorefetividadenaseguranaprovidasaplicaes; AtualizaodinmicaeautomticadasregrasdeproteoOWebViserdisponibilizaum mecanismoautomticodeatualizaodasregrasdeproteo.Aequipededesenvolvimento daKinapsysestemconstantetrabalhodepesquisa,identificandonovastcnicasdeataque ecriandoregrasparaoWebViserqueprotejamasaplicaesdessesnovosataques; Gerenciamento Centralizado das Aplicaes O WebViser disponibiliza uma console centralizada de gerenciamento que permite a visualizao dos principais aspectos de utilizaoedesempenhodasaplicaesWebsobsuaproteo; Gerao de Evidncias para Anlise Forense O WebViser gera Iogs que podem ser utilizadosparaarealizaodeanlisesforensesparadeterminaodecausaseatribuiode responsabilidadesemincidentesdeseguranaocorridos; Auditoria O WebViser permite um nvel de auditoria nas aplicaes inexistente em ferramentastradicionaisdesegurana,aexemplodacontabilizaoeavaliaocompletade postsecookies; Independncia de Plataforma O WebViser pode ser implementado para proteger aplicaes WEB desenvolvidas em qualquer linguagem e implantadas em qualquer tipo de servidorWeb(Apache,IIS,TomCat,Websphere,etc.); FlexibilidadeOWebViserapresentagrandegamadeproteesespecficas(boasprticas), epermitetambmacriaoecustomizaoderegrasparaatenderasnecessidadescrticas decadaclienteedecadaaplicao.

AscategoriasdeproteodoWebViserso: RegrasdeFiltragemdeentradaOWebViserpermiteaimplantaodeumaamplagama deregrasdefiltragem,queprotegemcontra: o CrossSiteScripting(XSS); o CrossSiteRequestForgery(XSRF); o Injeesdecomandosemgerenciadoresdebasesdedados(SQLInjection); o Comandosincludosindevidamentenosservidores(SSIInjection);

15

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

o Comandosnosserviosdeautenticaodeusurios(LDAPInjection); RegrasdeFiltragemdesadaOWebViserimpedeovazamentodeinformaespormeio de telas e mensagens de erro quando dados incorretos so fornecidos aplicao. O WebViserinterceptataismensagensetelasdesadaeassubstituiporumatelagenricade erro, sem que o usurio ganhe acesso indevido a informaes internas da aplicao. Essas regraspermitemaindaafiltragemdedeterminadospadres,taiscomonmerosdecarto decrdito,impedindoqueinformaessensveissejamdisponibilizadasindevidamente; Gerenciamento seguro de sesso O WebViser introduz novas capacidades ao gerenciamento de sesso, permitindo mais rigor que os controles inerentes s tecnologias dasaplicaesWeb,taiscomo.NetouPHP; Filtrosextremos(modopositivo)apenasumconjuntodefinidodedadosdeentradapode serpassadoaplicao.Quaisqueroutrastentativasdeentradadedadosforadospadres estabelecidosseroautomaticamentebarradas; Preveno contra DoS Avaliao da freqncia e dos objetivos dos comandos e aes requisitadosdaaplicao,barrandoaquelascujaintenosejasobrecarregaraaplicaoou deoutraformadebilitare/oudesabilitarseufuncionamentoadequado. Monitorao do seqenciamento de telas Avaliao da seqncia lgica das telas e pginasaseremexibidaspelaaplicao.Casoousuriocoloqueumapginaembookmark paraacessoposteriorsemprecisarpassarpelocontroledeacesso,essatentativafalhar; Controle de acesso O WebViser pode tomar para si a responsabilidade de controlar o acessosaplicaesWebdocliente,sejapormeiodeumabaseprpriadeinformaesdos usuriosautorizados,oupormeiodaintegraocomoLDAPdainstituio.Porexemplo,o WebViser pode ser integrado com sistemas de autenticao forte, agregando autenticao via tokens, biometria e a introduo de certificados digitais para proteo das aplicaes Web;

Asvantagensdaestratgiadeproteodeaplicaes
O WebViser da Kinapsys oferece uma srie de vantagens s instituies clientes, sendo que a principaldelasaconsolidaodasoluodeseguranadainstituio.Nessesentidoaadoode uma estratgia de proteo s aplicaes Web complementa e amplia a eficcia da estratgia globaldeseguranaadotadaporessasinstituies. Alm dessa consolidao imprescindvel ao sucesso nas operaes dependentes de aplicaes WebdainstituiooWebViserdaKinapsysoferecevriasoutrasvantagensaosseusclientes,a saber:

16

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

FoconoContedo
UmadaschavesparaosucessodaestratgiadeaplicaesWebotimetomarket.Quantomais rapidamente a instituio consegue disponibilizar seus servios na Web, tanto mais rapidamente criar conscientizao sobre os mesmos. Tal processo de conscientizao fundamental para tornarrealidadeosresultadosplanejados. A adoo do WebViser permite instituio focar no contedo alvo de sua aplicao sem a necessidadedetempoourecursosextrasquevisemrobustezdaaplicao.Taisrecursospodem ser revertidos para testes de qualidade e melhoria contnua da usabilidade das aplicaes, oferecendovalorrealaosusurios. OalicercedessaestratgiaoWebViser,queabrigaemsitodaaproteonecessriasaplicaes Web,garantindoaseguranadessasaplicaesdeformarobusta. Aaplicaofoidesenvolvidasemfocoemsegurana?OWebViserevitaoretrabalhonasaplicaes inserindosecomoapeadeseguranaWebnarede. NovosataquessurgemdiariamentenaWeb?OWebViserdispensaaremodelagemdasaplicaes para que se adaptem e barrem esses novos ataques. o WebViser quem vai absorver as novas tcnicasdecombateereforlasparaainstituio. Os clientes demandam novas caractersticas nas aplicaes Web? A instituio pode focar seus esforosnaimplantaodessascaractersticas,melhorandoapercepodevaloroferecidapelas aplicaes.

EvitaRetrabalhodeRevisodeCdigo
OItem6.6doPCIDSSespecificaqueasempresassujeitasaopadrodevemsesujeitararevises peridicas (anuais) de cdigo, um processo longo, desgastante e custoso, que pode implicar em paradas, multas e outros custos escondidos, sem contar o efeito negativo para a imagem do estabelecimentooudaempresaemfunodotempodeindisponibilidade. Levandose em conta que um estudo do Departamento de Defesa dos EUA afirma haver uma mdia de 15 defeitos de segurana para cada 1000 linhas de cdigo, e que uma aplicao tpica tem200.000linhas,esteprocessoderevisodecdigopodedemoraranosparaeliminartodosos erros.Muitoantesdisso,porm,oprocessonaturaldeobsolescnciafarcomqueaaplicaoseja substitudaporoutracomoutrostantosdefeitos,numcicloviciosopraticamenteimpossveldeser quebrado. AadoodoWebViserumaalternativaaceitvel(erecomendvel)deacordocomoitem6.6do padroPCI,substituindocomvantagensasrevisesperidicasdecdigo.

17

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

LiberdadedasAtividadesdeAutenticaoeControledeAcesso
O controle de acesso uma caracterstica crtica das aplicaes, exigindo mecanismos de integrao com as bases de dados de usurios da instituio e com sistemas tais como o LDAP. Nessasintegraesnopodehaverfalhas.OWebViseroferecemecanismosrobustosdecontrole deacessoquegarantemapenasacessosautorizadossaplicaes.

MaiorControlePorMeiodeAuditoria
Achaveparaamelhoriacontnuadaseguranadequalquerambienteamonitoraodoseventos quealiocorrem.OWebViseroferecemecanismosdeauditoriamuitomaiseficientesqueoslogs dasaplicaes,guardandoinformaesdeusodasaplicaesparausoforense,quandonecessrio.

EliminaodeTrfegoIndevido
Elimina trfego no autorizado, bots, etc., melhorando o desempenho dos recursos de processamentoerede.

ConformidadecomExignciasdoPCIpara2010
AadoodoWebVisercontribuideformarpidaeeficazparaaconformidadecomopadroPCI, cujoprazoparaempresastier1etier2(grandeemdioportedetransaeseletrnicasanuais) 31dejulhode2010.Afimdeeconomizartempocomoprocessodeconformidade,aadoodo WebViserdeimediatojrespondeexignciadoitem6.6dopadro.

SuporteLocal
AoadotarumfirewalldeaplicaesWeboclienteintroduzemseuambienteumcomponentede missocrtica,quecomotalprecisasertratado.Nessesentido,aagilidadenosuporteumadas questesfundamentais.OWebViserdaKinapsyscontacomosuportedeumtimelocalaltamente preparadoparalidarcomasquestesurgentespropostaspelosclientes. Estaequipegaranteomnimodeimpactoquandodanecessidadedeatuaosobreosistemaeo mximodedisponibilidadeparaasaplicaesWebdosclientes.

Concluso
O cenrio global apresentado aponta para um ambiente em constante mutao. Nessas ltimas duas dcadas houve uma inimaginvel evoluo tanto no que diz respeito complexidade da infraestruturadeTIedasinformaestrocadasonline,quantonoqueconcernesameaasaessa infraestrutura.Oqueficaclaroqueessasnovasameaasnopodemsercombatidaseficazmente comasferramentastradicionais.

18

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

Aadoodeferramentasdeproteosaplicaestornaseimprescindvelmedidaquecresceo valor das informaes disponibilizadas via aplicaes Web, e os firewalls de camada 7 da ISO apresentamsecomosoluesparaessaquesto. O WebViser representa o estado da arte em proteo de aplicaes Web, agindo como barreira contratodasasameaasdasmaisantigassmaisrecenteseestprontoparaevoluirainda maisjuntocomoambientecrticodasinstituies.Dessaformaofocodainstituiovoltaasera gerao de valor para osusurios dasaplicaes, com a proteo ficando a cargo de quem mais entendedoassunto:aKinapsys.

Prximospassos
EntreemcontatocomaKinapsyseparticipedoprogramaWebViserCase.Vocpodeverificar emprimeira moosbenefciosdoWebViser,protegendosuasaplicaesegarantindoosucesso desuaestratgianaWeb. Estamos prontos para auxililo a integrar o WebViser em seu ambiente, protegendo suas aplicaes desde o incio do projeto e demonstrando claramente porque o WebViser a melhor soluoparaseuambienteWeb. Visite www.kinapsys.com.br e solicite verso de demonstrao do WebViser. Voc ver que integrlo ao seu ambiente de aplicaes Web um processo rpido e simples, cujos resultados falaroporsimesmos. (1) Khera,Mandeep(Cenzic)WebApplicationSecurityLandscapeandTrends http://www.netsecurity.org/article.php?id=1139 (2) SANSInstituteTheTopSecurityRisksBiannualReporthttp://www.sans.org/topcyber securityrisks/ (3) Kiyoshi,Ricardo(Batori)Confiraas10PrincipaisVulnerabilidadesemAplicaesWeb http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=10324 (4) Singel,Ryan(Wired)DataBreachWillCostTJX$1.7Billion,SecurityFirmEstimates http://www.wired.com/threatlevel/2007/03/data_breach_wil/ (5) PonemonInstitute2009AnnualStudy:CostofaDataBreach http://www.ponemon.org/local/upload/fckjail/generalcontent/18/file/2008 2009%20US%20Cost%20of%20Data%20Breach%20Report%20Final.pdf (6) Grossman,Jeremiah(WhiteHatSecurity)HistoryRepeatingItself http://jeremiahgrossman.blogspot.com/2008/12/historyrepeatingitself.html

19

Proteo das Aplicaes Web Fator Crtico para o Sucesso das Operaes

Paramaisinformaes: www.kinapsys.com.br ricardo.batori@kinapsys.com.br Fone:+551150708585