Na maioria dos casos, os servidores de aplicativos da Web precisam ser acessíveis publicamente, o que significa que estão expostos a todos os tipos de ameaças de crime cibernético.
Um servidor de aplicativos da Web não é uma ilha. O servidor é o componente central no farm de aplicativos Web que possibilita a hospedagem e a operação de um aplicativo Web. Portanto, para se proteger dos crimes cibernéticos, é preciso levar em consideração todos os componentes que o cercam e proteger todo o ambiente de aplicativo da web.
Um ambiente básico para hospedar e executar aplicativos da Web inclui o sistema operacional (Linux ou Windows), o software do servidor da Web (Apache ou Nginx) e um servidor de banco de dados. Se algum desses componentes for invadido, os invasores poderão obter acesso e executar todas as ações maliciosas que desejarem.
Uma primeira e básica dica de segurança da informação de hospedagens é ler as diretrizes de segurança e a lista de melhores práticas para cada um dos componentes.
Muitas dessas ameaças de crime cibernético são previsíveis e facilmente evitáveis, enquanto outras, são desconhecidas e podem pegá-lo desprevenido. Para minimizar a possibilidade deste último caso, oferecemos uma lista de dicas essenciais para manter os servidores de aplicativos de Web o mais seguros possível.
O firewall desmistificado
Você pode ficar tentado a verificar rapidamente este item, pensando: “Sorte minha, já tenho um firewall protegendo minha rede”. Mas é melhor você segurar seus cavalos.
Seu firewall pode estar cuidando das fronteiras de sua rede, mantendo os bandidos fora e os mocinhos dentro, mas com certeza está deixando uma porta aberta para hackers invadirem seu servidor de aplicativos de Web.
Como? Simples: seu firewall de rede deve, pelo menos, permitir tráfego de entrada nas portas 80 e 443 (ou seja, HTTP e HTTPS), e não sabe quem ou o que está passando por essas portas. O que você precisa para proteger seu aplicativo é um firewall de aplicativo da Web (WAF) que analisa especificamente o tráfego da Web e bloqueia qualquer tentativa de explorar vulnerabilidades, como scripts entre sites ou injeção de código. Um WAF funciona como um antivírus e antimalware típico: ele procura padrões conhecidos no fluxo de dados e o bloqueia quando detecta uma solicitação maliciosa.
Para ser eficaz, o WAF precisa ter seu banco de dados constantemente atualizado com novos padrões de ameaças de crimes cibernéticos, para poder bloqueá-los. O problema com a prevenção de ataques baseada em padrões é que seu aplicativo da Web pode ser um dos primeiros alvos de uma nova ameaça de crime cibernético da qual seu WAF ainda não está ciente.
Por esses motivos, seu aplicativo da Web precisa de camadas de proteção adicionais além do firewall de rede.
Verificar vulnerabilidades específicas da Web
Novamente, não pense que seu servidor de aplicativos da web está livre de vulnerabilidades apenas porque seu scanner de segurança de rede diz isso.
Os scanners de rede não podem detectar vulnerabilidades específicas do aplicativo. Para detectar e eliminar essas vulnerabilidades, você deve submeter os aplicativos a uma série de testes e auditorias, como testes de penetração, verificação de caixa preta e auditoria de código-fonte. Nenhum desses métodos é à prova de balas, no entanto. Idealmente, você deve executar o maior número possível deles para eliminar todas as vulnerabilidades.
Por exemplo, scanners de segurança, como o Netsparker, garantem que nenhum código explorável chegue ao seu aplicativo ou mesmo servidor. Mas pode haver vulnerabilidades lógicas que só podem ser detectadas por auditoria manual de código. A auditoria manual, além de demandar alto investimento, é um método humano e, portanto, sujeito a erros. Uma boa ideia para fazer desse tipo de auditoria, grandes investimentos, é incorporá-la no processo de desenvolvimento, principalmente educando seus desenvolvedores.
Eduque seus desenvolvedores
Os desenvolvedores tendem a pensar que seus aplicativos são executados em mundos ideais, onde os recursos são ilimitados, os usuários não cometem erros e não há pessoas com intenções implacáveis. Infelizmente, em algum momento, eles precisam enfrentar problemas do mundo real, especialmente aqueles relacionados à segurança da informação.
Ao desenvolver aplicativos da Web, os codificadores devem conhecer e implementar mecanismos de segurança da informação para garantir que estejam livres de vulnerabilidades. Esses mecanismos de segurança da informação devem fazer parte do guia de melhores práticas que a equipe de desenvolvimento deve cumprir.
A auditoria de qualidade de software é usada para garantir a conformidade com as melhores práticas. As práticas recomendadas e a auditoria são as únicas maneiras de detectar vulnerabilidades lógicas, como (por exemplo) passar parâmetros não criptografados e visíveis dentro de uma URL, que um invasor pode alterar facilmente para fazer o que deseja.
Desative a funcionalidade desnecessária
Supondo que os aplicativos da Web sejam o mais livre de erros possível e o farm de aplicativos da Web esteja protegido, vamos ver o que pode ser feito no próprio servidor para protegê-lo contra ataques.
Uma dica básica de bom senso é reduzir o número de pontos de entrada potencialmente vulneráveis. Se os invasores puderem explorar qualquer um dos componentes do servidor da Web, todo o servidor da Web poderá estar em perigo.
Faça uma lista de todas as portas abertas e serviços ou daemons em execução no seu servidor e feche, desative ou desligue os desnecessários. O servidor não deve ser usado para nenhuma outra finalidade além de executar seus aplicativos da Web, portanto, considere mover todas as funcionalidades adicionais para outros servidores em sua rede.
Use ambientes separados para desenvolvimento, teste e produção da Web
Desenvolvedores e testadores precisam de privilégios nos ambientes em que trabalham que não deveriam ter no servidor de aplicativos ativo. Mesmo se você confiar cegamente neles, suas senhas podem facilmente vazar e cair em mãos indesejadas.
Além de senhas e privilégios, nos ambientes de desenvolvimento e teste, geralmente há backdoors, arquivos de log, código-fonte ou outras informações de depuração que podem expor dados confidenciais, como nomes de usuário e senhas de banco de dados. O processo de implantação do aplicativo da Web deve ser feito por um administrador, que deve garantir que nenhuma informação confidencial seja exposta, após a instalação do aplicativo no servidor ativo.
O mesmo conceito de segregação precisa ser aplicado aos dados do aplicativo. Testadores e desenvolvedores sempre preferem dados reais para trabalhar, mas não é uma boa ideia conceder a eles acesso ao banco de dados de produção, ou mesmo a uma cópia dele. Além de preocupações óbvias com a privacidade, o banco de dados pode conter parâmetros de configuração que revelam as configurações internas do servidor – como endereços de terminais ou nomes de caminhos, para citar alguns.
