Como a Akamai expande sua prática de segurança para atenuar os riscos do OWASP Top 10 2

IntroduçãoO OWASP Top 10 fornece uma lista dos tipos mais comuns de vulnerabilidades observados frequentemente em aplicações Web. Para destacar uma percepção equivocada comum, geralmente perpetuada por fornecedores de segurança, o OWASP Top 10 não fornece uma lista de verificação de vetores de ataque que podem ser simplesmente bloqueados por um Web Application Firewall (WAF). Em vez disso, seu objetivo é aumentar a conscientização sobre vulnerabilidades de segurança comuns que os desenvolvedores de aplicações devem considerar, promover essa conscientização em uma série de práticas de desenvolvimento e ajudar a instilar uma cultura de desenvolvimento seguro.

Para solucionar o OWASP Top 10 é necessário entender o papel que os fornecedores de segurança e a sua própria organização têm na proteção de suas aplicações Web. Algumas áreas de risco só podem ser tratadas pelos próprios desenvolvedores de aplicações. Muitos fornecedores de segurança podem ajudar em algumas áreas, mas muitas vezes não conseguem fornecer a cobertura completa ou a melhor possível contra uma vulnerabilidade. As melhores soluções fornecem uma combinação de pessoas, processos e tecnologias para atenuar os riscos associados ao Top 10.

Para aproveitar ao máximo o OWASP Top 10 é necessário compreender onde e como (e quanto) os fornecedores de segurança podem ajudar a expandir as melhorias para suas próprias práticas de desenvolvimento. Veja a seguir uma descrição do papel que a Akamai pode ter no suporte aos seus esforços com nossas soluções de segurança na borda,1 serviços gerenciados, 2 e plataforma de borda inteligente segura.3

EDITABLE IMAGE

DDoS Scripts

DNS

Cenário de ameaças

Bots

API

Web

Malw

are

W

AP Prolexic Análise Edge DNS

Segurança na borda Bot Manager

KSD

EA

A

E

TP

PIM

Akamai Intelligent Edge PlatformTM

www www

SaaS SaaS

IaaS

API

Nuvem privada Nuvem pública

Como a Akamai expande sua prática de segurança para atenuar os riscos do OWASP Top 10 3

A1: Injeção

Impacto: grave Prevalência: comum Exploração: fácil

Falhas de injeção, como injeção de SQL, NoSQL, SO e LDAP, ocorrem quando dados não confiáveis são enviados a um intérprete como parte de um comando ou consulta. Os dados hostis do invasor podem induzir o intérprete a executar comandos não intencionais ou acessar dados sem a devida autorização.

Como a Akamai pode ajudar?As organizações podem usar uma solução de segurança WAF para proteger aplicações Web e APIs contra falhas de injeção. No entanto, as organizações devem sempre corrigir aplicações Web para solucionar quaisquer vulnerabilidades descobertas com base no ciclo de vida de desenvolvimento.

• O WAF da Akamai4 oferece ampla proteção contra ataques de injeção com regras existentes e prontas para uso.

• A aplicação de patches virtuais com regras personalizadas pode ajudar a resolver rapidamente as vulnerabilidades de injeção emergentes ou novas vulnerabilidades expostas por alterações na aplicação, até que a aplicação possa ser corrigida. A aplicação de patches virtuais também pode ser automatizada e integrada aos processos de DevSecOps, aproveitando os recursos de API ABERTA da Akamai.

• O Client Reputation5 fornece uma classificação de risco para clientes mal-intencionados altamente ativos na categoria de Invasores da Web para ajudar a identificar e bloquear ataques baseados em injeção.

• Os ataques baseados em injeção também podem ser analisados mais detalhadamente pelo WAF com um Modo de alerta para o banco de penalidades.

A2: Autenticação interrompida

Impacto: grave Prevalência: comum Exploração: fácil

As funções de aplicações relacionadas à autenticação e ao gerenciamento de sessão geralmente são implementadas incorretamente, permitindo que invasores comprometam senhas, chaves ou tokens de sessão, ou explorem outras falhas de implementação para assumir as identidades de outros usuários de forma temporária ou permanente.

Como a Akamai pode ajudar?Embora as organizações tenham que corrigir seu processo de autenticação danificado para solucionar totalmente essa vulnerabilidade, a Akamai pode ajudar a detectar e proteger contra muitos dos vetores de ataque que tentam explorá-la:

• O WAF da Akamai fornece um recurso de controle de taxa, que pode lidar com ataques de força bruta.

• As soluções de gerenciamento de bots6 podem detectar e gerenciar a automação usada em ataques de Credential Stuffing.

• Os cookies HTTP podem ser criptografados na plataforma da Akamai7 para impedir a adulteração e modificação de cookies, o que pode fortalecer o processo de autenticação.

• O Enterprise Application Access (EAA)8 pode proporcionar acesso por proxy às aplicações por meio de um "modelo de acesso com privilégios mínimos", reduzindo a superfície de ataque da aplicação e aprimorando o acesso com recursos de autenticação de dois fatores (2FA) e autenticação multifator (MFA).

Como a Akamai expande sua prática de segurança para atenuar os riscos do OWASP Top 10 4

A3: Exposição de dados confidenciais

Impacto: grave Prevalência: generalizada Exploração: média

Muitas aplicações Web e APIs não protegem adequadamente dados confidenciais, como dados financeiros, de saúde e informações pessoais identificável (PII). Os invasores podem roubar ou modificar dados pouco protegidos como esses para realizar fraudes de cartão de crédito, roubos de identidade ou outros crimes. Dados confidenciais podem ser comprometidos sem proteção extra, como criptografia em repouso ou em trânsito, e exigem precauções especiais quando trocados com o navegador.

Como a Akamai pode ajudar?A exposição de dados confidenciais abrange muitos aspectos de como os dados são transmitidos, armazenados e compartilhados, incluindo a exposição não intencional de dados de uma página da Web desprotegida, e não pode ser totalmente protegida apenas por uma única solução de segurança. No entanto, várias soluções podem ajudar a lidar com alguns aspectos dessa vulnerabilidade. Por exemplo:

• A Akamai criptografa e protege dados confidenciais em trânsito e ajuda a manter a conformidade com PCI (Payment Card Industry), servindo-se exclusivamente de uma CDN (Rede de Entrega de Conteúdo) segura com racks isolados e cercados, oferecendo suporte a todos os certificados SSL (Secure Sockets Layer) da marca e protegendo as chaves privadas de um cliente.

• O Enterprise Application Access pode proteger o acesso remoto criptografando a comunicação e ocultando dados confidenciais de olhares curiosos na rede.

• O Enterprise Application Access também pode se integrar a soluções de prevenção contra perda de dados (DLP) usando ICAP para proteger ainda mais os dados confidenciais contra exposição.

• O Enterprise Threat Protector (ETP)9 pode ajudar com a exposição de dados confidenciais.

A4: Entidades externas XML (XXE)

Impacto: grave Prevalência: comum Exploração: média

Muitos processadores XML mais antigos ou mal configurados avaliam as referências de entidades externas nos documentos XML. Entidades externas podem ser usadas para divulgar arquivos internos usando o manipulador de URI de arquivos, compartilhamentos de arquivos internos, verificação de portas internas, execução remota de código e ataques de negação de serviço.

Como a Akamai pode ajudar?• O WAF da Akamai inclui regras que podem detectar e interromper ataques XXE antes que o analisador XML

processe a entidade externa perigosa.

• O WAF da Akamai inclui recursos de proteção de API com restrições de solicitação de API que podem ser usados para validar XML e JSON em formatos predefinidos para bloquear ataques XXE.

Como a Akamai expande sua prática de segurança para atenuar os riscos do OWASP Top 10 5

A5: Controle de acesso interrompido

Impacto: grave Prevalência: comum Exploração: média

As restrições sobre o que os usuários autenticados têm permissão para fazer geralmente não são aplicadas corretamente. Os invasores podem explorar essas falhas para acessar funcionalidades e/ou dados não autorizados, acessar contas de outros usuários, visualizar arquivos confidenciais, modificar dados de outros usuários, alterar direitos de acesso etc.

Como a Akamai pode ajudar?Embora as organizações tenham que corrigir seu modelo de controle de acesso para solucionar totalmente essa vulnerabilidade, a Akamai pode ajudar na detecção e proteção contra alguns dos vetores de ataque que tentam explorá-la:

• O Enterprise Application Access permite um modelo de acesso com privilégios mínimos para usuários corporativos, permitindo apenas visibilidade e acesso a aplicações autorizadas por usuários autenticados, o que suporta um modelo de segurança Zero Trust.

• O API Gateway10 pode impor a autenticação de APIs a fim de fortalecer o controle de acesso.

• O WAF da Akamai pode ajudar a bloquear ataques violentos do navegador por meio da verificação do solicitante.

• Os cookies HTTP podem ser criptografados na plataforma Akamai, o que fortalece o controle de acesso.

A6: Má configuração de segurança

Impacto: moderado Prevalência: generalizada Exploração: fácil

A configuração incorreta de segurança é o problema observado com maior frequência. Isso geralmente é resultado de configurações padrão desprotegidas, configurações incompletas ou ad hoc, armazenamento em nuvem aberta, cabeçalhos HTTP mal configurados ou mensagens de erro detalhadas que contêm informações confidenciais. Não apenas todos os sistemas operacionais, estruturas, bibliotecas e aplicações devem ser configurados com segurança, mas também devem ser corrigidos e atualizados em tempo hábil.

Como a Akamai pode ajudar?Por definição, a configuração incorreta de segurança (a) abrange vários aspectos da segurança de aplicações e (b) exige que as organizações configurem adequadamente os controles de segurança. Embora não seja um substituto para a configuração adequada, a Akamai pode ajudar a proteger contra vazamento de dados:

• O WAF da Akamai inclui um grupo de ataque de anomalia de saída para capturar vazamento de informações, como códigos de erro, bem como o código-fonte resultante da configuração incorreta de segurança pronta para uso.

• A aplicação de patches virtuais com regras personalizadas pode ajudar a resolver rapidamente o vazamento de dados detectado até que a aplicação possa ser corrigida.

• Os ataques de força bruta que usam credenciais padrão podem ser protegidos com controles de taxa.

• A configuração de segurança fraca nos cabeçalhos da Política de segurança de conteúdo pode ser reforçada na plataforma Akamai.

Como a Akamai expande sua prática de segurança para atenuar os riscos do OWASP Top 10 6

A7: XSS (cross-site scripting)

Impacto: moderado Prevalência: generalizada Exploração: fácil

As falhas de XSS (cross-site scripting) ocorrem sempre que uma aplicação (a.) inclui dados não confiáveis em uma nova página da Web sem validação ou escape adequado ou (b.) atualiza uma página da Web existente com dados fornecidos pelo usuário usando uma API do navegador que pode criar HTML ou JavaScript. O XSS permite que os invasores executem scripts no navegador da vítima, que podem sequestrar sessões do usuário, alterar o aspecto de websites ou redirecionar o usuário para websites mal-intencionados.

Como a Akamai pode ajudar?As organizações podem usar uma solução de segurança WAF para proteger aplicações Web contra falhas de XSS. No entanto, as organizações devem sempre corrigir aplicações Web para solucionar quaisquer vulnerabilidades descobertas com base no ciclo de vida de desenvolvimento.

• Os produtos WAF da Akamai contam com regras WAF de XSS existentes para identificar e interromper ataques de XSS imediatamente.

• A aplicação de patches virtuais com regras personalizadas pode ajudar a resolver rapidamente as vulnerabilidades emergentes de XSS ou novas vulnerabilidades expostas por alterações na aplicação, até que a aplicação possa ser corrigida.

• O Client Reputation fornece uma classificação de risco para clientes mal-intencionados na categoria de Invasores da Web para ajudar a bloquear ataques baseados em XSS.

• A Plataforma Akamai pode definir cabeçalhos de política de resposta de segurança instantaneamente para proteger contra ataques XSS.

A8: Desserialização insegura

Impacto: grave Prevalência: comum Exploração: difícil

A desserialização desprotegida geralmente leva à execução remota de código. Mesmo que falhas de desserialização não resultem na execução remota de código, elas podem ser usadas para executar ataques, incluindo ataques de repetição, ataques de injeção e ataques de escalonamento de privilégios.

Como a Akamai pode ajudar?As organizações podem usar uma solução de segurança WAF para proteger aplicações Web e APIs contra falhas de desserialização desprotegidas. No entanto, as organizações devem sempre corrigir aplicações Web para solucionar quaisquer vulnerabilidades descobertas com base no ciclo de vida de desenvolvimento.

• As regras do WAF da Akamai detectam ataques de desserialização.

• A aplicação de patches virtuais com regras personalizadas pode ajudar a resolver rapidamente novas falhas de desserialização até que a aplicação possa ser corrigida.

• O WAF da Akamai inclui recursos de proteção de API com um modelo de segurança positivo que define formatos de objeto XML e JSON aceitáveis para filtrar XML e JSON criados com códigos mal-intencionados.

Como a Akamai expande sua prática de segurança para atenuar os riscos do OWASP Top 10 7

A9: Uso de componentes com vulnerabilidades conhecidas

Impacto: moderado Prevalência: generalizada Exploração: média

Componentes como bibliotecas, estruturas e outros módulos de software são executados com os mesmos privilégios da aplicação. Além disso, os scripts agem como recursos de aplicações confiáveis com acesso total aos dados das aplicações. Se um componente vulnerável for explorado, este ataque pode facilitar uma perda grave de dados ou a tomada de controle do servidor. As aplicações e APIs que usam componentes com vulnerabilidades conhecidas podem prejudicar as defesas das aplicações e permitir vários ataques e impactos.

Como a Akamai pode ajudar?Embora sejam populares e amplamente usados para reduzir o tempo e os custos de desenvolvimento, os componentes de terceiros são um ponto de entrada muito comum para vulnerabilidades até nas aplicações mais exclusivas. Há vários riscos. As organizações geralmente perdem o controle, e as equipes de segurança muitas vezes desconhecem completamente quais componentes de terceiros estão em uso em suas aplicações. Além disso, as organizações não têm controle sobre a rapidez ou sobre quando as vulnerabilidades recém-descobertas são solucionadas pela entidade de terceiros. Como resultado, corrigir diretamente as aplicações em tempo hábil pode ser difícil ou impossível, exigindo o uso de uma solução de segurança como o WAF e a proteção de script:

• O WAF da Akamai inclui várias regras projetadas para lidar com vulnerabilidades conhecidas, seja especificamente em suas aplicações ou em componentes de terceiros.

• A aplicação de patches virtuais com regras personalizadas pode ajudar a resolver rapidamente as vulnerabilidades emergentes ou novas vulnerabilidades expostas por alterações na aplicação, até que a aplicação possa ser corrigida.

• O WAF da Akamai fornece recursos de proteção de API para proteger APIs de componentes de terceiros dos ataques que exploram vulnerabilidades conhecidas.

• O Client Reputation fornece uma classificação de risco para clientes mal-intencionados na categoria de Verificação na Web para ajudar a proteger contra a exploração de novas vulnerabilidades.

• O Page Integrity Manager protege as aplicações Web contra novas ameaças, como Web skimming, formjacking e ataques de Magecart, detectando comportamentos suspeitos de scripts e fornecendo insights acionáveis para o bloqueio de atividades mal-intencionadas.

• O Page Integrity Manager bloqueia a extração de dados de scripts primários e de terceiros para URLs com vulnerabilidades conhecidas usando um banco de dados CVE (Common Vulnerabilities and Exposures) constantemente atualizado.

A10: Monitoramento e registros insuficientes

Impacto: moderado Prevalência: generalizada Exploração: média

O monitoramento e os registros insuficientes, juntamente com a ausência ou a ineficácia da integração com a resposta a incidentes, permitem que os invasores ataquem ainda mais sistemas; mantenham a persistência; se articulem com mais sistemas; e adulterem, extraiam ou destruam dados. A maioria dos estudos de violação mostra que o tempo para detectar uma violação geralmente é superior a 200 dias e que essas violações geralmente são detectadas por partes externas, em vez de por monitoramento ou processos internos.

Como a Akamai expande sua prática de segurança para atenuar os riscos do OWASP Top 10 8

Como a Akamai pode ajudar?O monitoramento e os registros insuficientes não descrevem uma vulnerabilidade em si, mas uma lacuna na capacidade de uma organização de solucionar vulnerabilidades e tentar explorá-las. A Akamai oferece vários recursos para fornecer às organizações maior visibilidade dos ataques, incluindo:

• A Akamai fornece painéis e ferramentas de geração de relatórios na interface gráfica do usuário Luna Control Center11 da Akamai.

• A Akamai se integra à infraestrutura SIEM existente das organizações para correlacionar os eventos detectados pela Akamai com os de outros fornecedores de segurança.

• Os serviços de segurança gerenciados pela Akamai fornecem recursos de análise e resposta ininterruptas.

• O WAF da Akamai inclui um recurso de Banco de penalidades que permite o aumento do registro de sessões suspeitas para uma análise mais aprofundada.

• O Akamai Enterprise Application Access fornece uma solução integrada de gerenciamento de identidade para autenticar e controlar o acesso a todas as aplicações corporativas. Quando combinada ao recurso de proxy com reconhecimento de identidade, as organizações podem obter visibilidade detalhada das ações do usuário, incluindo a visibilidade de todas as ações GET/POST.

• O Akamai Enterprise Threat Protector permite total visibilidade de todas as solicitações de DNS externas de uma empresa, mal-intencionadas e benignas.

ConclusãoA melhor defesa contra as 10 principais vulnerabilidades do OWASP pode ser alcançada quando as organizações e seu fornecedor de segurança trabalham juntos para alinhar seu pessoal, seus processos e suas tecnologias. A Akamai fornece tecnologia líder do setor e pessoal altamente experiente para se alinhar aos seus processos. Para saber mais sobre o portfólio de segurança na borda da Akamai, consulte as informações detalhadas em nosso website. Se você quiser discutir e explorar com mais detalhes como podemos estabelecer uma parceria para criar a melhor proteção para sua empresa, entre em contato com seu representante de vendas da Akamai.

A Akamai protege e entrega experiências digitais para as maiores empresas do mundo. A plataforma inteligente de borda da Akamai engloba tudo,

da empresa para a nuvem, para que os clientes e suas empresas possam ser rápidos, inteligentes e estar protegidos. As principais marcas mundiais

contam com a Akamai para ajudá-las a obter vantagem competitiva por meio de soluções ágeis que estendem o poder de suas arquiteturas

multinuvem. A Akamai mantém as decisões, as aplicações e as experiências mais próximas dos usuários, e os ataques e as ameaças cada vez mais

distantes. O portfólio de soluções de Edge Security, desempenho na Web e em dispositivos móveis, acesso corporativo e entrega de vídeos da Akamai

conta com um excepcional atendimento ao cliente e monitoramento 24 horas por dia, sete dias por semana, durante o ano todo. Para saber por que

as principais marcas mundiais confiam na Akamai, visite www.akamai.com, blogs.akamai.com ou @Akamai no Twitter. Encontre nossas informações de

contato globais em www.akamai.com/locations. Publicado em 05/20.

Fontes

1. Segurança na borda

2. Services & Support

3. Akamai Intelligent Edge Platform™

4. Kona Site Defender (KSD) e Web Application Protector (WAP)

5. Client Reputation

6. Bot Manager

7. Secure CDN

8. Enterprise Application Access

9. Enterprise Threat Protector

10. Gateway de API

11. Luna Control Center