CIS Control 16: Segurança de Software de Aplicação

Ambientes de TI modernos geralmente incluem uma ampla gama de aplicações: software desenvolvido internamente, plataformas de software hospedadas, ferramentas de código aberto e soluções compradas. Como essas aplicações acessam sistemas sensíveis, dados e outros ativos de TI, os cibercriminosos estão ansiosos para explorá-las durante ataques.

O CIS Control 16 oferece controles de segurança de software de aplicação para fortalecer a postura de segurança da sua organização. Este post no blog explica como a implementação desses CIS controls pode ajudá-lo a reduzir o risco de erros de programação, autenticação fraca, design inseguro, infraestrutura insegura e outras vulnerabilidades que os atacantes usam para acessar dados sensíveis e sistemas.

Observe que antes da CIS Controles de Segurança Críticos Versão 8, o tópico de como proteger aplicações era abordado pelo CIS Control 18.

16.1. Estabeleça e mantenha um processo de desenvolvimento de aplicativos seguro

O primeiro passo é estabelecer um processo de desenvolvimento de aplicativos seguro que aborde práticas de codificação segura, padrões e procedimentos de design de aplicativos seguros e segurança de código de terceiros. Certifique-se também de fornecer treinamento sobre esse processo a todos os envolvidos no ciclo de vida do aplicativo, incluindo equipes de desenvolvimento e grupos de implementação. O objetivo é criar uma cultura de conscientização em cibersegurança na qual todos entendam suas práticas de segurança e trabalhem ativamente para minimizar sua exposição a riscos.

Esta abordagem também melhorará a conformidade da sua organização com regulamentações do setor, mandatos legais e requisitos de governança interna.

16.2. Estabeleça e mantenha um processo para aceitar e tratar vulnerabilidades de software

Você também precisa de um processo robusto de gerenciamento de vulnerabilidades para aceitar e tratar vulnerabilidades de software. Realize avaliações de risco regulares para descobrir lacunas na segurança da sua rede e crie processos que facilitem a submissão de questões de segurança pelos membros da equipe sempre que forem descobertas, inclusive durante a resposta a incidentes.

Certifique-se de atribuir um papel responsável por lidar com relatórios de vulnerabilidade e monitorar o processo de remediação, e considere investir em um sistema de rastreamento de vulnerabilidades.

16.3. Realize uma análise de causa raiz em vulnerabilidades de segurança

Para mitigar uma vulnerabilidade de segurança, é essencial entender os problemas subjacentes por meio de uma análise de causa raiz. Além de ajudar você a abordar vulnerabilidades específicas, a análise de causa raiz também ajuda a definir linhas de base de configuração segura que fortalecem sua postura de segurança e conformidade.

16.4. Estabeleça e gerencie um inventário de componentes de software de terceiros

Crie um inventário dos componentes de software de terceiros, incluindo aqueles que sua equipe utiliza durante o desenvolvimento e quaisquer outros planejados para uso futuro. Considere e documente os riscos que esses componentes de software representam para seus aplicativos e mantenha seu inventário devidamente gerenciado, identificando e registrando quaisquer alterações ou atualizações.

16.5. Utilize componentes de software de terceiros atualizados e confiáveis

Utilize softwares e bibliotecas estabelecidos e comprovados sempre que possível. Encontre fontes confiáveis para esses componentes e avalie o software quanto a vulnerabilidades antes de usá-lo.

Certifique-se de que todos os componentes de software de terceiros tenham suporte contínuo dos desenvolvedores; desative ou remova aqueles que não têm. Usar ativos de software que continuam a receber atualizações de segurança ajuda a minimizar sua exposição ao risco. Certifique-se de usar apenas fontes confiáveis e verificadas para essas atualizações. Claro, você precisa ter certeza de instalar as atualizações de maneira oportuna para manter a integridade dos seus sistemas e dispositivos.

16.6. Estabeleça e mantenha um sistema e processo de classificação de gravidade para vulnerabilidades de aplicativos

Classificar a gravidade das vulnerabilidades de aplicativos ajuda você a priorizar a remediação de riscos. Dica profissional: Ao projetar seu sistema de classificação, certifique-se de incluir o quão críticos são o aplicativo e a vulnerabilidade para os processos de negócios da sua empresa. Considere também estabelecer um nível mínimo de aceitabilidade de segurança para seus aplicativos.

16.7. Utilize modelos de configuração de endurecimento padrão para infraestrutura de aplicativos

Usar modelos recomendados pela indústria para configurar seus servidores, bancos de dados e componentes SaaS e PaaS ajuda a garantir configurações seguras que mitigam vulnerabilidades e melhoram a higiene cibernética.

16.8. Separe os sistemas de produção e não produção

Crie e mantenha ambientes separados para seus sistemas de produção e os sistemas não produtivos usados para desenvolvimento e testes. Monitore toda interação com seus ambientes de produção para evitar que pessoal não autorizado tenha acesso a eles.

Além do monitoramento de atividades, proteja seus ambientes de TI com um gerenciamento eficaz de contas. Conceda às contas de usuário apenas as permissões necessárias e minimize os privilégios administrativos. Medidas adicionais de proteção de dados podem ser implementadas em ambientes Microsoft Active Directory utilizando Group Policy.

16.9. Treine os desenvolvedores em conceitos de segurança de aplicativos e codificação segura

Seus desenvolvedores precisam de treinamento para escrever código seguro. As sessões de treinamento são mais eficazes quando são adaptadas aos ambientes e responsabilidades específicos do grupo. O treinamento deve incluir práticas padrão de segurança de aplicativos e princípios gerais de segurança, e buscar aumentar a conscientização sobre segurança. O SANS Institute é um excelente recurso para aprender sobre segurança da informação e cibersegurança.

Investir na escrita de código seguro pode economizar dinheiro ao reduzir o esforço necessário para detecção e remediação de vulnerabilidades.

16.10. Aplique princípios de design seguro em arquiteturas de aplicação

Os princípios de design seguro incluem a diretriz de “nunca confiar na entrada do usuário”, que envolve validar todas as operações do usuário e a verificação explícita de erros.

O design seguro também envolve minimizar a superfície de ataque da infraestrutura da sua aplicação. Por exemplo, suas equipes podem remover programas desnecessários, renomear ou remover contas padrão e desativar serviços e portas desprotegidos.

16.11. Utilize módulos ou serviços validados para componentes de segurança de aplicativos

Módulos ou serviços aprovados para componentes de segurança de aplicativos estão disponíveis para Identity Management, criptografia, auditoria e registro. Utilizá-los pode reduzir erros de implementação e design e minimizar a carga de trabalho do desenvolvedor.

Por exemplo, o uso de sistemas operacionais modernos ajuda a garantir a identificação, autenticação e autorização eficazes de aplicações, bem como a criação de registros de auditoria seguros. Utilizar apenas algoritmos de criptografia padrão que foram amplamente revisados reduz o risco de falhas que podem comprometer seus sistemas.

16.12. Implemente verificações de segurança no nível do código

Utilize ferramentas de análise estática e dinâmica para ajudar a garantir que seus desenvolvedores sigam práticas de codificação seguras, testando erros. Pesquise as ferramentas disponíveis para encontrar aquelas que funcionarão eficazmente para o seu código.

16.13. Realize testes de penetração em aplicações

Os testes de penetração podem ajudá-lo a descobrir vulnerabilidades em suas aplicações que podem ser perdidas durante revisões de código e varreduras automáticas de código. O objetivo dos testes neste componente no CIS CSC 16 é identificar fraquezas, incluindo lacunas de segurança na internet, e avaliar a resiliência da cibersegurança do ambiente da sua aplicação e os mecanismos de defesa.

Tenha em mente que a eficácia do teste de penetração depende das habilidades do testador.

16.14. Realizar modelagem de ameaças

Em modelagem de ameaças, desenvolvedores especialmente treinados avaliam o design de uma aplicação com foco nos riscos de segurança em cada nível de acesso ou ponto de entrada, antes do início da codificação. Mapear suas aplicações, arquiteturas e infraestruturas de maneira estruturada ajuda você a entender melhor as fraquezas para que possa aprimorar suas defesas cibernéticas e proteger seus dados contra acesso não autorizado, roubo ou destruição.