O que os CISOs sabem sobre as aplicações e interfaces de programação de seus organizacionais

• Se as equipes estão encontrando vulnerabilidades
• Se elas estão corrigindo vulnerabilidades

Mas isso não é quase o suficiente de dados. Mas a maioria dos ferramentas carece de visibilidade na camada de aplicativos, criando um enorme canto cego. Pior ainda, os atores mal-intencionados são perfeitamente conscientes desse canto cego e estão explorando-o para evadir as defesas.

Os CISOs podem se surpreender ao descobrir que a camada de aplicativos — uma fonte notável de risco — é mal defendida por controles tradicionais de segurança e medidas contramensais. A detecção e resposta em aplicações (ADR) é uma abordagem para proteger as aplicações em produção.

Nota: “CISOs” é a abreviação de “Chief Information Security Officers”, que são os responsáveis pela segurança da informação nas organizações.

Vulnerabilidades ocultas

A camada de aplicativos, composta por aplicações de servidores e interfaces de programação de aplicações (APIs), é crítica para a segurança mas mal defendida. Isso levou a incidentes cibernéticos altamente públicos que originaram com ataques na camada de aplicativos. Por exemplo, em 2021, atores ameaçadores alvejaram a Kaseya — um provedor de soluções de TI — usando técnicas de bypass de autenticação e injecção SQL na camada de aplicativos para alvejar os clientes da Kaseya.

Esses ataques são particularmente perigosos porque a camada de aplicativos efetivamente dirige o negócio, lidando com praticamente todos os dados da empresa, incluindo dados sensíveis como informações pessoais identificáveis (PII) e informações de saúde pessoal (PHI). Ela é tipicamente conectada a bancos de dados e outras aplicações, às vezes aquelas que operam fora da organização. Em resumo, a camada de aplicativos é um alvo tentador.

No entanto, a camada de aplicativos tende a ser difícil ou impossível de monitorar efetivamente para ameaças. O centro de operações de segurança (SOC) pode monitorar praticamente todos os outros aspectos do ambiente de TI.

A falta de visibilidade implica muitos riscos, incluindo a habilidade dos atores mal-intencionados em permanecerem não detectados na camada de aplicativos, persistindo até escaparem para mover-se lateralmente no ambiente. As proteções perimetrais como firewalls de aplicações web (WAFs) podem ser úteis nesse cenário, mas elas geralmente carecem da compreensão contextual para detectar sutilezas que revelam uma ameaça escondida. As soluções de detecção e resposta estendidas (XDR) também carecem de visibilidade nas aplicações em produção e APIs. O resultado final: A camada de aplicativos se torna um verdadeiro caixão negro — mascarando ameaças onde você precisa vê-las.

ADR Mitiga o Risco da Camada de Aplicativos

A ADR fornece as detecções e respostas necessárias na camada de aplicativos. Uma solução de ADR usa agentes dentro das aplicações para monitorar continuamente o comportamento de segurança relevante enquanto o código está em execução. Ela detecta comportamentos anômalos ao longo da pilha de aplicações.

A ADR pode assim detectar vulnerabilidades no código fonte aberto e personalizado que manifestam apenas durante a execução do programa. Sua abordagem “de dentro para fora” permite à ADR identificar evidências de ataques zero-day que as soluções XDR e WAFs não detectariam na camada de aplicativos. A solução de ADR pode então transmitir dados de ameaças ao SOC por meio de uma plataforma de orquestração, automação e resposta de segurança (SOAR) ou outra plataforma.

Uma plataforma de ADR também pode fornecer dados de vulnerabilidade e ataque às plataformas de gerenciamento de informações de segurança e eventos (SIEM), XDR e proteção de aplicativos nativa para a nuvem (CNAPP), então as equipes do SOC podem melhorar a visibilidade sem mudar ferramentas de segurança várias vezes por dia.

Três Razões Pelas Quais os CISOs Precisam de uma Solução ADR

Em resumo, aqui estão três razões pelas quais os CISOs precisam da ADR:

1 – Reduzir o Exposição e Impactos Globais dos Ataques

Melhorar a detecção e resposta de ameaças na camada de aplicativos pode reduzir a exposição cibernética global da sua organização. ADR habilita uma mitigação mais eficaz de ameaças significativas, como dias zero e ataques persistentes avançados (APTs) que se escondem na camada de aplicativos. Além disso, tornando mais difícil para os atacantes persistirem na camada de aplicativos, você pode reduzir a superfície de ataque e diminuir o impacto empresarial dos incidentes de segurança cibernética.

2 – Reduzir o tempo de risco

Quanto mais tempo um atacante permanece não detectado, maior é o potencial para rompimentos de dados e outras interrupções. Com ADR, você pode capturar os ataques enquanto eles se escondem na camada de aplicativos. Você também pode detectar vulnerabilidades no código — tanto conhecidas quanto desconhecidas — e remediá-las antes que elas sejam exploradas. Portanto, o tempo em que você está exposto ao risco é reduzido, melhorando sua postura de segurança no processo.

3 – Aumentar a Velocidade da Resposta Enquanto Reduzir o Tempo de Resolução

Ao identificar ameaças cedo na camada de aplicativos, as soluções de ADR podem acelerar a resposta a incidentes. Os analistas do SOC podem receber dados enriquecidos sobre as ameaças e responderem adequadamente. Os dados de ADR podem alimentar plataformas SOAR e informar roteiros automáticos de resposta a incidentes, também. A solução pode bloquear automaticamente ataques na camada de aplicativos e prevenir que o ataque se espalhe ou cause mais danos. O tempo médio para resolução (MTTR) também deve diminuir.

Conclusão

Apesar da sua criticidade para a segurança e as operações comerciais, a camada de aplicativos está surpreendentemente vulnerável. A visibilidade sobre o que está acontecendo lá é bem limitada. A ADR oferece uma maneira adiante. Ela fornece monitoramento contínuo do código em produção, flagrando anormalidades e outros indicadores de ameaças antes que os ataques possam sair e se espalhar lateralmente. Isso traduz-se em redução da exposição global ao risco cibernético, tempo de risco reduzido e velocidade aumentada da resposta. A ADR ajuda os CISO a fechar uma lacuna importante na segurança e limitar o potencial impacto dos ataques na camada de aplicativos.

Fonte: https://www.darkreading.com/application-security/why-cisos-need-application-detection-and-response
Autor: David Lindner
Tradução: Llama3