Posts

,

5 Ferramentas a Favor da Segurança de TI da Sua Empresa

5 Ferramentas a Favor da Segurança de TI da Sua Empresa

 

*guest post da Gestão Click

 

A segurança empresarial é, desde sempre, um dos fatores primordiais da gestão. Ela assegura que informações sensíveis estejam devidamente disponibilizadas, que sejam confiáveis e que permaneçam restritas ao âmbito da organização, das áreas ou até de algumas pessoas específicas, que.

Apesar de ser um aspecto de longa data, nos últimos anos se tornou um fator altamente crítico graças ao ganho de importância da internet e dos meios digitais nas empresas. Isso representou uma verdadeira revolução, que independe do segmento e do porte do negócio.

Diante disso, é essencial encontrar caminhos que viabilizem um nível de proteção aprimorado, condizente com as exigências e desafios da atualidade. Vejamos 5 ferramentas que representam importantes recursos para quem deseja blindar sua organização contra as ameaças à segurança empresarial.

 

O Bom e Velho Antivírus

O antivírus é o recurso de segurança da informação mais conhecido e presente no mercado há mais tempo. Uma ampla gama de opções encontra-se disponível no mercado, oferecendo soluções para negócios de todos os perfis. Apesar disso, muitas organizações e profissionais negligenciam seu uso.

Não basta instalar qualquer antivírus em seus equipamentos e torcer para funcionar. É preciso encontrar uma opção condizente os o nível de riscos dos seus dados, levando em consideração a exposição a ameaças, o nível de criticidade das informações e a infraestrutura que deve ser protegida.

 

Backup: Resguarde seus Dados Contra Perdas

Outra solução de extrema importância, que mescla o uso de tecnologias específicas com estratégias operacionais, se refere à realização de backups. Trata-se da prática de criar cópias de segurança das suas informações, gerando redundâncias e arquivos históricos para o caso de um fato indesejado levar à perda de dados.

Trata-se de uma prática consolidada no mercado que muitos negócios, especialmente de pequeno porte, deixam de lado. Existem diversas ferramentas que apoiam o processo, sendo relativamente barato desenvolvê-lo.

 

O ERP e a Gestão Integrada dos Dados

Um ERP, basicamente, cria uma interface virtual da sua empresa, agregando dados de diversos processos de negócio de forma a disponibilizar e tratar informações de forma a elevar a produtividade empresarial.

No entanto, um fator que nem todos consideram a respeito do recurso é a capacidade que ele possui para resguardar as informações que armazena. Os itens salvos em seu diretório ficam resguardados por uma barreira adicional, controlada por meio dos mais severos critérios de segurança da informação.

Dados referentes a controle financeiro, controle de estoque e cadastros de clientes são exemplos de informações altamente críticas, tratadas nesse Software de Gestão Empresarial Online, e consequentemente guardadas de forma consistente e confiável.

 

Firewall: Controle o Tráfego da Rede

O Firewall é uma das ferramentas mais utilizadas na proteção de dados empresariais. Seu grande objetivo é funcionar como uma barreira de proteção entre uma determinada rede e conteúdo malicioso que possa, eventualmente, prejudicar os bancos de dados empresariais.

Assim, quando consideramos computadores e servidores utilizados no negócio, o firewall cria um processo dinâmico de monitoramento e controle do fluxo de dados e acessos, mantendo um alto nível de segurança sem prejudicar os processos e sistemas organizacionais.

 

Capacitação: O Fator Humano na Proteção Empresarial

Por fim, a última estratégia de proteção empresarial que queremos destacar é a mais efetiva e talvez a mais óbvia. Preparar sua equipe para desenvolver ações conscientes no sentido de resguardar as informações do negócio é um aspecto básico e precisa ser levado em conta para que o uso dos recursos seja efetivo.

Não adianta criar potencial tecnológico para se proteger e não conceder às pessoas o conhecimento, a conduta e a habilidade ideal frente às possíveis ameaças. Desenvolver uma cultura adequada precisa ser o primeiro passo, uma vez que representa algo que independe das ferramentas utilizadas.

A forma de agir e pensar da sua equipe são os pontos centrais da iniciativa. Qualquer outro fator é um apoiador no processo e, apesar da grande importância que desempenhe, não realizará nada de forma adequada sem as ações corretas por parte dos indivíduos envolvidos.

 

,

21 Dicas de Segurança pra Proteger seu site WordPress

É muito comum ver os proprietários de sites WordPress irritados com questões de segurança.

A opinião mais comum é que um software de código aberto (open source) é vulnerável a todos os tipos de ataques. Mas isso não é verdade – normalmente é o contrário. Ou, ok, digamos que é parcialmente verdade, mas mesmo assim você não deve culpar o WordPress.

Por quê? Porque costuma ser sua culpa que seu site tenha sido hackeado. Existem algumas responsabilidades que você precisa ter como proprietário de um site. Então, a questão-chave é sempre: o que você está fazendo para garantir a segurança do seu site?

Vamos ver abaixo alguns truques simples que podem ajudá-lo a proteger seu site WordPress:

protecao wordpress

Parte (a): Proteja a página de login e evite ataques de força bruta

Todos conhecem a URL padrão da página de login do WordPress. O backend do site é acessado a partir daí, e essa é a razão pela qual as pessoas tentam entrar na força bruta. Basta adicionar /wp-login.php ou /wp-admin/ no final do seu nome de domínio e pronto, o hacker já sabe a URL que deve atacar.

O que recomendamos é personalizar o URL da página de login. Essa é a primeira coisa a ser feita para começar a proteger seu site.

Abaixo estão mais algumas sugestões para proteger sua página de login:

 

1. Configurar bloqueio do site e proibir os usuários

Um recurso de bloqueio limitando o número de tentativas de login pode resolver um enorme problema, pois não dará mais pra ficar usando força-bruta, testando milhares de senhas. Sempre que alguém tentar hackear com senhas erradas e de forma repetitiva, o site ficará bloqueado e você será notificado dessa atividade não autorizada.

O plugin iThemes Security é um dos melhores plugins desse tipo, e já o uso há muito tempo. Esse plugin tem muito a oferecer a esse respeito. Você pode especificar um certo número de tentativas de login, após as quais o plugin proíbe acessos do endereço IP do invasor.

 (Alternativamente, você também pode usar o plugin Login LockDown que foi criado para ajudá-lo especificamente com esse problema.)

2. Use a autenticação de dois fatores

Apresentar a autenticação de 2 fatores (2FA) na página de login é outra boa medida de segurança. Nesse caso, o usuário fornece detalhes de login para dois componentes diferentes. O proprietário do site decide o que esses são esses dois fatores. Pode ser uma senha regular seguida de uma pergunta secreta, um código secreto, um conjunto de caracteres, etc.

Há pessoas que preferem usar um código secreto ao implantar o 2FA em seus sites. O plugin do Google Authenticator pode ajudar com isso em apenas alguns cliques.

3. Use o email como login

Por padrão, você deve inserir seu nome de usuário para fazer login. Usar uma ID de email em vez de um nome de usuário é uma abordagem mais segura. Os motivos são bastante óbvios. Os nomes de usuário são fáceis de prever, enquanto as IDs de e-mail não são. Além disso, qualquer conta de usuário do WordPress sempre é criada com um endereço de e-mail exclusivo, tornando-se um identificador válido para iniciar sessão.

O plug-in de Login por Email do WP funciona muito bem para isso. Ele começa a funcionar logo após a ativação e não requer nenhuma configuração.

Para testá-lo, basta sair do seu site e, em seguida, fazer login novamente, mas desta vez use o endereço de e-mail com o qual você criou a conta.

4. Renomeie seu URL de login

Alterar a URL de login é algo muito fácil de ser feito. Por padrão, a página de login do WordPress pode ser acessada facilmente em wp-login.php ou wp-admin, adicionado à URL principal do site. Exemplo: http://seublog.com/wp-admin

Quando os hackers conhecem a URL da sua página de login, eles podem tentar entrar na força bruta. Tentam fazer login com o GWDb (Guess Work Database, ou seja, um banco de dados de nomes de usuário e senhas, por exemplo, nome de usuário: admin e senha: p@ssword … com milhões de tais combinações).

Então, até este momento – se você acompanhou – já restringimos as tentativas de login do usuário e trocamos os nomes de usuário por IDs de e-mail. Agora podemos substituir o URL de login e eliminar 99% dos ataques diretos de força bruta.

Este pequeno truque restringe a entrada de alguém mal intencionado na página de login. Somente alguém com a URL exato pode fazer isso. Mais uma vez, o plugin iThemes Security pode ajudá-lo a alterar seus URLs de login. Algo como:

  • Altere wp-login.php para algo único; por exemplo my_new_login
  • Alterar /wp-admin/ para algo único; por exemplo my_new_admin
  • Mude /wp-login.php?action=register para algo único, ex: my_new_registration

5. Ajuste suas senhas

Trabalhe com as senhas do site e mude-as regularmente. Melhore sua força adicionando letras maiúsculas e minúsculas, números e caracteres especiais. Esse Gerador de Senha, por exemplo, pode te ajudar nessa tarefa.

ajuste de senha

Parte (b): proteja seu painel de administração

Para um hacker, a parte mais desejada de um site é o Painel do Administrador, que é de fato a seção mais protegida de todos. Então, atacar a parte mais forte é o verdadeiro desafio e, se cumprido, dá ao hacker uma vitória moral e o acesso para causar um dano enorme.

Veja o que você pode fazer para se proteger:

6. Proteja o diretório wp-admin

O diretório wp-admin é o coração de qualquer site do WordPress. Portanto, se esta parte do seu site for violada, todo o site pode ficar danificado.

Uma maneira de evitar isso é proteger com senha o diretório wp-admin . Com essa medida de segurança, o proprietário do site pode acessar o painel exibindo duas senhas. Um protege a página de login e a outra a área de administração do WordPress. Se os usuários do site forem obrigados a acessar algumas partes específicas do wp-admin , você pode desbloquear essas partes enquanto bloqueia o resto.

Você pode usar o plugin AskApache Password Protect para proteger a área de administração. Ele gera automaticamente um arquivo .htpasswd , criptografa a senha e configura as permissões de segurança do arquivo.

7. Use SSL para criptografar dados

A implementação de um certificado SSL (Secure Socket Layer) é uma jogada inteligente para proteger o painel de administração. O SSL garante a transferência segura de dados entre os navegadores dos usuários e o servidor, dificultando a invasão de hackers ou a falsificação de suas informações.

Obter um certificado SSL para o seu site WordPress não é um problema. Você pode comprar um de algumas empresas dedicadas, ou mesmo utilizar um Certificado SSL Gratuito .

O certificado SSL também afeta o ranking do seu site no Google. O Google classifica sites com SSL superiores aos que não possuem. Isso significa mais tráfego. Quem não quer isso?

8. Adicione contas de usuários com cuidado

Se você tiver um blog do WordPress com vários autores, então você precisa lidar com várias pessoas que acessam seu painel de administração. Isso pode tornar seu site mais vulnerável a ameaças de segurança.

Você pode usar um plugin que force seus usuários a usarem senhas fortes, assim você garante que as senhas que utilizam sejam seguras. Esta é apenas uma medida de precaução.

9. Altere o nome de usuário do administrador

Durante a instalação do WordPress, você nunca deve escolher “admin” como o nome de usuário da sua conta de administrador principal. Esse nome de usuário é fácil de adivinhar e acessível para hackers. Metade do trabalho dos hackers já estará feita, só vão precisar descobrir a senha, pois já sabem o ID do administrador.

Novamente, o plugin de iThemes Security pode interromper tentativas de Login do usuário Admin, de forma inteligente, proibindo imediatamente qualquer endereço IP que tente fazer login com esse nome de usuário.

 

10. Monitore seus arquivos

Se você quiser alguma segurança extra adicionada, você pode monitorar as alterações nos arquivos do site através de plugins como Wordfence ou, novamente, iThemes Security.

Parte (c): Proteja o banco de dados

Todos os dados e informações do seu site são armazenados no banco de dados. Cuidar disso é crucial. Aqui estão algumas coisas que você pode fazer para torná-lo mais seguro:

11. Altere o prefixo da tabela de banco de dados do WordPress

Se você já instalou o WordPress, você está familiarizado com o prefixo wp- table que é usado pelo banco de dados. É recomendado que você mude isso para algo único.

O uso do prefixo padrão torna o banco de dados do site propenso a ataques de injeção SQL. Esse ataque pode ser evitado mudando wp- para algum outro termo, por exemplo, você pode usar mywp- , wpnew- , etc.

Se você já instalou seu site do WordPress com o prefixo padrão, então você pode usar alguns plugins para alterá-lo. Plugins como WP-DBManager ou iThemes Security podem ajudá-lo a fazer o trabalho com apenas um clique de um botão. (Certifique-se de fazer uma cópia de segurança do seu site antes de fazer qualquer coisa no banco de dados).

12. Faça backup de seu site regularmente

Não importa o quão seguro o seu site é, sempre há margem para melhorias. E no final das contas, manter um backup, longe de seu servidor original, talvez seja o melhor antídoto, não importa o que aconteça.

Se você tem um backup, você sempre pode restaurar seu site WordPress para um estado de trabalho sempre que desejar. Existem alguns plugins que podem ajudá-lo a esse respeito. Por exemplo, existem todos estes.

protecao para wordpress

Se você está procurando uma solução premium, então eu recomendo o VaultPress pela Automattic, o que é excelente. Eu tenho configurado para criar backups a cada 30 minutos. E se alguma coisa ruim acontecer, eu posso facilmente restaurar o site com apenas um clique. Além disso, ele também verifica meu site em busca de malware, e me avisa se alguma coisa está acontecendo.

Outra opção é utilizar o site DropMySte. Ele faz backups diário dos seus arquivos e do seu banco de dados, e é super fácil restaurar caso tenha problemas.

13. Defina senhas fortes para o seu banco de dados

Uma senha forte para o usuário principal do banco de dados é uma obrigação!.

Como sempre, use letras maiúsculas, minúsculas, números e caracteres especiais para a senha. Recomendamos mais uma vez usar um gerador de senhas para isso

 

Parte (d): Proteja sua configuração de hospedagem

Quase todas as empresas de hospedagem afirmam fornecer um ambiente otimizado para o WordPress, mas ainda podemos dar um passo adiante:

14. WAF (Web Application Firewall)

Ao falarmos em proteção de Hospedagem, não há nada mais eficiente e completo que o novo conceito de Firewall para Web, mais conhecido como WAF – Web Application Firewall para WordPress.

O WAF para WordPress é um filtro de acesso ao ser servidor de hospedagem, que aplica um conjunto de regras, com o objetivo de proteger seu site de ataques comuns, tais como Cross-Site Scripting (XSS) e SQL Injection e DDoS. Isso tudo, antes mesmo do atacante sequer chegar ao seu servidor de hospedagem.

Esse tipo de serviço é muito recomendável e pode ser contratado individualmente, ou como parte integrante dos serviços disponibilizados por uma boa CDN (Veja o que é CDN).

WAF - Web Application Firewall

15. Proteja o arquivo wp-config.php

O arquivo wp-config.php contém informações cruciais sobre sua instalação do WordPress e, de fato, é o arquivo mais importante no diretório raiz do seu site. Protegê-lo significa proteger o núcleo do seu blog WordPress.

É difícil para hackers violar a segurança do seu site se o arquivo wp-config.php se tornar inacessível para eles.

A boa notícia é que fazer isso é realmente fácil. Basta pegar o seu arquivo wp-config.php e movê-lo para um nível superior ao seu diretório raiz.

Agora a questão é, se você armazená-lo em outro lugar, como o servidor irá acessá-lo? Na arquitetura atual do WordPress, mesmo que o arquivo de configuração seja armazenado um nível acima do diretório raiz, o WordPress ainda poderá vê-lo.

16. Proibir a edição de arquivos

Se um usuário tiver acesso de administrador ao seu painel do WordPress, ele pode editar quaisquer arquivos que façam parte da instalação. Isso inclui todos os plugins e temas.

No entanto, se você não permitir a edição de arquivos, mesmo que um hacker obtenha acesso de administrador ao seu painel do WordPress, eles ainda não poderão modificar nenhum arquivo.

Adicione o seguinte ao arquivo wp-config.php (no final):

define('DISALLOW_FILE_EDIT', true);

17. Conecte o servidor corretamente

Ao configurar seu site, conecte o servidor somente através de SFTP ou SSH. O SFTP é sempre preferido ao invés do FTP tradicional por causa de seus recursos de segurança que, claro, não são atribuídos ao FTP.

A conexão do servidor dessa maneira garante transferências seguras de todos os arquivos. Muitos provedores de hospedagem oferecem este serviço como parte de seu pacote. Caso contrário – você pode fazê-lo manualmente (procure no google por tutoriais, vai achar muita coisa).

 

18. Defina as permissões do diretório com cuidado

As permissões de diretório incorretas podem ser fatais, especialmente se você estiver trabalhando em um ambiente de hospedagem compartilhado.

Nesse caso, alterar arquivos e permissões de diretório é uma boa jogada para proteger o site no nível de hospedagem. Definir as permissões de diretório para “755” e os arquivos para “644” protegem todo o sistema de arquivos – diretórios, subdiretórios e arquivos individuais.

Isso pode ser feito manualmente através do Gerenciador de arquivos, dentro do seu painel de controle de hospedagem, ou através do terminal (conectado via SSH) – use o comando “chmod”.

Para mais informações, você pode ler sobre o esquema de permissão correto do WordPress ou instalar o plugin iThemes Security para verificar suas configurações de permissão atuais.

 

19. Desativar listagem de diretórios com .htaccess

Se você criar um novo diretório no seu site e não colocar um arquivo index.html dentro dele, você ficará surpreso ao descobrir que seus visitantes podem obter uma listagem completa do diretório e de tudo o que está lá dentro.

Por exemplo, se você criar um diretório chamado “dados”, você pode ver tudo nesse diretório simplesmente digitando http://www.seublog.com/dados/ no seu navegador. Nenhuma senha ou qualquer coisa é necessária.

Você pode evitar isso adicionando a seguinte linha de código no seu arquivo .htaccess :

Options All -Indexes

Parte (e): proteja seus temas e plugins do WordPress

Temas e plugins são ingredientes essenciais de qualquer website do WordPress. Infelizmente, eles também podem representar sérias ameaças à segurança. Vamos descobrir como podemos proteger os temas e plugins do WordPress da maneira correta:

20. Atualize regularmente

Todo bom produto de software é suportado por seus desenvolvedores e é atualizado frequentemente, o WordPress não foge à regra é atualizado com muita frequência. Essas atualizações destinam-se a corrigir erros e às vezes possuem patches de segurança muito importantes.

Não atualizar seus temas e plugins pode significar sérios problemas. Muitos hackers contam com o fato das pessoas não se preocuparem em atualizar seus plugins e temas. Na maioria das vezes, esses hackers exploram erros e falhas de segurança que já foram corrigidas nas versões atuais.

Então, se você estiver usando os produtos do WordPress, atualize-os regularmente plugins, temas, tudo.

21. Remova o número da versão do WordPress

Seu número de versão atual do WordPress pode ser encontrado com muita facilidade.

Isso é algo básico, se os hackers sabem qual versão do WordPress você usa, é mais fácil para elas criarem o ataque perfeito.

Quase todos os plugins de segurança que mencionamos acima podem ajudar você, ocultando o número de versão do seu WordPress.

,

Firewall Global na GoCache – proteção simples e eficiente para seus sites

Lançamento GoCache – Firewall Global

Novidade saindo do forno da nossa equipe de desenvolvimento! Clientes GoCache com múltiplos domínios em nossa plataforma contam com uma nova funcionalidade, o Firewall Global.

 

Qual é a diferença do Firewall Global?

 

Na GoCache todas as configurações são isoladas por domínio. O Firewall aplica as regras de whitelist/blacklist somente para o domínio onde foram configuradas.

Já o Firewall Global permite que as regras sejam aplicadas para os demais domínios presentes na conta.

Isso é extremamente útil para clientes com múltiplos domínios, como por exemplo é o caso das plataformas de e-commerce e agências digitais.

No dia a dia da operação deste tipo de cliente são comuns as tentativas de ataques. Muitas vezes sem saber qual site era o ofensor, havia a necessidade de criar uma regra de Firewall em cada domínio para mitigar esses acessos maliciosos na GoCache. Agora, com um único clique (ou chamada em nossa API), uma regra pode ser aplicada a todos os domínios de uma só vez.

 

Como funciona o Firewall Global?

 

No menu “Segurança” do seu painel de controle, acesse a aba “Firewall” e crie a regra desejada. Você verá que agora os botões exibidos na conclusão da regra são “Salvar para este domínio”, “Salvar para todos domínios”, além do botão “Cancelar”.

 

firewall global

A opção “Salvar para todos domínios” faz com que a regra seja automaticamente replicada para os demais domínios presentes na conta.

É possível identificar a regra global na lista de regras pois ela é assinalada como aplicável a todos os domínios:

firewall global regras

A regra global é exibida na lista de regras de firewall no mesmo formato para todos os domínios de uma mesma conta, no exemplo deste artigo a regra foi criada para o domínio gocache.com.br, veja o que aparece no painel do domínio gocache.net:

firewall global dominio extra

 

Com a implantação do Firewall Global as configurações de controle acesso ficam ainda mais fáceis e práticas para que administra múltiplos domínios na plataforma GoCache.

 

Safer, Faster, GoCache!

 

, ,

Como proteger seu site, loja virtual ou APP contra SQL Injection, XSS e Brute-Force usando WAF

Como proteger seu site ou loja virtual com WAF

 

Quem não está preocupado com a segurança da sua aplicação online? Quer saber como proteger seu site ou loja virtual com WAF? Vamos demonstrar neste artigo.

A configuração da segurança na camada de aplicação é crucial. Falhas podem levar a enormes prejuízos, financeiros e de reputação da sua marca.

Se você pensa que este é um problema exclusivamente das grandes empresas, ledo engano. Mais de 60% dos ataques têm como alvo as empresas de pequeno e médio porte. E a má notícia é que, caso um ataque destes seja bem sucedido, mais de 60% destas empresas irá fechar por não ter recursos suficientes para se recuperar.

Para um blog, perda ou deformação de conteúdo. Uma loja virtual pode sofrer roubo de dados, ou até mesmo fraudes em suas transações comerciais. Um aplicativo móvel pode ter suas chamadas de API clonadas e sofrer todos estes sintomas. A área administrativa de qualquer destas aplicações pode ser indevidamente acessada e o estrago pode ser irreparável.

Quem quer correr estes riscos?

Mas a pergunta que importa mesmo é, como saber se o seu site/loja/app está vulnerável? Ou se está na “mira” de algum usuário mal-intencionado?

Um case de uso do WAF

Resolvemos abrir um case para vocês, o do nosso próprio site – www.gocache.com.br

Em nosso site utilizamos o WordPress em sua última versão, com todos plugins atualizados e hospedado em servidor virtual.

Pouco antes de lançarmos nossa solução de WAF, partimos para o teste final, nada mais justo que testar a ferramenta em nosso site de produção.

A situação inicial

Ativamos o Web Application Firewall com alto critério de filtragem e em modo simulação, para que apenas fossem gerados logs, já que não queríamos arriscar um falso positivo.

Eis o resultado:

waf dia1

Tivemos apenas uma tentativa de acesso suspeita. Eis os detalhes do incidente:

log waf dia1

Pelas características do incidente deduzimos tratar-se de um robô, provavelmente sondando vulnerabilidades.

No segundo dia com a ferramenta ativa, percebemos que este tipo de acesso não era raro:

waf dia2

Foram 25 acessos que a ferramenta identificou como suspeitos.

Ao checar os detalhes destes eventos, identificamos o seguinte:
log1 waf dia2
log2 waf dia2

 

Além do acesso de um robô semelhante ao do primeiro dia, também houve tentativas de quebra de senha (brute-force) na área administrativa.

 

O tamanho do problema

Com o tempo o volume de acessos suspeitos foi aumentando consideravelmente. Ainda estávamos utilizando o modo de simulação da ferramenta para termos certeza de que não ocorreriam falsos positivos, ou que caso ocorressem poderíamos identificar e criar uma regra de filtragem que evitasse o falso positivo quando habilitássemos o modo de bloqueio.

Seguimos com o plano inicial, de gerar logs durante uma semana antes de ativar o bloqueio. Veja a que ponto chegamos:


waf dia4

waf dia4 pag2

log waf dia3

 

Sim, 14 páginas de log para o dia 13, apenas uma semana após o início do uso da ferramenta. Mais de 400 tentativas de ataque ao nosso site em apenas um dia.

 

A Solução

A esta altura já tinhamos dados suficientes para configurar uma regra de filtragem específica e então modificar o modo de funcionamento do WAF para “bloquear” ao invés de “simular”:

regra waf login

 

Note que para esta regra específica colocamos o WAF em modo “desafiar” ao invés de “bloquear”.  Isso porque para o tipo de ataque que identificamos, feito via robô, o desafio é uma medida um pouco menos drástica e quase tão eficiente quanto o bloqueio. O resultado desta regra é a exibição desta tela antes de apresentar os campos para autenticação na área administrativa do WordPress:

tela desafio waf

 

Com isso ficamos tranquilos para ativar o bloqueio completo dos acessos suspeitos.

 

Os Benefícios

O resultado, além da segurança da aplicação, é a economia de recursos computacionais e de rede, uma vez que os acessos bloqueados no WAF ficam na borda e não consomem a banda na infraestrutura de hospedagem.

Ou seja, além de proteção você também economiza.

Acreditamos que o uso de WAF não é mais uma opção, mas sim uma necessidade, e quem deixar para depois pode não ter tempo para se arrepender. É melhor prevenir do que remediar!

 

Melhores práticas de segurança em aplicações web

Melhores Práticas de Segurança em Aplicações Web

 

Se você está lendo este artigo, provavelmente está bem ciente da importância da segurança em aplicações web. É possível que você já tenha colocado em prática algumas medidas mencionadas aqui. Mas, como muitos proprietários de websites, apps e lojas virtuais, provavelmente não fez o suficiente para cobrir todas as áreas necessárias.

 

Se o seu site já foi afetado por algum tipo de ataque DDoS, ou se você leu a respeito do grande ataque que a empresa Dyn sofreu no final de 2016 derrubando milhares de sites relevantes, então você sabe que esta é uma grande preocupação. Como mostrado no gráfico abaixo, o número de ataques DDoS têm crescido consistentemente ao longo dos últimos anos e a tendência é que isso continue piorando.

 

ddos evolutionfonte

 

Quer saber o tamanho do problema? Tem um site que monitora os DDoS em tempo real:

http://www.digitalattackmap.com/

 

Ataques DDoS ocorrem na camada de rede, são por natureza volumétricos (em sua maioria) e dependem do seu provedor de hospedagem, datacenter ou CDN para serem apropriadamente mitigados. Normalmente, quando ocorrem, os provedores de infraestrutura tomam as providências necessárias para restabelecer o serviço.

Subindo alguns níveis no modelo OSI, voltemos à camada de aplicação. Embora não haja maneira de garantir 100% de segurança, pois é impossível prever tudo, existem medidas que podem ser utilizadas para reduzir as chances de ocorrência de problemas de segurança em aplicativos web. Quanto mais destas medidas forem tomadas simultâneamente, mais protegida estará sua aplicação.

 

 

Criar um plano de segurança para aplicações web

 

O primeiro passo para assegurar-se que você está utilizando as melhores práticas de segurança para aplicações web é ter um plano traçado. Com frequência as empresas adotam uma abordagem desorganizada para esta situação e acabam realizando muito pouco. Sente-se com sua equipe de segurança de TI para desenvolver um plano de segurança detalhado e acionável. É importante que este plano esteja alinhado com os objetivos da sua organização.

 

Por exemplo, talvez você queira melhorar seu compliance, ou talvez você precise proteger sua marca. É necessário priorizar quais aplicativos devem ser protegidos primeiro e como eles serão testados. Você pode optar por fazê-lo manualmente, através de uma solução em nuvem, através de software específico, de um provedor de serviços gerenciados ou por outros meios.

 

Embora o plano de segurança e a lista de verificação de cada empresa sejam diferentes e dependam da arquitetura de sua infraestrutura, é importante que você defina especificamente quais os requisitos de segurança a serem atendidos e os critérios para avaliação. A OWASP (Open Web Application Security Project), grupo especializado em segurança online, criou um checklist bem detalhado que você pode utilizar como base para a sua avaliação – link.

 

Além disso, se sua organização é grande o suficiente, seu plano deve relacionar os indivíduos dentro da organização que serão responsáveis pela manutenção contínua dessas melhores práticas. Finalmente, não se esqueça de levar em conta os custos em que sua organização incorrererá ao engajar essas atividades, pois este pode ser um fator decisivo na hora de priorizar.

 

Realizar um inventário das suas aplicações web

 

É provável que você não tenha uma ideia muito clara sobre quais aplicativos web sua empresa utiliza. Na verdade, a maioria das organizações tem muitos aplicativos “rogue” rodando sem saber, até que algo dê errado. Você não pode esperar manter uma boa política de segurança em aplicações web sem mapear detalhadamente quais aplicativos sua empresa utiliza.

 

Quantos são? Onde estão localizados? Executar esse inventário pode ser uma tarefa trabalhosa e é provável que leve algum tempo até sua conclusão. Ao fazê-lo, anote a finalidade de cada aplicação. Quanto maior a organização, maiores as chances de encontrar aplicações redundantes ou até mesmo inúteis. O inventário virá a calhar para as próximas sugestões, por isso invista o tempo necessário e certifique-se de obter os detalhes de cada aplicação utilizada.

 

Priorize suas aplicações web

 

Depois de concluir o inventário de seus aplicativos web, classificá-los em ordem de prioridade é o próximo passo lógico. Sem priorizar quais aplicativos focar primeiro, você terá dificuldade em fazer qualquer progresso significativo.

 

Classifique as aplicações em três categorias:

 

  • Crítico
  • Importante
  • Normal

 

As aplicações críticas são principalmente aquelas que podem ser acessadas externamente e contém informações de clientes. Estas são as aplicações que devem ser geridas em primeiro lugar, pois são as mais suscetíveis como alvos a serem exploradas por hackers. As aplicações importantes podem ser de uso interno ou externo e podem conter algumas informações confidenciais. Aplicações normais têm muito menos exposição, mas devem ser incluídas em testes por precaução, mesmo que em um segundo momento.

 

Categorizando suas aplicações assim você pode focar testes extensivos nas aplicações críticas e usar testes menos complexos (e caros) nas demais. Isso permite que você faça o uso mais eficaz dos recursos da empresa ao mesmo tempo em que pode alcançar resultados significativos com maior velocidade.

 

Priorizar Vulnerabilidades

 

Conforme você avalia sua lista de aplicativos web antes de testá-los, é necessário decidir quais vulnerabilidades valem a pena eliminar e quais não são tão preocupantes. A maioria das aplicações web tem muitas vulnerabilidades. Por exemplo, dê uma olhada no relatório abaixo, que avaliou e categorizou 9000 sites infectados:

 

hacked appsfonte

 

Eliminar todas as vulnerabilidades de todas as aplicações web não só não é possível como nem mesmo vale o seu tempo.

 

Mesmo depois de categorizar suas aplicações de acordo com a importância, será necessário um investimento considerável de recursos para analisá-las. Limitando os testes apenas às vulnerabilidades mais ameaçadoras, você economizará muito tempo e fará o trabalho muito mais rápido. Quanto à determinação das vulnerabilidades a serem focadas, isso realmente depende das aplicações que você está usando. Existem algumas medidas de segurança padrão que devem ser implementadas (discutidas mais adiante), porém vulnerabilidades específicas de aplicativos precisam ser pesquisadas e analisadas.

 

Mantenha em mente também que, à medida que o teste evolui, você pode perceber que ignorou certas questões importantes. Não tenha medo de interromper os testes para redefinir prioridades ou focar em vulnerabilidades adicionais. Lembre-se que no futuro este trabalho será muito mais fácil, pois será iterativo, o esforço inicial é o mais trabalhoso.

 

Executar aplicativos usando o mínimo de privilégios

 

Mesmo depois que todas as suas aplicações web forem avaliadas, testadas e sanitizadas contra as vulnerabilidades mais problemáticas, você não está a salvo. Cada aplicativo web possui privilégios específicos em computadores locais e remotos. Esses privilégios podem, e devem, ser ajustados para aumentar a segurança. Sempre use as configurações menos permissivas para todas as aplicações web. Isso significa que as aplicações devem ser “amarradas”. Somente pessoas com autorizações de alto nível devem poder fazer alterações no nível de sistema.

Este é um fator a ser considerado em suas avaliações iniciais, caso contrário você terá que repassar toda a lista ajustando as permissões de acordo. Para a vasta maioria das aplicações apenas os administradores de sistemas necessitam de acesso completo. A maioria dos outros usuários pode realizar o necessário com configurações minimamente permissivas. No caso improvável em que privilégios são ajustados incorretamente para um aplicativo e certos usuários não podem acessar os recursos de que precisam, o problema pode ser tratado pontualmente. É muito melhor ser demasiado restritivo nesta situação do que ser demasiado permissivo.

 

Proteja-se mesmo durante o processo de avaliação

 

Mesmo uma empresa pequena e simples pode levar semanas – ou até meses – para listar seus aplicativos web e fazer as alterações necessárias. Durante esse período o negócio pode estar vulnerável a ataques, portanto é crucial utilizar as ferramentas adequadas para evitar maiores problemas. Para isso existem algumas opções:

 

  • Remover funcionalidades de determinados aplicativos: se a funcionalidade torna o aplicativo mais vulnerável a ataques pode valer a pena restringir o seu uso.
  • Use um WAF (Web Application Firewall) para proteção contra as vulnerabilidades mais preocupantes.

como funciona wafO firewall de aplicação web filtra e obstrui tráfego HTTP indesejável e ajuda a blindar contra XSS, SQL injection e muito mais.

 

Durante todo o processo as aplicações web existentes devem ser monitoradas continuamente, para assegurar que não estão sendo violadas por terceiros. Se sua empresa, ou site, sofre um ataque durante este período, identifique o ponto fraco e faça a correção antes de continuar com o processo de checagem e sanitização. Você deve adquirir o hábito de documentar cuidadosamente as vulnerabilidades e como elas devem ser tratadas, para que as ocorrências futuras possam ser solucionadas de forma mais rápida e eficaz.

 

Use cookies de forma segura

 

Outra área que muitas organizações não aborda cuidadosamente é o uso de cookies. Os cookies são incrivelmente convenientes, tanto para empresas quanto para usuários. Eles permitem que os usuários sejam lembrados pelos sites que visitam, para que visitas futuras sejam mais rápidas e, em muitos casos, mais personalizadas. No entanto, cookies também podem ser manipulados por hackers para obter acesso a áreas protegidas. Apesar de não ser necessário interromper completamente o uso de cookies – o que seria um grande retrocesso em muitos aspectos – é necessário fazer ajustes a fim de minimizar o risco de ataques.

 

  1. Nunca use cookies para armazenar informações altamente sensíveis ou críticas, por exemplo não use cookies para lembrar as senhas dos usuários, pois isso facilita muito aos hackers a obtenção de acesso não autorizado.
  2. Você também deve ser conservador ao definir o prazo de expiração para os cookies. Claro, é bom saber que um cookie permanecerá válido para um usuário por meses, mas a realidade é que cada cookie representa um risco de segurança e quanto mais tempo durar, maior o tempo de exposição ao risco.
  3. Finalmente, considere criptografar as informações armazenadas nos cookies que você usa, isto já vai dificultar muito o uso de forma maliciosa.

 

Implementar as seguintes sugestões de segurança web

 

Além do que já mencionamos, existem algumas outras sugestões de segurança de aplicações mais “imediatas” que você pode implementar:

 

  • Utilize HTTPS e redirecione todo o tráfego HTTP para HTTPS;
  • Evite ataques de cross-site-script (XSS) usando o cabeçalho de segurança x-xss-security;
  • Implemente uma política de segurança de conteúdo;
  • Nunca é demais lembrar, use senhas fortes que empregam uma combinação de letras minúsculas e maiúsculas, números e símbolos especiais, etc.

 

Conduzir Treinamentos para Conscientização de Segurança em Aplicações Web

 

Em uma empresa, são grandes as chances de que apenas um punhado de pessoas compreenda a importância da segurança em aplicações web. A maioria dos usuários tem apenas a compreensão mais básica do problema e isso pode torná-los descuidados. Usuários sem instrução não conseguem identificar apropriadamente os possíveis riscos de segurança. Em essência, educar a todos sobre segurança em aplicações web é uma ótima maneira de envolver a organização no ato de encontrar e eliminar vulnerabilidades. Com isso em mente, considere a possibilidade de trazer um especialista em segurança de aplicativos web para conduzir treinamentos de conscientização aos seus funcionários. Isso é muito importante para ajudar na implementação e manutenção das melhores práticas.

Manter as melhores práticas de segurança em aplicativos web é um esforço de equipe. Sua segurança como um todo é limitada ao elo mais fraco, seja sistema ou membro da equipe. Mantenha isso em mente e busque identificar constantemente o elo mais fraco a fim de fortalecê-lo.

As 3 camadas de segurança na GoCache CDN

WAF, SmartRules e Firewall – 3 camadas de proteção para o seu site

 
Na GoCache um é pouco, dois é bom e três é demais!

 

Além dos benefícios que o Firewall e o WAF proporcionam, você ainda conta com o auxilio das nossas exclusivas e extraordinárias SmartRules, as regras que permitem customização inigualável.

 

Defina áreas específicas de sua aplicação e em questão de segundos as SmartRules serão aplicadas. Nosso painel dá acesso em tempo real aos eventos de segurança de qualquer camada. É um conjunto de tecnologias que proporciona flexibilidade e robustez inéditos no mercado!

 

As camadas (por ordem de processamento/prioridade):

 

2. Firewall
3. WAF

 

Conhecendo um pouco mais sobre cada uma das camadas:

 

# 1 camada: SmartRules

 

Com as SmartRules, é possível criar regras customizadas para determinadas áreas da sua aplicação, essa é a camada com a maior prioridade. As regras criadas nessa camada se sobrepõe às das outras camadas. Ative e desative as regras de Firewall, crie novas regras, ou altere todas as políticas de segurança do WAF para determinadas áreas de sua aplicação através das SmartRules.

 

# 2 Camada: Firewall

 

Crie um conjunto de regras para bloquear acessos indesejados, ou permitir acessos bem-vindos em toda a sua aplicação utilizando os seguintes critérios:

– Endereço IP/Range
– Pais
– Continente
– User Agent
– Referer Host
– URI

 

# 3 Camada: WAF

 

O WAF – Web Application Firewall – é uma funcionalidade que ajuda a proteger toda a sua aplicação das vulnerabilidades mais comuns na Internet: padrões comuns de ataques, SQL Injections e Cross-site scripting (XSS). Configure o nível de segurança e o modo de bloqueio desejado e pronto, toda a sua aplicação estará protegida.

 

– Níveis: Alto, Médio e Baixo

– Modos:

  • Simular: Entenda melhor o seu tráfego sem que os bloqueios sejam aplicados, qualquer acesso considerado “suspeito” será exibido no log de eventos em tempo real.
  • Bloquear: Bloqueia efetivamente qualquer atividade incomum em toda a aplicação.
  • Desafiar: Aplica um desafio(reCAPTCHA do Google) assim que identifica algo incomum no seu tráfego. Você define o tempo válido para esse desafio e, caso queira expirar os desafios temporários, pode fazê-lo imediatamente com um simples clique em seu painel de controle.

 

 Segurança para sua aplicação web como você nunca viu antes!

 

Go Faster. GoCache!

SmartRules para WAF – Controle total da segurança nas suas mãos

O Carnaval está chegando, mas a GoCache não pára! Anunciamos o lançamento das SmartRules para WAF! Esta nova funcionalidade permite tornar seu WAF flexível, para que você configure o acesso às áreas sensíveis do seu site como preferir.

Como funcionam as SmartRules para WAF

As possibilidades são infinitas, você especifica o critério(ou critérios) para o qual uma regra será aplicada:

waf criterios

As opções de critério são:

  • URL
  • Método HTTP
  • Cookies
  • User Agent
  • HTTP Referer
  • Endereço ou Range de IP
  • País de Origem
  • Continente de Origem

 

Em seguida seleciona qual o tipo de ação a ser tomada quando o critério for satisfeito:

 

waf acoes

As ações possíveis são:

  • Whitelist – libera o acesso para os acessos que correspondem ao critério.
  • Blacklist – bloqueia o acesso para os acessos que correspondem ao critério.
  • Challenge – exibe um captcha para que o usuário prove ser humano.

 

As regras podem ser facilmente Ativadas/Desativadas, ou Editadas, através de um simples botão:

waf on/off

 

Com a adição das SmartRules o WAF da GoCache se torna a mais flexível solução deste tipo disponível no mercado nacional, resultado do nosso compromisso em entregar o melhor produto que a tecnologia atual permite construir.
Mãos à obra, pode criar suas regras e se tiver alguma dúvida nossa equipe de atendimento está pronta para te ajudar.

 

Quer testar nosso WAF sem compromisso durante 7 dias? Cadastre-se aqui, não é necessário cartão de crédito!

 

Go faster. GoCache!