Bem-vindo ao nosso blogue.

Nas últimas semanas, lançámos muitas novas funcionalidades e expandimos o suporte para diferentes conjuntos de ferramentas. Mais notavelmente, adicionámos suporte para analisar muitos registos de contentores! Além disso:

• Adicionámos muitas regras AWS novas
• O Autofix agora também suporta Python
• Melhorámos a nossa análise de acessibilidade de exploração para suportar o PNPM

Expandir o suporte do registo de contentores

Muitos contentores executam software virado para a Web, como o Apache, Nginx, Python, Node.js ou outros tempos de execução. Mantenha-os seguros com a verificação de contentores Docker! Para além do Docker Hub, do Azure Container Registry, do GCP Artifact Registry e do AWS Elastic Container Registry, estamos agora também a suportar os seguintes registos:

Registo de contentores GitLab (em nuvem e autogerido)

Agora suportamos o Registo de Contentores do GitLab para Cloud & Self-Managed. Como parceiro da GitLab Technology Alliance para Segurança, não podíamos perder estas funcionalidades!

Leia os documentos para configurar:

• Verificação de contentores para o Registo de Contentores Gitlab
• Verificação de contentores para o Registo de contentores autogerido do Gitlab

Registo de contentores da Digital Ocean

A DigitalOcean é uma solução de nuvem sólida que não podíamos esperar para apoiar. Temos o prazer de dizer que agora o fazemos para contentores!

Leia os documentos sobre como configurá-lo

Registo de contentores Scaleway

Orgulhamo-nos de também fazer exploit scanning para o Registo de Contentores da Scaleway, uma das poucas verdadeiras nuvens europeias!

Leia os documentos sobre como configurá-lo

Melhoria da análise de acessibilidade da exploração

Lançámos a análise de acessibilidade para ficheiros de bloqueio do PNPM. Para o conseguirmos fazer com o nosso padrão de qualidade, certificámo-nos de cobrir muitos casos típicos (aliasing, notação de versão especial, etc.). Isto significa que o nosso motor de triagem automática elimina muitos falsos positivos que outros simplesmente não conseguem.

Se está a utilizar o PNPM e o Aikido, está com sorte! Está a utilizar um dos únicos produtos da indústria com este nível de capacidade de redução de ruído! 🎉

Expansão das regras AWS

Actualizámos o nosso conjunto de regras AWS para incluir regras mais relevantes. Queremos garantir que é notificado sobre os problemas que realmente importam. Algumas das novas regras incluem:

• Verificação de credenciais IAM não utilizadas
• Certificados SSL que não se renovam automaticamente
• Repositórios ECR que não eliminam automaticamente imagens antigas.

Certifique-se de que liga a sua nuvem AWS ao Aikido para verificar se tem novas descobertas.

Expandir a cobertura da correção automática: Python

Com a funcionalidade Autofix do Aikido, pode criar pull requests para corrigir vulnerabilidades com apenas um clique. Agora também suportamos Python! (Atualmente, isto apenas se aplica a ambientes que utilizam requirements.txt, mas ainda não para ficheiros poetry.lock). Não há nada extra para configurar. Basta navegar até um problema Python e encontrar o botão Autofix!

Leia mais sobre o Autofix nos nossos documentos.

Experimente hoje mesmo

Inicie sessão na sua conta Aikido para testar estas novas funcionalidades. Em alternativa, pode solicitar uma demonstração à nossa equipa.

Gostaríamos muito de receber a sua opinião sobre elas. Se tiveres alguma ideia em mente, não hesites - diz-nos! Estamos sempre disponíveis através do chat na aplicação. 😉

As empresas de SaaS têm um enorme alvo pintado nas costas quando se trata de segurança, e isso é algo que mantém os seus CTOs acordados à noite. A Cloud Security Alliance divulgou seu relatório State of SaaS Security: 2024 Survey Report e descobriu que "58% das organizações relatam que sofreram um incidente nos últimos dois anos".

‍

A importância da segurança é apoiada pelos resultados da consulta da Aikido a 15 CTOs de SaaS, em que "93% dos CTOs classificaram a importância da prevenção de ameaças como 7 (em 10) ou superior".

Para ajudar os CTOs de SaaS a dormir melhor, criámos uma lista de verificação de segurança abrangente para CTOs de SaaS. Estamos confiantes de que, se a seguir e voltar a ela, tornará a sua empresa e a sua aplicação 10 vezes mais seguras.

Riscos reais para as empresas SaaS

Ferramentas de CI/CD como o GitHub Actions e o CircleCI são alvos privilegiados dos hackers. As suas frequentes violações concedem acesso a nuvens e conduzem à exposição de dados. Uma violação do CircleCI em 2023 comprometeu os segredos dos clientes, enquanto uma exploração do GitHub Actions em 2022 atingiu projetos de código aberto.

Todo o ambiente AWS de uma startup foi comprometido através de um formulário de contacto básico no seu site. Como? O formulário permitia ataques SSRF, concedendo acesso a chaves IAM que eram depois enviadas por correio eletrónico. O atacante ganhou o controlo dos buckets S3 e das variáveis de ambiente.

Estas violações de segurança aconteceram a empresas reais e tiveram efeitos reais. Mas poderiam ter sido evitadas se as empresas tivessem investido mais tempo e esforço na melhoria das suas práticas de segurança.

Lista de verificação de segurança do CTO de SaaS: Mais de 40 itens para o orientar

A nossa lista de verificação enganadoramente simples abrange mais de 40 formas de reforçar a segurança dos seus colaboradores, processos, código, infraestrutura e muito mais. Está organizada por fase de crescimento do negócio - bootstrap, startup e scaleup - para que possa encontrar as melhores práticas de segurança relevantes para a sua fase atual. À medida que cresce, a nossa lista de verificação tornar-se-á o seu guia de confiança e companheiro constante na jornada para as melhores práticas de segurança para a sua empresa SaaS.

Cada item da lista foi concebido para o levar a si e à sua equipa a pensar na segurança em primeiro lugar e, em seguida, dar-lhe instruções claras e concisas sobre o que pode fazer para lidar com a vulnerabilidade. E cada item está identificado para que possa ter a certeza de que se aplica à fase atual da sua empresa.

A lista de verificação também está dividida em secções para que possa considerar as necessidades de diferentes partes da sua empresa. Os seus empregados são vulneráveis a ameaças diferentes do seu código ou da sua infraestrutura, pelo que faz sentido analisá-los separadamente.

Ao percorrer a lista, irá sem dúvida descobrir que alguns itens ainda não se aplicam a si. Mas recomendamos que reveja a lista de verificação regularmente para que não tenha surpresas desagradáveis. A segurança não tem de ser assustadora, desde que tome medidas para se tornar mais seguro antes que algo de mau aconteça.

Selecionámos alguns itens para lhe dar uma espreitadela à lista de verificação. A lista de verificação final contém mais de 40, por isso certifique-se de que descarrega a sua cópia e começa a melhorar a sua segurança hoje mesmo.

Voltar para cima, depois voltar para cima

A primeira aplica-se a todas as fases de crescimento da empresa, e é absolutamente vital. Mas, por outro lado, temos a certeza de que já faz cópias de segurança regularmente, certo? Certo?!

Contratar uma equipa externa de testes de penetração

O nosso próximo ponto é crucial para as empresas que estão a começar a aumentar a escala. O crescimento está a correr bem, já tratou de todos os problemas que são riscos no caminho para a expansão, mas tem a certeza de que a sua infraestrutura é segura a todos os níveis? É nessa altura que está na altura de contratar uma equipa de testes de penetração!

Atualizar o seu sistema operativo e os contentores Docker

Esta é uma questão simples, mas muitos programadores cortam caminho aqui. A atualização consome o tempo de execução enquanto outras tarefas parecem mais urgentes. Mas saltar actualizações deixa os sistemas vitais expostos a vulnerabilidades. Seja diligente na aplicação de patches e na atualização para evitar grandes dores de cabeça no futuro.

Habituar toda a gente às práticas básicas de segurança

O último ponto é relevante em todas as fases e faz parte integrante da nossa lista de controlo: a necessidade de habituar toda a gente às práticas básicas de segurança. Os seres humanos cometem erros. É inevitável. Mas se todos pensarem em segurança, esses erros podem ser atenuados.

Descarregue gratuitamente a sua lista de verificação de segurança SaaS CTO

Estas são apenas algumas das dicas essenciais abordadas na lista de verificação. Também lhe daremos orientações sobre revisões de código, integração e desinstalação, ataques DDoS, planos de recuperação de bases de dados e muito mais.

Transfira já a lista de verificação de segurança SaaS CTO 2025 da Aikido e comece a reforçar a sua aplicação e a fazer com que a sua equipa pense seriamente na segurança. Nunca é tarde demais, nem cedo demais, independentemente da fase em que a sua empresa se encontra.

Descarregue a lista de verificação de segurança SaaS completa:

As empresas de SaaS têm um alvo enorme pintado nas costas quando se trata de segurança, e isso é algo que mantém seus CTOs acordados à noite. A Cloud Security Alliance lançou seu relatório State of SaaS Security: 2023 Survey Report no início deste ano e descobriu que "55% das organizações relatam que sofreram um incidente nos últimos dois anos".

A importância da segurança é apoiada pelos resultados da recente consulta da Aikido a 15 CTOs de SaaS, em que "93% dos CTOs classificaram a importância da prevenção de ameaças como 7 (em 10) ou superior".

Para ajudar os CTOs de SaaS a dormir melhor, criámos uma lista de verificação de segurança abrangente para CTOs de SaaS. Estamos confiantes de que, se a seguir e voltar a ela, tornará a sua empresa e a sua aplicação 10 vezes mais seguras.

Riscos reais para as empresas SaaS

Ferramentas de CI/CD como o GitHub Actions e o CircleCI são alvos privilegiados dos hackers. As suas frequentes violações concedem acesso a nuvens e conduzem à exposição de dados. Uma violação do CircleCI em 2023 comprometeu os segredos dos clientes, enquanto uma exploração do GitHub Actions em 2022 atingiu projetos de código aberto.

Todo o ambiente AWS de uma startup foi comprometido através de um formulário de contacto básico no seu site. Como? O formulário permitia ataques SSRF, concedendo acesso a chaves IAM que eram depois enviadas por correio eletrónico. O atacante ganhou o controlo dos buckets S3 e das variáveis de ambiente.

Estas violações de segurança aconteceram a empresas reais e tiveram efeitos reais. Mas poderiam ter sido evitadas se as empresas tivessem investido mais tempo e esforço na melhoria das suas práticas de segurança.

Lista de verificação de segurança do CTO de SaaS: Mais de 40 itens para o orientar

A nossa lista de verificação enganadoramente simples abrange mais de 40 formas de reforçar a segurança dos seus colaboradores, processos, código, infraestrutura e muito mais. Está organizada por fase de crescimento do negócio - bootstrap, startup e scaleup - para que possa encontrar as melhores práticas de segurança relevantes para a sua fase atual. À medida que cresce, a nossa lista de verificação tornar-se-á o seu guia de confiança e companheiro constante na jornada para as melhores práticas de segurança para a sua empresa SaaS.

Cada item da lista foi concebido para o levar a si e à sua equipa a pensar na segurança em primeiro lugar e, em seguida, dar-lhe instruções claras e concisas sobre o que pode fazer para lidar com a vulnerabilidade. E cada item está identificado para que possa ter a certeza de que se aplica à fase atual da sua empresa.

A lista de verificação também está dividida em secções para que possa considerar as necessidades de diferentes partes da sua empresa. Os seus empregados são vulneráveis a ameaças diferentes do seu código ou da sua infraestrutura, pelo que faz sentido analisá-los separadamente.

Ao percorrer a lista, irá sem dúvida descobrir que alguns itens ainda não se aplicam a si. Mas recomendamos que reveja a lista de verificação regularmente para que não tenha surpresas desagradáveis. A segurança não tem de ser assustadora, desde que tome medidas para se tornar mais seguro antes que algo de mau aconteça.

Selecionámos alguns itens para lhe dar uma espreitadela à lista de verificação. A lista de verificação final contém mais de 40, por isso certifique-se de que descarrega a sua cópia e começa a melhorar a sua segurança hoje mesmo.

Voltar para cima, depois voltar para cima

A primeira aplica-se a todas as fases de crescimento da empresa, e é absolutamente vital. Mas, por outro lado, temos a certeza de que já faz cópias de segurança regularmente, certo? Certo?!

Contratar uma equipa externa de testes de penetração

O nosso próximo ponto é crucial para as empresas que estão a começar a aumentar a escala. O crescimento está a correr bem, já tratou de todos os problemas que são riscos no caminho para a expansão, mas tem a certeza de que a sua infraestrutura é segura a todos os níveis? É nessa altura que está na altura de contratar uma equipa de testes de penetração!

Atualizar o seu sistema operativo e os contentores Docker

Esta é uma questão simples, mas muitos programadores cortam caminho aqui. A atualização consome o tempo de execução enquanto outras tarefas parecem mais urgentes. Mas saltar actualizações deixa os sistemas vitais expostos a vulnerabilidades. Seja diligente na aplicação de patches e na atualização para evitar grandes dores de cabeça no futuro.

Habituar toda a gente às práticas básicas de segurança

O último ponto é relevante em todas as fases e faz parte integrante da nossa lista de controlo: a necessidade de habituar toda a gente às práticas básicas de segurança. Os seres humanos cometem erros. É inevitável. Mas se todos pensarem em segurança, esses erros podem ser atenuados.

Descarregue gratuitamente a sua lista de verificação de segurança SaaS CTO

Estas são apenas algumas das dicas essenciais abordadas na lista de verificação. Também lhe daremos orientações sobre revisões de código, integração e desinstalação, ataques DDoS, planos de recuperação de bases de dados e muito mais.

Transfira já a lista de verificação de segurança SaaS CTO 2024 da Aikido e comece a reforçar a sua aplicação e a fazer com que a sua equipa pense seriamente na segurança. Nunca é tarde demais, ou cedo demais, independentemente da fase em que a sua empresa se encontra.

Descarregue a lista de verificação completa da segurança SaaS

Consultámos 15 CTOs de SaaS sobre os seus desafios e preocupações em matéria de segurança da nuvem e do código. Porquê?

• Todos os CTO de SaaS enfrentam desafios na proteção dos seus produtos. Queríamos encontrar essas tendências e descobrir as suas necessidades e preocupações.
• A pesquisa de clientes é essencial para o sucesso de qualquer empresa, e a Aikido não é diferente! De facto, adoramos saber o que os clientes têm a dizer.
• Desde o início que nos concentramos em conceber e desenvolver as nossas ferramentas de segurança com base no que é mais importante para os nossos clientes.

Aqui no Aikido, acreditamos na partilha aberta de conhecimentos, por isso agora é altura de transmitir o que as nossas consultas descobriram e revelaram.

Sobre a nossa consulta de segurança na nuvem e no código

Os CTOs que consultámos são de startups de software nativo da nuvem com entre 51-500 empregados. Concentrámo-nos nestes tópicos de segurança na nuvem e no código:

• a prioridade que a prevenção de ameaças pode receber
• bloqueadores para evitar ameaças
• os seus níveis de satisfação com as soluções actuais
• que outras soluções utilizaram e quais as suas falhas
• desafios que enfrentam
• os seus requisitos e resultados desejados
• caraterísticas que valorizam, e
• o que pretendem realizar no futuro.

Que importância tem para si a prevenção de ameaças à segurança da nuvem e do código?

Comecemos pelo nível de prioridade que os CTOs dão à prevenção de ameaças à segurança. As nossas provas mostram que os CTOs dão um elevado nível de prioridade à prevenção de ameaças. A classificação média é de 8,27 (em 10). 93% dos CTOs classificaram a importância da prevenção de ameaças como 7 ou superior. 8 foi a resposta mais popular, e 10 foi a segunda escolha mais alta.

O que é que impede a prevenção eficaz das ameaças à segurança da nuvem e do código?

Por mais que os CTOs queiram evitar ameaças à segurança da nuvem e do código, alguns bloqueadores criam obstáculos ao sucesso. Os três principais factores de bloqueio foram as prioridades concorrentes, o orçamento e a complexidade.

Prioridades concorrentes

A principal resposta: prioridades concorrentes (40%). O que é que isto significa em relação aos desafios de segurança? Embora os CTOs considerem a segurança como uma prioridade elevada, existem outras preocupações igualmente ou potencialmente ainda mais importantes numa empresa. Por exemplo, a corrida para lançar novas funcionalidades versus as questões de segurança que as rodeiam é o ato de equilíbrio da cibersegurança.

Uma vez que a segurança é muitas vezes um bom investimento a longo prazo, mas tem menos impacto no dia a dia, é fácil desprivilegiar o trabalho".

Restrições orçamentais

O segundo fator de bloqueio foram as restrições orçamentais (33%). O principal desafio reside em provar o ROI que as medidas de segurança trazem para a empresa. Ou, como diz um CTO, "criar o argumento comercial para investir na segurança da nuvem". Isto também pode estar relacionado com a despriorização quotidiana mencionada acima.

Complexidade

A complexidade fica com o bronze (27%). A questão aqui é que existem muitas ameaças potenciais. A definição de prioridades torna-se pesada e difícil. Isto pode ser avassalador e, consequentemente, é fácil perder de vista as maiores ameaças.

Qual é o seu grau de satisfação com as suas soluções actuais para evitar ameaças à segurança do código e da nuvem?

Grau D. A classificação média é de 6,4 e um terço dos CTOs classificou a sua satisfação com as soluções actuais em 5 ou menos. Apenas 20% estavam altamente satisfeitos com um 8 ou 9, enquanto 0% relataram um 10 perfeito. A chave aqui é comparar isso com o nível muito mais alto de prioridade que eles dão à prevenção de ameaças. Encontramos uma diferença notável e preocupante entre a importância e a satisfação.

Que outras soluções de segurança utiliza e quais são as suas falhas?

As soluções de segurança actuais incluem uma vasta gama do que está disponível no mercado. Os CTOs mencionaram 11 produtos; o SonarQube foi o mais utilizado (33%). Além disso, não mais de 13% dos CTOs utilizavam os mesmos produtos no momento do nosso inquérito.

Preços e modelos de preços

40% dos CTO indicaram que a maior falha diz respeito aos preços elevados e aos modelos de preços. Um CTO refere um preço astronomicamente elevado, "pagando atualmente por software na ordem dos seis dígitos". Outro questiona a viabilidade a longo prazo da fixação de preços por linha: "Os modelos de fixação de preços que seguem o número de linhas de código são motivo de preocupação para o futuro".

Falsos positivos

33% assinalaram falsos positivos - alertas que identificam erradamente uma vulnerabilidade ou atividade maliciosa. Todos nos podemos identificar com as frustrações: o cansaço dos alertas e o desperdício de recursos que resultam dos falsos positivos.

Outras falhas das soluções actuais

Outras falhas incluem desafios na avaliação do risco, configuração e manutenção complexas, falta de adequação da pilha tecnológica e proteção limitada.

Um CTO aponta as frustrações relacionadas com a necessidade de empregar várias soluções de segurança:

Não conheço nenhuma solução que abranja vários cenários, o que significa que a minha expetativa como CTO seria que o SaaS que utilizamos atualmente para verificações de segurança automatizadas da nossa base de código não será certamente o mesmo que uma solução que garanta a conformidade com um dos nossos fornecedores de serviços em nuvem.

O que podemos aprender com o que os CTOs pensam sobre as actuais falhas no software de segurança?

Eis a principal conclusão. Os CTOs estão à procura de um balcão único para software de segurança de código e nuvem, com:

• preços razoáveis
• ausência de falsos positivos
• uma configuração simples, e
• manutenção sem complicações.

Quais são os maiores desafios na proteção do código e da nuvem?

Os principais desafios actuais para os CTO de SaaS são a oposição dentro da empresa, o excesso de informação, a evolução das ameaças e a complexidade de ter uma cobertura total.

Oposição interna

40% afirmaram que o principal desafio é interno: a falta de sensibilização ou outras prioridades implicam recursos limitados. Isto confirma os dois principais factores de bloqueio da prevenção de ameaças mencionados anteriormente (prioridades e orçamento).

O maior desafio é mudar a mentalidade das organizações e fazê-las compreender que a segurança é uma caraterística e que temos de investir continuamente nela.

A gestão da mudança é notoriamente difícil. E aumentar a consciencialização para fazer mudanças significativas na atitude e na estratégia pode ser um desafio ainda mais difícil.

Demasiado ruído

A sobrecarga de informação é um facto real. 27% dos CTOs afirmam que a triagem entre o ruído é o próximo maior desafio. Não é fácil entender quais ameaças devem ser priorizadas ou exploradas, nem como lidar com elas. Mais uma vez, se houver falsos positivos na mistura, pode haver alguns becos sem saída, ineficiências e trabalho mal orientado.

Parece haver um número ilimitado de dados nos registos, mas não há forma de gerir o que significam, por quem e como devem ser tratados.

Evolução, cobertura e complexidade das ameaças

A evolução, a cobertura e a complexidade das ameaças foram classificadas como desafios de nível inferior. No entanto, continuam a confirmar alguns dos bloqueadores e falhas identificados anteriormente no inquérito.

As ameaças à segurança não estão estagnadas - elas evoluem e tendem a manter-se um passo à frente das soluções de segurança. Isto significa que as suas vulnerabilidades também estão a evoluir e, por vezes, pode parecer um jogo de "whack-a-mole".

Os atacantes estão a tornar-se mais sofisticados nos seus métodos e são descobertas regularmente novas vulnerabilidades.

Os CTO apontaram ainda desafios que confirmam algumas das falhas identificadas nas suas soluções actuais. Eles relatam ter recebido uma cobertura incompleta, o que cria uma falsa sensação de segurança. E no sector da segurança, isso não é suficiente!

Embora tentem dar uma sensação de segurança, preocupa-me que não estejam realmente a proteger-nos contra a maioria das ameaças".

A cobertura incompleta está ligada à necessidade, ou à perceção da necessidade, de uma manta de retalhos de várias soluções:

Há demasiadas partes móveis. Desde os sistemas e software de desenvolvimento inicial, passando pelo processo CICD, até às infra-estruturas de aplicações e repositórios de dados, ... não se enquadram numa abordagem holística de solução de segurança".

Quais são os resultados comerciais desejados pelos CTOs? O que é mais importante para os CTO no que respeita à segurança da nuvem e do código?

Fizemos estas duas perguntas para saber quais eram os seus objectivos estratégicos e o que era mais importante para os alcançar.

Resultados desejados

Os CTOs classificaram os três principais resultados estratégicos da seguinte forma:

1. Proteção da reputação da marca e da confiança dos clientes (47%)
2. Os dados sensíveis estão protegidos, o que significa que não há violações de dados (33%)
3. Estar coberto pela conformidade (20%)

O que é mais importante?

E, para implementar esses resultados desejados, o que mais importava para os CTOs eram os seguintes (era possível escolher mais de um para esta pergunta):

1. Manutenção reduzida (53%)
2. Fiabilidade / Sem falsos positivos (40%)
3. Relatórios claros e eficazes (33%)

Reparou no que nós reparámos? Estas são conclusões semelhantes às que aprendemos com a pergunta sobre as actuais falhas das soluções de segurança.

Mas e quanto aos preços?

No entanto, a apresentação de relatórios claros e eficazes substitui os preços razoáveis na lista acima, em comparação com as aprendizagens sobre falhas. Assim, contradizendo os comentários e as escolhas sobre preço e orçamento anteriormente no inquérito, apenas 7% deram prioridade ao preço nesta pergunta. O que é que isso pode significar?

Vamos desvendar a perplexidade dos preços. Interpretamos isto no sentido de que o preço é um desafio e um obstáculo quando o software de segurança não corresponde às expectativas. Mas, se a solução de segurança for precisa, fácil de manter, desmistificar a complexidade com relatórios simples e, por sua vez, ajudar a atingir os objectivos mais elevados de proteger a reputação da marca, criar confiança nos clientes e manter os dados seguros, cumprindo simultaneamente as normas de conformidade, o preço torna-se menos um obstáculo e mais fácil de justificar.

As caraterísticas mais importantes na escolha de software de segurança de código e de nuvem

Também perguntámos aos CTO de SaaS que caraterísticas técnicas são mais importantes para eles. Eles classificaram cinco afirmações da seguinte forma (pontuação de 4):

1. Deteção de configuração incorrecta da nuvem - 3,67 (33% classificaram-no em primeiro lugar)
2. Análise de vulnerabilidades de fonte aberta - 3,53 (33% classificaram-no em primeiro lugar)
3. Deteção de segredos (chaves API, palavras-passe, certificados, etc.) - 3,53 (mais de 53% classificaram-no em segundo lugar)
4. Análise de código estático através de plataformas CI/CD - 2.93
5. Verificação de licenças de código aberto - 1,33 (80% classificaram-no em último lugar)

Quais destas caraterísticas de segurança são as mais importantes para si? Existem outras que gostaria de ver na sua solução de segurança?

Pretende um produto que resolva os seus desafios de segurança na nuvem e no código?

Acima de tudo, quando questionados sobre o que gostariam de realizar no futuro, os CTOs classificaram a seguinte afirmação como a mais elevada:

Quero sentir-me completamente seguro contra ameaças à segurança da nuvem e do código".

Isto é música para os nossos ouvidos. O Willem, o nosso CTO, debateu-se exatamente com isso nas suas empresas anteriores. Esse problema colocou-o numa missão para criar a solução certa. É precisamente isso que estamos a construir com o Aikido.

A nossa solução reúne as melhores ferramentas de segurança de software de código aberto. Isto permite-lhe cobrir todas as áreas relevantes. O Aikido também lhe mostra quais os problemas e vulnerabilidades realmente importantes e quais os que deve realmente resolver. Aqui não há falsos positivos!

Veja por si mesmo como o Aikido pode aliviar os desafios de segurança de código e nuvem de um CTO. Faça um test drive gratuito do Aikido ou entre em contacto connosco.

No panorama digital em rápida mutação, a segurança das aplicações é uma necessidade. Uma das formas mais eficazes de reforçar a segurança da sua aplicação é avaliá-la com o Top 10 da OWASP. Mas o que é exatamente o OWASP Top 10 e por que razão deve ser importante para si?

OWASP Top 10: uma estrutura para a segurança na Web

O Open Web Application Security Project(OWASP) é uma fundação sem fins lucrativos que se esforça por tornar o software na Web mais seguro. O seu Top 10 é um relatório amplamente reconhecido que descreve os 10 riscos de segurança de aplicações Web mais críticos. É essencialmente uma lista de verificação dos pontos fracos mais comuns que podem tornar a sua aplicação num alvo de ameaças cibernéticas.

Porque é que se deve preocupar com o OWASP Top 10?

O OWASP Top 10 tem tudo a ver com gestão de riscos. Abordar as vulnerabilidades destacadas no OWASP Top 10 ajuda-o a reduzir o risco de uma violação de segurança, a desenvolver código mais seguro e a criar uma aplicação mais segura.

Seguir o Top 10 da OWASP é também uma medida inteligente para aderir às normas regulamentares e dar aos utilizadores confiança no seu compromisso com as melhores práticas de segurança. Se a sua aplicação lida com dados sensíveis, os seus utilizadores querem saber que estão seguros.

A lista de verificação da OWASP é actualizada aproximadamente a cada três ou quatro anos e a última atualização foi em 2021. Cada vez que é actualizada, ocorre alguma consolidação, renomeação e reorganização, à medida que as vulnerabilidades e ameaças aumentam e diminuem de gravidade. Estar ciente dos perigos actuais pode ajudá-lo a saber por onde começar e quais os riscos críticos que necessitam de atenção imediata.

Vejamos a lista de controlo mais recente.

Os 10 principais riscos de segurança de aplicações Web da OWASP

1. Controlo de acesso deficiente

As restrições sobre o que os utilizadores autenticados estão autorizados a fazer não são frequentemente aplicadas. Os piratas informáticos podem explorar estas falhas para aceder a funcionalidades e/ou dados não autorizados. Podem ser capazes de aceder a outras contas de utilizador, ver ficheiros sensíveis, modificar ou destruir dados e alterar direitos de acesso. Podem até acabar com direitos de administrador para todo o sistema. O OWASP Top 10 salienta uma regra essencial: exceto para recursos públicos, negar por predefinição.

2. Falhas criptográficas

Muitas aplicações Web não protegem devidamente os dados sensíveis, como cartões de crédito, credenciais de autenticação, registos de saúde e outros dados pessoais. Os atacantes podem roubar ou modificar dados pouco protegidos para cometer fraudes com cartões de crédito, roubo de identidade ou outros crimes. Para as empresas, a propriedade intelectual e outros segredos comerciais têm de ser mantidos em segurança. Certifique-se de que avalia as necessidades de proteção dos dados em trânsito e em repouso. E avalie regularmente todos os protocolos e algoritmos para detetar pontos fracos.

3. Injeção

As falhas de injeção ocorrem quando uma aplicação envia dados não fiáveis como parte de um comando ou consulta. Os atacantes podem induzir o intérprete a executar comandos não intencionais ou a aceder a dados não autorizados, conduzindo à perda de dados, corrupção ou acesso não autorizado. A revisão do código-fonte ajudá-lo-á neste caso, assim como a utilização rigorosa de ferramentas de teste de segurança de aplicações antes da implementação na produção.

4. Conceção insegura

A OWASP recomenda firmemente que a segurança deve começar antes de qualquer codificação. As falhas de design ou de arquitetura podem danificar uma aplicação mesmo que esta seja implementada de forma segura. Essa fase de pré-codificação precisa incluir mais modelagem de ameaças, padrões e princípios de design seguro e arquiteturas de referência. Tem de envolver o equilíbrio entre os requisitos comerciais e técnicos, juntamente com um olhar frio e duro sobre o perfil de risco comercial.

5. Má configuração da segurança

O risco de má configuração refere-se à implementação incorrecta de controlos para manter os dados da aplicação seguros, tais como erros nas definições de segurança, actualizações de software, ficheiros de configuração do servidor ou funcionalidades e páginas da aplicação. É possível reduzir bastante esses riscos mantendo uma plataforma mínima. Não inclua recursos, estruturas e componentes desnecessários. O resultado final, de acordo com o OWASP Top 10, é desativar contas e palavras-passe predefinidas, certificar-se de que o tratamento de erros não revela demasiada informação e manter tudo corrigido e atualizado.

6. Componentes vulneráveis e desactualizados

Os componentes, tais como bibliotecas, estruturas e outros módulos de software, são executados com os mesmos privilégios que a aplicação. Se um componente vulnerável for explorado, um ataque pode significar uma séria perda de dados ou até mesmo um controlo total do servidor. É necessário conhecer as versões que está a utilizar tanto do lado do cliente como do lado do servidor, procurar vulnerabilidades regularmente e acompanhar os boletins de segurança. Mas o mais importante, diz a OWASP, é não se limitar a aplicar patches todos os meses ou trimestres, pois isso deixa a sua aplicação exposta e em risco.

7. Falhas de identificação e autenticação

Se as funções de autenticação e gestão de sessões da sua aplicação não forem implementadas corretamente, os atacantes podem comprometer palavras-passe, chaves ou tokens de sessão ou explorar outras falhas de implementação para assumir outras identidades. O OWASP Top 10 adverte contra palavras-passe fracas, reutilização de identificadores de sessão, processos de recuperação fracos ou permissão de ataques automatizados. Se for possível, a autenticação multi-fator é o caminho a seguir, juntamente com uma série de medidas de autenticação simples e de senso comum.

8. Falhas de integridade do software e dos dados

Falhas na integridade do software e dos dados podem ocorrer quando os aplicativos dependem de fontes não confiáveis, como plug-ins ou bibliotecas. Além disso, ter pipelines CI/CD inseguros pode levar ao acesso não autorizado ou até mesmo ao comprometimento do sistema. Outro risco vem de recursos de atualização automática que não fazem o suficiente para verificar a integridade e formas inseguras de organizar estruturas de dados. Para evitar estes riscos, a sua equipa deve utilizar assinaturas digitais. Estas podem confirmar a segurança do software ou dos dados. Certifique-se de que utiliza apenas repositórios fiáveis para bibliotecas e dependências. Também deve implementar ferramentas de segurança da cadeia de fornecimento de software para verificar se existem vulnerabilidades conhecidas. A OWASP sugere a manutenção de um processo de revisão para alterações de código e configuração e a definição de um controlo de acesso adequado para o pipeline CI/CD. Por último, não envie dados serializados não assinados ou não encriptados aos clientes, a menos que tenha verificado a sua integridade ou adicionado uma assinatura digital.

9. Falhas no registo de segurança e na monitorização

Um registo e monitorização insuficientes, combinados com uma integração inexistente ou ineficaz com a resposta a incidentes, permitem que os atacantes ataquem sistemas, mantenham a persistência, se desloquem para mais sistemas e adulterem, extraiam ou destruam dados. Entre outras medidas, o Top 10 da OWASP sugere que deve registar todos os eventos, como inícios de sessão e inícios de sessão falhados, que os avisos e erros devem gerar mensagens de registo claras e que os registos nunca devem ser armazenados apenas localmente. Tornar os eventos de registo e de alerta visíveis para um utilizador é também uma fonte de risco.

10. Falsificação de pedidos do lado do servidor

Os problemas de falsificação de pedidos do lado do servidor (SSRF) ocorrem quando uma aplicação Web vai buscar dados a uma fonte remota sem verificar o URL fornecido pelo utilizador. Isto pode permitir que os atacantes enganem uma aplicação para que faça pedidos a locais indesejados, mesmo para além das medidas de segurança da rede. A OWASP acredita que estes problemas estão a tornar-se mais comuns, uma vez que as aplicações Web modernas necessitam frequentemente de ir buscar URLs. Os riscos estão a tornar-se mais graves devido à utilização de serviços na nuvem e de sistemas complexos. Mais uma vez, a abordagem "negar por defeito" ao nível do acesso à rede é o seu amigo neste caso. E há também uma série de medidas a adotar ao nível das aplicações.

Escrevi um blogue sobre um caso de utilização real, não hesite em consultá-lo.

Porquê utilizar o OWASP Top 10?

O OWASP Top 10 não é apenas uma lista de problemas - é um guia de soluções. Cada item da lista de verificação inclui uma secção sobre como evitar a vulnerabilidade e exemplos de cenários de ataque que fornecem aos programadores passos práticos para melhorar a segurança da sua aplicação. Proteger a sua aplicação é um processo contínuo e estão sempre a surgir novas ameaças. Mantendo-se vigilante e fazendo da segurança uma prioridade, pode manter a sua aplicação segura e os seus utilizadores seguros.

E para as empresas, o OWASP Top 10 não é apenas uma lista de verificação - é um início de conversa. É uma ferramenta que traz a segurança para o primeiro plano do processo de desenvolvimento, promovendo uma cultura de conscientização de segurança dentro da sua organização. Ao concentrar-se no Top 10 da OWASP, não está apenas a melhorar a segurança da sua aplicação, está a tornar a segurança uma parte essencial do seu processo de desenvolvimento.

Se é uma empresa nativa da nuvem, o Aikido facilita agora a análise do seu ambiente de desenvolvimento para cobertura do OWASP Top 10. As nossas ferramentas de teste e relatórios de segurança dão-lhe uma pontuação clara do OWASP Top 10 e uma análise das medidas tomadas para evitar cada vulnerabilidade. Pode partilhar os relatórios com as partes interessadas e utilizá-los para obter uma visão rápida das práticas de segurança em que se deve concentrar.

Analise o seu ambiente com o Aikido agora mesmo para obter a sua pontuação OWASP Top 10.

Como evitar erros comuns ao criar um painel de administração SaaS? Iremos delinear algumas armadilhas e potenciais soluções especificamente para todos os construtores de SaaS por aí!

O que acontece quando se está a construir uma aplicação SaaS que tem mais do que alguns clientes? A dada altura, o inevitável acontece! O seu pessoal de vendas e de sucesso do cliente chega à equipa de desenvolvimento com requisitos como:

• Mostrar-me quais as contas ativamente utilizadas
• Permitir-me introduzir uma conta de cliente para apoio técnico
• Ativar ou desativar um sinalizador de caraterística específico para alguma conta
• Alguns utilizadores não conseguem iniciar sessão, pode dizer-me qual o método que utilizam para se autenticarem?
• Tenho um revendedor e ele precisa de aceder às suas subcontas
• Preciso de prolongar uma avaliação gratuita de uma conta
• Uma conta precisa de uma configuração específica que apenas os agentes de sucesso do cliente devem poder configurar
• Mostre-me o MRR total para um grupo específico de clientes.

Uma variedade de ferramentas pode cobrir alguns destes casos de utilização. As ferramentas PLG, como o Segment e o journy.io, podem acompanhar a atividade. Talvez utilize um serviço de sinalização de funcionalidades como o LaunchDarkly. O Stripe ou o Chargebee podem gerir alguns dos aspectos relacionados com a faturação. Entretanto, os problemas relacionados com a autenticação podem ser visíveis na sua conta Auth0. No entanto, é pouco provável que esteja a utilizar todas estas plataformas. Mesmo que esteja, é provável que não consiga abranger alguns casos de utilização.

A solução é construir um painel de administração personalizado. Parece haver algumas estruturas e serviços comerciais disponíveis para começar rapidamente. Mas como é que se escolhe um em vez de construir o seu próprio painel de raiz?

Evitar painéis de administração integrados na sua aplicação

Como primeiro princípio, defendemos que se evite qualquer painel de administração injetado no código da aplicação principal, como faz o ActiveAdmin. Isso tem muitas desvantagens:

• As novas rotas da API de administração podem provavelmente ser detectadas no código cliente da sua aplicação e os atacantes podem sondar ou atacar esta vulnerabilidade
• É provável que acabe por ter vários tipos de utilizadores dentro de uma base de código, o que complica as análises de controlo de acesso
• Adicionar funcionalidades de proteção adicionais, como restringir o acesso a partir de um único endereço IP, será muito mais difícil
• Se for detectado um problema crítico no código do painel de administração, é mais difícil colocá-lo offline sem colocar a aplicação offline.

As aplicações que não seguem este princípio têm mais hipóteses de acabar em histórias do Slashdot. Aqui está uma: https://yro.slashdot.org/story/23/01/09/221207/researchers-track-gps-location-of-all-of-californias-new-digital-license-plates. Em particular, esta história demonstra que é possível atualizar uma conta de utilizador para uma conta de super administrador que pode ver dados de outros utilizadores.

Escolha um painel de administração com um registo de auditoria das acções dos utilizadores

Caso tenha de ser dito, isso significa que os administradores terão de se autenticar com contas de utilizador separadas. (Não é possível iniciar sessão com uma palavra-passe partilhada utilizando support@app.io !). Qual é a vantagem disto? Se alguma definição de conta sensível for actualizada, pode descobrir mais tarde quem fez a alteração.

Aplicar pelo menos 2FA (ou 3FA) para autenticar utilizadores administrativos

Escolha uma solução de painel de administração que lhe permita adicionar factores extra para além da 2FA, como restrições de IP ou acesso através de outras soluções de confiança zero.

Bónus: Utilize os cabeçalhos da Política de Segurança de Conteúdos (CSP) para bloquear javascript desconhecido

O bloqueio de javascript desconhecido é fundamental, especialmente em portais de administração internos. Abaixo, um exemplo de como a Apple estava vulnerável a uma vulnerabilidade de injeção de correio eletrónico, que poderia ter sido resolvida com simples cabeçalhos CSP.

Este tweet fez-me lembrar uma altura em que estava a piratear no programa de recompensa de bugs da Apple. Encontrei, entre todas as coisas, uma citação de Harry Potter codificada em base64 numa página interna de depuração e administração de contas iCloud. É a primeira vez que partilho isto, pois já passaram mais de 90 dias ... https://t.co/CBc8QC5y3i pic.twitter.com/BNauDq7w01

- Sam Curry (@samwcyo) December 24, 2023

Considerações finais sobre a criação de um painel de administração seguro

Sim, é possível criar um painel de administração seguro para a sua aplicação. Terá de escolher uma estrutura para o ajudar ou uma solução SaaS ou low-code existente para o ajudar a começar. Desde que o mantenha separado da sua aplicação principal e que comunique com a sua aplicação principal através de APIs privadas, não deverá ter problemas.

O Aikido é uma ferramenta de segurança de aplicações tudo-em-um. Quer ver se a sua aplicação é segura? Comece a analisar gratuitamente.