A necessidade de segurança nas aplicações está aumentando cada vez mais, afinal quase todas as empresas possuem algum tipo de aplicação dentro do seu ambiente que precisa proteger. Quando essas aplicações são desenvolvidas internamente, se torna necessário também uma preocupação com a segurança já nessa fase, pois as vulnerabilidades quando mitigadas antes de colocar uma aplicação em produção resultam em maior performance, segurança e economia.
Mas como desenvolver com segurança?
Ter uma esteira de desenvolvimento é importante para garantir um fluxo da criação de uma aplicação e seu respectivo controle, ao integrar segurança dentro do seu fluxo SDLC o ganho é ainda maior.
E quando falamos de segurança no código, existem alguns processos que são utilizados para mitigar vulnerabilidades que podem surgir durante e pós o desenvolvimento da aplicação.
Análise SAST
O teste de segurança estático tem como objetivo analisar o código fonte para encontrar vulnerabilidades de segurança, antes mesmo que seu código seja compilado.
Então o SAST está no início do ciclo de desenvolvimento e não no fim, além disso ferramentas SAST fornecem feedback em tempo real aos desenvolvedores enquanto eles codificam, ajudando-os a corrigir problemas antes de passarem o código para a próxima fase do SDLC. Isso evita problemas relacionados à segurança.
Algumas ferramentas apontam onde exatamente as vulnerabilidades se encontram, destacando o código. As ferramentas também podem fornecer orientação detalhada sobre como corrigir problemas e o melhor lugar no código para corrigi-los, sem exigir conhecimento profundo do domínio de segurança.
As ferramentas SAST se tornam uma forma mais eficaz de análise, além de ser mais rápido que uma análise manual de código, contudo pode ocorrer de ter falsos positivos, mas com chances mínimas.
OWASP CheckList
A Owasp é um projeto mantido por uma grande comunidade que vão desde profissionais a empresas, que buscam traçar uma linha de segurança em aplicações em todas as camadas. Por isso, a OWASP conta com inúmeras documentações que podem auxiliar o profissional a testar aplicações e desenvolver um design seguro do mesmo.
Além disso, você pode encontrar inúmeros processos, frameworks e metodologias para auxiliar nos testes de segurança e no desenvolvimento de um código seguro, além de modelos de maturidade como o OWASP SAMM e até mesmo Testing Guides.
Teste Unitário de Segurança
Do ponto de vista do desenvolvedor, o principal objetivo dos testes de segurança é validar se o código está sendo desenvolvido em conformidade com padrões de segurança. Os próprios artefatos de codificação dos desenvolvedores como funções, métodos, classes, APIs e bibliotecas, precisam ser validados antes de serem integrados na aplicação.
Os requisitos de segurança que os desenvolvedores devem seguir devem ser documentados em padrões de desenvolvimento seguros e validados com análises estáticas e dinâmicas. Se os testes seguir uma revisão de código seguro, os testes unitários podem validar se as alterações de código exigidas pelas revisões de código seguro foram implementadas corretamente. Ao realizar os testes, os desenvolvedores podem validar a funcionalidade de segurança dos componentes, bem como verificar se as contramedidas desenvolvidas atenuam quaisquer riscos de segurança previamente identificados por meio de modelagem de ameaças e análise de código-fonte.
Uma boa prática para desenvolvedores é criar casos de teste de segurança como um conjunto de teste de segurança. Um conjunto genérico de testes de segurança pode ser derivado de casos de uso e uso indevido previamente definidos para funções, métodos e classes de teste de segurança. Como por exemplo, validar:
- Identidade, autenticação e controle de acesso
- Validação e codificação de entrada
- Criptografia
- Gerenciamento de usuários e sessões
- Tratamento de Erros e Exceções
- Auditoria e registro
Os desenvolvedores capacitados com uma ferramenta de análise de código-fonte integrada em seu IDE, padrões de desenvolvimento seguros e uma estrutura de teste unitário de segurança podem avaliar e verificar a segurança dos componentes de software que estão sendo desenvolvidos.
Para aprender mais sobre essa técnicas e outras, conheça a plataforma HackerSec Academy que te ensina cibersegurança do básico ao avançado: https://hackersec.com/academy/
Análise DAST
Os testes dinâmicos ajudam a encontrar vulnerabilidades em aplicações que já estão em produção, dando uma visão de um black box que seria feito em pentest, pois não teria informações do código fonte, sendo assim a aplicação vai usar algumas técnicas para tentar encontrar brechas de segurança na aplicação.
Por exemplo, o DAST pode encontrar pontos de entrada e tentar validar vulnerabilidades de injeção, detectar potenciais erros e detectar outras vulnerabilidades que a ferramenta usada pode testar.
Em alguns momentos, o DAST pode ser útil e necessário para validar diversas aplicações em tempo real, contudo não é a mesma coisa de um Pentest que é facilmente confundido, pois o DAST ele faz análises conforme a ferramenta consegue alcançar, dependendo das vulnerabilidades só é possível realizar de forma manual.
Code Review Seguro
Uma revisão de código seguro é o processo de analisar manualmente ou de forma automatizada o código de uma aplicação e com guides e boas práticas de desenvolvimento seguro, você vai aplicando técnicas para mitigar vulnerabilidades.
Mas também, pode ser utilizado ferramentas que são integradas na IDE para validar o código que está sendo desenvolvido e garantir as boas práticas do mesmo, sendo bastante útil.
Diferente do SAST, pode ser útil realizar uma validação manual como plus para corrigir vulnerabilidades ou adicionar boas práticas no código que não é detectado no processo de análise estática, sendo bastante útil. O processo é totalmente continuo, sempre garantindo a qualidade do código e a segurança do mesmo, colocando as boas práticas de desenvolvimento seguro em ação.
Pentest
O Pentest é um processo importante, durante os testes ou deploy da aplicação, você realiza os devidos testes procurando por vulnerabilidades e simulando um ataque real em cima da aplicação.
Sendo assim, o Pentest é indispensável se você quer garantir que sua aplicação esteja segura e facilmente bypassavel por alguma técnica, por isso ter um time de pentest qualificado vai ser muito útil no processo de desenvolvimento seguro.
A HackerSec é referência em cibersegurança para empresas, principalmente quando falamos de Red Team, conheça as soluções da HackerSec para empresas: https://hackersec.com/empresas/
Conclusão
No processo de desenvolvimento seguro, é indispensável ter dentro do seu SDLC (Ciclo de vida de desenvolvimento de sistemas), ferramentas e testes descritos acima, principalmente na garantia da qualidade e segurança do seu código e em ganhos que pode gerar para dentro da sua área.