A OWASP desempenha um papel fundamental na conscientização sobre os riscos de segurança em aplicações web, oferecendo recursos, ferramentas, documentação e práticas recomendadas essenciais para enfrentar os desafios crescentes dessa área.

Através de um estudo de riscos, a OWASP divulga, a fim de apoiar desenvolvedores, profissionais de segurança e organizações, listas com os principais riscos voltados para diversas frentes dentro da segurança cibernética.

Abaixo, você pode conferir os principais riscos de infraestrutura de aplicações web.

 

10 principais riscos de infraestrutura

Risco 01:  ISR01: 2024 – Software desatualizado

Manter o software atualizado é uma etapa básica para quem quer evitar  vulnerabilidades de segurança. Quando se tem um sistema desatualizado, tudo dentro do dispositivo fica exposto a riscos e falhas que podem ser exploradas por invasores.

Soluções: Implementar gerenciamento de atualizações regulares e monitorar fontes de segurança.

 

Risco 02:  ISR02:2024 – Detecção insuficiente de ameaças

A detecção de ameaças é essencial para a segurança cibernética, pois permite identificar ataques antes que causem danos significativos. No entanto, muitos ataques só são detectados quando já afetam os sistemas, como no caso de ransomware criptografando dados. A detecção de ameaças deve ocorrer nas fases iniciais, como acesso ou comando e conquista, para ser eficaz.

Soluções: Implementar sistemas de detecção em diversos pontos da infraestrutura, como SIEM, EDR e firewalls, para monitorar e identificar ameaças precocemente. Quanto mais pontos de monitoramento, maiores as chances de detectar e mitigar ataques rapidamente.

 

Risco 03: ISR03:2024 – Configurações inseguras

Este tipo de risco surge quando o hardware, software ou redes são mal configurados, criando vulnerabilidades e assim, expondo os sistemas a ameaças cibernéticas. Sem uma gestão adequada, essas vulnerabilidades podem ser exploradas facilmente.

Soluções: Realizar auditorias regulares e avaliações de vulnerabilidade, seguir as recomendações de segurança dos fornecedores e fornecer treinamento em segurança cibernética para evitar configurações inseguras.

 

Risco 04: ISR04:2024 – Gestão insegura de recursos e usuários

Quando ferramentas de gerenciamento como Active Directory não são configuradas corretamente, ou quando permissões são mal gerenciadas, surgem vulnerabilidades que podem ser exploradas por invasores. Muitas vezes, os usuários têm mais permissões do que o necessário, o que aumenta o risco de comprometer a segurança.

Soluções: Desenvolver uma estratégia de gerenciamento de acesso, aplicando o princípio do menor privilégio. Ferramentas como Privileged Access Management (PAM) e uma gestão de autorizações estruturada devem ser implementadas para garantir que apenas usuários autorizados tenham acesso a recursos críticos. Auditorias regulares e o gerenciamento de senhas também são aliadas neste tipo de gestão.

 

Risco 05: ISR05:2024 – Uso inseguro de criptografia

A criptografia é uma peça chave na prevenção de vulnerabilidades, mas muitas empresas negligenciam a segurança interna de suas redes. Se os sistemas internos não usarem criptografia adequada, invasores  podem acessar, modificar ou injetar dados, comprometendo contas privilegiadas e causando vazamentos de dados.

Soluções: Garantir que todos os protocolos, ferramentas de comunicação e acesso remoto tenham uma criptografia forte e configurada corretamente. Protocolos inseguros, como Telnet e FTP, devem ser substituídos por alternativas seguras, como SSH e SFTP.

 

Risco 06: ISR06:2024 – Gerenciamento de acesso de rede inseguro

O gerenciamento inadequado do acesso à rede interna, incluindo a falta de separação de rede e controle de acesso, aumenta o risco de ataques cibernéticos, permitindo que invasores se movam lateralmente pela infraestrutura. A ausência de regulamentações e a supervisão insuficiente do tráfego de rede podem permitir o acesso fácil a partes críticas da rede.

Soluções: Implementar soluções como Controle de Acesso à Rede (NAC), segmentação de rede usando VLANs, e supervisão dinâmica do tráfego com base no contexto das camadas de aplicação. O acesso remoto deve ser feito com segurança por meio de VPNs, e a separação de rede deve ser considerada desde a fase de arquitetura.

 

Risco 07: ISR07:2024 – Métodos de autenticação inseguros e credenciais padrão

Senhas fracas e credenciais padrão são vulnerabilidades comuns em sistemas de gerenciamento de identidade e acesso (IAM). A falta de complexidade ou previsibilidade nas senhas aumenta a chance de exploração. Isso expõe sistemas a acessos não autorizados, violação de dados e comprometimento de sistemas críticos.

Soluções: Impor requisitos de complexidade de senha, usar autenticação multifator (MFA) e educar os funcionários sobre práticas seguras. Ferramentas de gerenciamento de senhas podem ajudar a aumentar a segurança.

 

Risco 08: ISR08:2024 – Vazamento de informação

O vazamento de informações ocorre quando dados confidenciais são expostos de forma não intencional ou maliciosa, devido a falhas de segurança ou negligência. Isso devido a configurações de permissões erradas ou o uso de canais de comunicação inseguros. Ameaças internas, como falta de controle de acessos também influenciam no vazamento de dados.

Soluções: A principal solução é implementar criptografia para proteger dados. Também é possível controlar o acesso rigorosamente, garantindo que apenas indivíduos autorizados tenham acesso a informações sensíveis, além de realizar auditorias e treinamentos regulares.

 

Risco 09: ISR09:2024 – Acesso inseguro a recursos e componentes de gerenciamento

A falta de controles adequados de acesso e permissões permite que usuários ou programas não autorizados acessem dados, sistemas ou recursos críticos, como componentes de gerenciamento. Isso ocorre devido a políticas de acesso mal configuradas, permissões excessivas ou autenticação inadequada.

Soluções: Implementar controle de acesso rigoroso com base no princípio do menor privilégio, concedendo apenas permissões mínimas necessárias. Além disso, é possível auditar e revisar regularmente os direitos de acesso para garantir que sejam apropriados para as funções dos usuários.

 

Risco 10: ISR10:2024 – Gestão de Ativos e Documentação Insuficientes

A gestão inadequada de ativos refere-se à incapacidade de uma organização de identificar, rastrear e documentar corretamente seus ativos de hardware e software, incluindo configurações, dependências e ciclos de vida. Isso envolve a falta de um inventário de TI atualizado e organizado, essencial para a segurança, conformidade e eficiência operacional.

Soluções: Criar e manter um inventário completo de hardware e software, com atualizações contínuas, categorizar os ativos conforme sua criticidade para priorizar segurança e alocação de recursos e implementar uma abordagem sistemática para o ciclo de vida dos ativos, desde a aquisição até o descarte.

 

Por que é importante entender os riscos de infraestrutura?

Não apenas através deste projeto da OWASP, mas de uma forma ampla, é preciso ter conhecimento dos potenciais riscos de infraestrutura para aumentar a conscientização sobre os riscos de segurança interna das empresas.

As ameaças, como phishing ou ataques amplos, são frequentemente negligenciadas, apesar de comprometerem com frequência empresas de diversos setores.

A OWASP destaca a importância de mecanismos internos de detecção e monitoramento de ameaças, além de fornecer informações para melhorar a segurança interna e aumentar a conscientização global.

 

Conheça a Vantico

A Vantico é uma plataforma exclusiva e pensada para otimizar a segurança ofensiva e cibernética de empresas parceiras. Cada cliente tem acesso a relatórios personalizados, atualizações em tempo real e um time de especialistas, principalmente em testes de segurança sob demanda.

Clique aqui para saber como o Pentest as a Service e outros serviços da Vantico podem te ajudar.

Siga-nos nas redes sociais para acompanhar nossos conteúdos.