Teste de caneta na Web e aplicativos móveis com ponte de alta tecnologia


Após cinco anos de pesquisa em segurança de aplicativos e aprendizado de máquina, apoiada por uma prática contínua de testes de segurança de aplicativos, a High-Tech Bridge desenvolveu uma plataforma exclusiva de Application Security Testing (AST) chamada ImmuniWeb®.

Essa plataforma premiada fornece às empresas, governos e organizações multinacionais, em mais de 40 países, testes de segurança de aplicativos dinâmicos, estáticos e interativos, monitoramento e conformidade contínuos de segurança. O ImmuniWeb faz parte do PwC TVM Framework, confiável por empresas globais em mais de 158 países.

Ilia Kolochenko, CEO da High-Tech Bridge, é especialista e praticante de segurança cibernética, além de jurista iniciante, cursando seu mestrado em direito na Universidade de Washington em St Louis.

Histórico da empresa

Kolochenko descreve o progresso que levou ao avanço da High-Tech Bridge na tecnologia AST. Durante seu estabelecimento inicial em 2007, a empresa prestou serviços independentes de consultoria e auditoria em segurança cibernética e ganhou grande experiência em serviços de teste de caneta, principalmente para instituições financeiras suíças, organizações internacionais e empresas de luxo. Os resultados foram excelentes. No entanto, Kolochenko admite que, sem criar sua própria tecnologia, uma empresa de cibersegurança crescerá muito lentamente ou precisará revender produtos de terceiros. A revenda é uma ladeira escorregadia, porque frequentemente as empresas oferecem não a melhor solução para o cliente, mas a mais lucrativa em termos de comissões pagas.

Com base no lema inabalável da empresa de consultoria independente do fornecedor, a firme negação de "revenda" levou à aspiração elevada de desenvolver a tecnologia exclusiva da empresa, em colaboração com parcerias de tecnologia em San Francisco, Londres e alguma presença em Cingapura. A empresa é credenciada pelo CREST, permitindo que a High-Tech Bridge realize avaliações de segurança para entidades governamentais do Reino Unido.

Gradualmente, a empresa desenvolveu ImmuniWeb®, uma plataforma de teste de segurança de aplicativos que aproveita a tecnologia de aprendizado de máquina para automação inteligente da verificação de vulnerabilidades de aplicativos. A Plataforma permite que qualquer pessoa em qualquer local configure e inicie os testes de segurança de aplicativos com apenas alguns cliques em um computador ou telefone celular. Nas próprias palavras de Ilia, suas vantagens combinam:

  1. Uma abordagem de teste de segurança híbrida - que correlaciona e sincroniza o manual com o teste automatizado em tempo real. Usando os recursos mais fortes de cada um, criamos uma tecnologia híbrida que reduz o tempo de teste e aumenta a cobertura de confiabilidade e vulnerabilidade; e é rentável para os clientes.
  1. O aprendizado de máquina, que não deve ser confundido com o hype da IA, é um tremendo passo em direção à evolução da tecnologia AST. A automação, como a conhecemos, geralmente produz qualidade reduzida. Embora a automação inteligente via aprendizado de máquina não diminua a qualidade, reduz o tempo humano necessário para testes avançados e consequentemente reduz os custos..
  2. Obviamente, nunca se pode substituir totalmente a mente humana, pois algumas tarefas são muito complicadas. Por exemplo, ao comprar bilhetes de avião em um site, você pode selecionar o número do seu assento e, apesar do seu bilhete de classe econômica, mas com algumas manipulações simples de solicitações HTTP, sente-se na classe executiva. Isso parece claramente uma falha na lógica do aplicativo. No entanto, e se um passageiro de primeira classe puder se sentar na classe executiva? Normalmente, essas perguntas podem ser respondidas apenas por um ser humano familiarizado com os processos de negócios do cliente. É por isso que o ImmuniWeb não tem como objetivo substituir os testes em humanos, mas sim reduzir e otimizar o envolvimento humano sempre que possível.

Posicionamo-nos como uma empresa científica, investindo em pesquisas, mas, criticamente, nossa plataforma é fácil de usar para qualquer pessoa, com ou sem conhecimento técnico..

Quem é seu cliente típico?

Nossos clientes incluem empresas grandes e multinacionais e PMEs, que usam nossa plataforma para testar e proteger seus sites de comércio eletrônico e aplicativos móveis. Nossas parcerias de tecnologia com as maiores empresas de firewall de aplicativos da Web oferecem a nossos clientes instalações instantâneas e confiáveis ​​de correção de vulnerabilidades virtuais.

O Gartner disse que "aplicativos, não infraestrutura, representam o principal ataque vetorial para a exfiltração de dados". Você pode explicar?

A maioria das vulnerabilidades reside no lado do aplicativo, principalmente em aplicativos da Web e móveis. Pouquíssimas empresas decidem criar seu próprio servidor da Web, VPN ou e-mail do zero, e muito poucas existem atualmente. A maioria das vulnerabilidades no seu servidor de email provavelmente foi encontrada e corrigida anos atrás, enquanto as restantes podem levar anos para serem detectadas devido à extrema complexidade. Embora a esmagadora maioria das empresas construa aplicativos móveis e da Web personalizados repletos de vulnerabilidades arriscadas, sua exploração é geralmente trivial e pode ser feita facilmente, mesmo para iniciantes.

Quais são as coisas mais comuns que você procura ao testar aplicativos por segurança?

Existem muitas vulnerabilidades diferentes e suas variações, por isso é difícil apontar algo em particular. Pode-se dar uma olhada na classificação OWASP Top 10 para as vulnerabilidades de aplicativos da Web mais frequentes. As grandes empresas geralmente cometem erros simples. Sendo resistentes a vulnerabilidades clássicas como XSS, CSRF ou várias injeções, eles esquecem de verificar e fortalecer a lógica do aplicativo. Isso pode levar ao uso infinito de códigos de desconto, entrega gratuita de mercadorias ou até reembolsos indevidos. Algumas vulnerabilidades são difíceis de explorar, mas também são difíceis de detectar. Surpreendentemente, muitas empresas grandes (e pequenas) usam senhas padrão ou fracas para contas de administrador, comprometendo sua segurança geral.

Quais são os problemas de segurança mais comuns que você encontra com aplicativos da Web e móveis?

As dez principais falhas da OWASP serão definitivamente as mais numerosas, porém as mais interessantes estão na lógica do aplicativo ou na exploração encadeada de várias vulnerabilidades. Também devemos ter em mente que o OWASP Top 10 pode ser complicado - um XSS simples pode ser detectado mesmo com um scanner de código aberto. No entanto, um XSS baseado em DOM em um aplicativo de página única que requer entrada humana válida (por exemplo, ID do cliente existente e número da conta bancária) pode ser muito complicado de detectar. É aqui que a nossa abordagem híbrida e a tecnologia de aprendizado de máquina entram no jogo.

Quais incentivos existem para os desenvolvedores de aplicativos protegerem seus aplicativos? E quais regulamentos os obrigam a fazê-lo?

Não é apenas sobre aplicativos, mas sobre o gerenciamento geral de segurança cibernética. Hoje, existem quatro princípios básicos e críticos de segurança que todas as empresas devem cumprir:

  • Você precisa ter um inventário completo e atualizado de seus ativos digitais (incluindo software, hardware, dados, contas de usuário e licenças). Se você não tiver, nenhuma solução de segurança cibernética ajudará, porque os invasores encontrarão um dispositivo ou aplicativo esquecido, violarão e começarão a espalhar o ataque.
  • Você precisa realizar uma avaliação de risco abrangente para identificar e avaliar os riscos que você pode e provavelmente irá enfrentar. A estratégia de segurança cibernética deve ser baseada em riscos e adotada para seus riscos, ameaças e processos internos específicos
  • A estratégia de segurança cibernética deve ser claramente definida e baseada em processos e procedimentos bem pensados. As pessoas devem conhecer claramente seus deveres e responsabilidades e ter poder suficiente para tomar decisões e recursos para implementá-las.
  • Uma vez feito, implemente o monitoramento de segurança contínuo para novos riscos, ameaças e vulnerabilidades, bem como a eficácia dos controles de segurança promulgados. É um tópico muito amplo, no entanto, certifique-se de detectar e reagir prontamente a qualquer anomalia ou comportamento incomum, patches ausentes e software desatualizado e novos dispositivos e aplicativos.

Como a IA pode ser usada para reforçar a segurança de aplicativos móveis?

Eu acho que seria mais apropriado falar sobre aprendizado de máquina e automação inteligente, em vez de IA. A IA forte, capaz de substituir um humano, não existe e provavelmente não aparecerá nos próximos dez anos.

A alavancagem das tecnologias de aprendizado de máquina pode reduzir significativamente o tempo humano, reduzir os custos e oferecer melhor valor aos clientes.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

29 − 25 =

map