Notícias DM11

Os rankings OWASP Top 10 e SANS Top 25 mostram quais são as ameaças mais perigosas da internet e como você pode defender seu negócio.

Eles reúnem as principais falhas e brechas em aplicações para ajudar empresas a melhorar suas políticas de segurança da informação e proteger seus dados de vazamentos, perdas e acesso não autorizado. Por isso, servem como referênciapara melhorar as defesas dos seus sistemas e evitar prejuízos financeiros, perda e exposição de informações confidenciais e danos à sua reputação.

Depois de conhecer os riscos listados no OWASP Top 10 e SANS Top 25, você saberá como se proteger e se alinhar aos padrões mais rigorosos do mercado.

Leia com atenção e siga as recomendações de especialistas em segurança.

O que é OWASP Top 10

OWASP é a sigla para Open Web Application Security Project, ou Projeto Aberto de Segurança em Aplicações Web: uma comunidade online que cria e disponibiliza protocolos de segurança da informação. A organização não possui fins lucrativos e tem como objetivo compartilhar metodologias, ferramentas, documentações e tecnologias para ajudar empresas a tornarem suas aplicações mais seguras.

Já o OWASP Top 10 é um documento lançado periodicamente que reúne as principais falhas de segurança de aplicativos web, compiladas por especialistas em SI do mundo todo.

Na última edição, publicada em 2017, foram listadas as seguintes falhas:

1. Falhas na injeção de código em SQL, NoSQL, OS e LDAP, que podem expor os sistemas da empresa a ciberataques e violações de dados;
2. Quebras de Autenticação que comprometem senhas, chaves de segurança e tokens
3. Exposição de dados sensíveis de usuários como informações financeiras, de saúde e religiosas
4. Ataques de Entidades Externas de XML (XML External Entity) que podem levar ao vazamento de dados e negação de serviço
5. Quebras de controle de acesso que podem ser exploradas por crackers para ter acesso a funções e dados não autorizados
6. Configurações incorretas de segurança como nuvens públicas mal configuradas, problemas em cabeçalhos HTTP e mensagens de erro com dados confidenciais
7. Cross-Site Scripting (XSS)
8. Deserialização Insegura, que ocorre quando o processo atua sobre entradas não confiáveis do usuário
9. Utilização de componentes com vulnerabilidades conhecidas (bibliotecas, frameworks e outros módulos de software)
10. Log e Monitoramento Ineficientes que deixam brechas nos sistemas e expõem os dados a ameaças.

Logo, as empresas preocupadas com a segurança de seus dados devem utilizar o OWASP Top 10 como base para mitigar os principais riscos e se defender das ameaças da web, enquanto os desenvolvedores o utilizam para escrever códigos mais seguros.

O que é SANS Top 25

O SANS Institute é um instituto de pesquisa mantido pela empresa norte-americana de cibersegurança SANS, famoso por publicar uma lista com os 25 erros de software mais perigosos da internet — o SANS Top 25.

Nesse caso, o conceito de “perigo” se baseia em critérios como prevalência, importância e probabilidade da exploração de fraquezas em uma aplicação.

Em 2020, o ranking de Common Weakness Enumeration (CWE) listou as seguintes falhas:

1. Restrição Imprópria de entrada durante geração de página da web (Cross-site scripting);
2. Gravação fora dos limites;
3. Validação imprópria de entrada;
4. Leitura fora dos limites;
5. Restrição imprópria de operações dentro dos limites de um buffer de memória;
6. Neutralização imprópria de elementos especiais usados em um comando SQL (injeção SQL);
7. Exposição de informações confidenciais a um ator não autorizado;
8. Uso após liberação de memória;
9. Cross-Site Request Forgery (CSRF);
10. Neutralização imprópria de elementos especiais usados em um comando do sistema operacional;
11. Integer Overflow ou Wraparound;
12. Limitação imprópria de um caminho de arquivo para um diretório restrito; 
13. Desreferenciação de ponteiro nulo;
14. Autenticação imprópria;
15. Upload irrestrito de arquivos com tipo perigoso ;
16. Atribuição de permissão incorreta para recurso crítico;
17. Controle impróprio de geração de código (injeção de código);
18. Credenciais com proteção insuficiente;
19. Restrição imprópria de referência de entidade externa XML;
20. Uso de credenciais com codificação rígida;
21. Desserialização de dados não confiáveis;
22. Gerenciamento impróprio de privilégios;
23. Consumo descontrolado de recursos;
24. Autenticação ausente para função crítica;
25. Autorização ausente.

Para que servem o OWASP Top 10 e SANS Top 25

Os protocolos OWASP Top 10 e SANS Top 25 são importantes referências para aprimorar a segurança da informação nas empresas e proteger os dados do negócio.

Com o crescimento das ameaças online e maior demanda do mercado por medidas de cibersegurança, as organizações precisam de parâmetros e padrões para reforçar suas defesas e evitar vazamentos e violações de dados.

Para você ter uma ideia, entre 2017 e 2019, quase 60% das empresas globais sofreram ciberataques e tentativas de invasão, segundo uma pesquisa de uma empresa de segurança digital publicada na CIO.

Entre as táticas mais usadas contra organizações estão o phishing, infecções por trojans e ransomwares, ataques DDoS e ataques por múltiplos vetores (APTs).

Diante desse cenário, é urgente que as empresas se tornem mais responsivas e se preocupem em conduzir análises de riscos, além de ter seus próprios planos de resposta a incidentes. Nesse ponto, o OWASP Top 10 e SANS Top 25 são excelentes parâmetros para implementar as políticas de segurança da empresa, já que são formulados por desenvolvedores e focam nas áreas críticas do negócio.

6 vantagens de usar o OWASP Top 10 e SANS Top 25 na sua empresa

São inúmeras as vantagens de utilizar o OWASP Top 10 e SANS Top 25 como referências para melhorar a segurança da informação no seu negócio.

Veja o que você tem a ganhar com esses protocolos.

1. Agiliza a proteção do seu negócio

Os rankings OWASP Top 10 e SANS Top 25 podem servir como base para a implementação de uma cultura de segurança da informação e proteção de dados na sua empresa.

Se você está passando por um processo de transformação digital ou quer aprimorar sua segurança, esses protocolos são excelentes critérios para avaliar suas aplicações (expostas ou não na internet) e evitar brechas que podem levar a vazamentos e violações.

2. Permite que você aprenda com os erros alheios

Os riscos relatados no OWASP Top 10 e SANS Top 25 são baseados em incidentes cibernéticos reais que afetaram empresas do mundo todo.

Para selecionar as principais falhas e ameaças, os desenvolvedores responsáveis consideram os ataques e incidentes mais recorrentes, que geram maiores perdas financeiras e ameaçam boa parte dos negócios, independentemente do setor econômico.

Por isso, ao adotar os controles e medidas sugeridos, você aprende com os erros dos outros e consegue mitigar riscos sem precisar sofrer os prejuízos de um vazamento.

3. Otimiza sua verba de SI

Um dos maiores obstáculos para a implementação de políticas e processos de segurança da informação continua sendo a limitação de orçamento.

Nesse sentido, o OWASP Top 10 e SANS Top 25 são especialmente úteis, pois permitem que você se foque nas áreas críticas de melhoria e otimize sua verba de segurança de informação.

Assim, você pode direcionar esforços para as falhas mais comuns e mantém seu negócio protegido sem comprometer as finanças.

4. Evita prejuízos financeiros 

Os protocolos de segurança são o caminho mais seguro para evitar os altos custos das violações e vazamentos de dados.

De acordo com o Relatório de Custos da Violação de Dados 2020, publicado pela IBM, esses incidentes custam cerca de US$ 3,8 milhões para as empresas na média global.

Além disso, os custos das chamadas mega violações, nas quais mais de 50 milhões de registros são comprometidos, atingiram o prejuízo recorde de US$ 392 milhões. No Brasil, o custo médio da violação de dados é de R$ 5,88 milhões — o que representa um aumento de 10,5% em relação aos resultados de 2019.

5. Facilita o compliance

Cada vez mais é exigido que as empresas estejam em compliance com padrões e normas de segurança da informação.

Afinal, fornecedores, parceiros e clientes precisam ter certeza de que seus dados estão protegidos e de que a empresa possui uma estrutura resiliente para lidar com as ameaças e responder a possíveis ciberataques.

Um exemplo atual é a conformidade com a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020 e exige que as organizações implementem um programa de governança e privacidade para proteger dados pessoais.

Outro exemplo é o padrão PCI DSS, que reúne requisitos e controles para a proteção de dados de usuários que pagam com cartão de crédito e faz menção direta ao OWASP Top 10.

6. Ajuda a preservar sua reputação

As consequências de um incidente cibernético vão muito além das perdas financeiras, pois é a reputação do negócio que está em jogo.

Basta se lembrar de escândalos como o vazamento de dados de 50 milhões de usuários do Facebook (2018), 38 milhões de usuários dos programas Adobe (2013) e 57 milhões de motoristas e usuários do Uber (2017).

Esses eventos não geram apenas custos com sistemas de segurança, recuperação de dados e implicações legais, mas também prejudicam diretamente a imagem da empresa e sua credibilidade no mercado — o que pode pesar muito mais no orçamento em longo prazo.

Aplique os critérios do OWASP Top 10 e SANS Top 25 com a DM11

Depois de conhecer os riscos listados no OWASP Top 10 e SANS Top 25 em mente, você deve estar ansioso para proteger seu negócio o quanto antes.

Felizmente, a DM11 possui uma ampla gama de serviços de Governança em TI, Gestão de Riscos e Conformidades (IT-GRC) que atendem aos critérios dos protocolos de segurança e transformam seus sistemas em verdadeiras fortalezas.

Entre as soluções oferecidas, destacamos:

• Análise de riscos para identificar possíveis ameaças;
• Estratégias de recuperação de dados  ;
• CyberSecurity Health Check ;
• Testes de intrusão em infraestrutura, aplicações mobile e aplicações web;
• E-mail Phishing Test;
• Identificação de vulnerabilidades em código-fonte;
• Avaliação de segurança em Firewalls;
• Programa completo de Data Protection & Privacy;
• Serviços de avaliação de segurança na nuvem ;
• Construção de estrutura de cibersegurança personalizada.

Independentemente das suas necessidades, temos soluções de segurança da informação simples, eficientes e adaptadas à cultura do seu negócio.

Viu como é importante ter os protocolos OWASP Top 10 e SANS Top 25 como referência para proteger sua empresa? Para saber mais sobre os riscos e melhores formas de defesa para o seu negócio, fale com um de nossos especialistas