A vulnerabilidade de aplicativos da web é um ponto fraco ou uma falha de design dos aplicativos da web que os invasores podem explorar para:

• Roubar informações confidenciais de empresas e indivíduos.
• Excluir milhões de tabelas em milhares de bancos de dados.
• Registrar os pressionamentos de tecla pelas ondas no ar.
• Atuar como um servidor proxy para ocultar as identidades dos invasores.

Empresas e segmentos de mercado contam com scanners de vulnerabilidade populares (gratuitos e comerciais) para identificar as vulnerabilidades dos aplicativos da web. Muitas vezes a mesma empresa pode encontrar diferentes scanners executando em diferentes estações de trabalho clientes.

Uma abordagem melhor é acessar um scanner de vulnerabilidade orientado por Software as a Service (SaaS) para garantir a consistência da avaliação e correção da vulnerabilidade.

Um exemplo é o QualysGuard, uma solução de conformidade com políticas e gerenciamento de vulnerabilidades on demand que segue o modelo SaaS. Ele oferece detecção e mapeamento de rede, priorização de ativos, relatório de avaliação de vulnerabilidade e rastreamento de correção de acordo com as prioridades dos riscos de negócio. O lado negativo é que o Qualys funciona melhor com websites que contêm pouco ou nenhum JavaScript.

Em contraste, o IBM® Rational® AppScan OnDemand Production Site Monitoring, que usa o modelo SaaS, é bem adaptado à verificação de vulnerabilidade de websites que empregam uma quantidade significativa de JavaScript. É a versão mais avançada do IBM Rational AppScan OnDemand para aplicativos específicos. Ambos são parte da linha de produtos Rational AppScan projetada para fornecer gerenciamento de vulnerabilidade de aplicativo abrangente em todo o ciclo de vida do aplicativo, desde os requisitos até o design, código e produção.

Uma vez que o número e o conteúdo de aplicativos a serem testados quanto a vulnerabilidades varia entre os usuários de SaaS, uma política de mitigação de vulnerabilidade de aplicativo da web orientada por SaaS é necessária. Os usuários podem desejar testar:

• Apenas um aplicativo específico (relatórios de progresso de paciente) que foram corrigidos.
• Um conjunto de aplicativos (rastreamento de paciente, suprimentos hospitalares) desenvolvido para um website (no segmento de mercado de saúde).
• Aplicativos através de websites (em saúde, engenharia química, aquisição) quanto a vulnerabilidades.

Este artigo descreve a visão do modelo SaaS na teoria e na realidade e mostra como criar uma política de mitigação de vulnerabilidade de aplicativo da web orientada por SaaS.

A visão do modelo SaaS

Com o modelo SaaS, o único controle que um usuário final de SaaS tem é acessar o AppScan OnDemand ou o AppScan OnDemand Production Site Monitoring a partir de um desktop ou laptop. Um ponto negativo desse modelo é que o usuário final não tem permissão para controlar os aplicativos, sistemas operacionais, armazenamento e rede. Apenas a IBM, como provedor de SaaS, os controla.

Quem são os usuários de SaaS?

Os usuários de SaaS são divididos de um modo geral em três grupos: usuários não técnicos, desenvolvedores de aplicativos e responsáveis pela manutenção de website. cada grupo possui necessidades diferentes do modelo SaaS:

• Usuários não técnicos usam o modelo SaaS para verificar um aplicativo da web específico. Esse aplicativo pode ser um que tenha sido corrigido ou atualizado.
• Os desenvolvedores de aplicativo em uma equipe usam o modelo SaaS para verificar os aplicativos que eles transferem da fase de desenvolvimento para a fase de teste do gerenciamento de ciclo de vida. Esses desenvolvedores podem estar em diferentes locais geográficos.
• Os responsáveis pela manutenção de website usam o modelo SaaS para monitorar os websites de produção através de diversos aplicativos e domínios quanto a vulnerabilidades. Eles procuram vulnerabilidades introduzidas após os desenvolvedores iniciarem os aplicativos publicados em sites de produção.

Rational AppScan OnDemand

Usuários não técnicos podem usar o Rational AppScan OnDemand para prevenir de maneira proativa as vulnerabilidades após identificá-las e priorizar as vulnerabilidades de um aplicativo específico. Os desenvolvedores de aplicativo podem usá-lo para verificar um conjunto de aplicativos que tenham desenvolvido quanto a vulnerabilidades antes de publicarem-nos em sites de produção da web.

Rational AppScan OnDemand Production Site Monitoring

Os responsáveis pela manutenção de website usam o modelo SaaS para evitar vulnerabilidades identificando e priorizando continuamente os riscos de segurança inerentes em um conteúdo da web dinâmico através de diversos aplicativos e domínios. O Rational AppScan OnDemand Production Site Monitoring fornece permissões de verificação e acesso de relatório com base em função e utiliza um subconjunto não invasivo da política de teste AppScan sem logins para garantir a verificação segura de sites de produção.

Quando combinado com outra solução Rational AppScan para teste de código ou para verificação de aplicativo da web pré-produção, o Rational AppScan OnDemand Production Site Monitoring conclui uma estratégia para testar a segurança em todo o ciclo de vida do aplicativo.

Voltar para parte superior

A visão do modelo SaaS na realidade

Quando os requisitos de negócio mudam, os requisitos de usuário e limite para o modelo SaaS mudam. Se você estiver usando o Internet Explorer® ou o Firefox para acessar o modelo SaaS, cada um tem suas armadilhas.

Alterando os requisitos do usuário

O único controle que os usuários de SaaS têm é de acessar o aplicativo SaaS, o número de usuários não técnicos que podem acessar simultaneamente o aplicativo está limitado por uma licença de usuário. O assinante de SaaS pode negociar com o provedor para alterar os requisitos do usuário elevando o limite máximo de usuários simultâneos em uma nova licença. Usuários não técnicos não têm permissão para alterar os aplicativos a serem testados quanto a vulnerabilidades.

Uma vez que os desenvolvedores de aplicativo têm controle sobre o ciclo de vida de negócios do desenvolvimento de aplicativo, eles podem alterar ou adicionar as tarefas que os usuários de SaaS desejam em um aplicativo ou website. Para cada alteração no comportamento do aplicativo ou do website, os desenvolvedores devem realizar detecção, verificação e correção de vulnerabilidade on demand.

Os responsáveis pela manutenção do website têm controle sobre os websites. Eles devem responder aos requisitos em mudança dos usuários não técnicos e dos desenvolvedores de aplicativo depois de os desenvolvedores terem iniciado aplicativos novos ou atualizados. Os responsáveis pela manutenção do website devem alterar as configurações do site para permitir a expansão dos recursos, que podem ser dinamicamente ampliados e reduzidos. Os usuários não técnicos de desenvolvedores de aplicativo não têm permissão para fazer alterações às configurações do website.

Alterando os requisitos de limite

Os assinantes de SaaS devem ter controle sobre os requisitos de limite de uso que definem o número de usuários simultâneos acessando o aplicativo até o limite especificado em uma licença do usuário do provedor abaixo ou até o nível do limite. Eles devem negociar com o provedor para aumentar o limite do usuário na licença de usuário.

O provedor tem controle sobre a política de limite de recursos que garante que o consumo de recursos seja dinamicamente equilibrado para os aplicativos a serem testados quanto a vulnerabilidades. O assinante de SaaS deve negociar com o provedor a quantidade de recursos dinâmicos alocados a cada usuário, dependendo da função de cada usuário (usuários não técnicos, desenvolvedor de aplicativos, responsável pela manutenção do website).

O provedor tem controle sobre os limites de solicitação de dados que garantem solicitações de dados aos aplicativos possam ser processadas imediatamente abaixo do nível de limite ou no nível de limite. O assinante de SaaS deve negociar com o provedor quanto à alteração do número máximo de solicitações de dados. O máximo que pode ser ampliado depende da função de cada usuário e da alocação dos recursos para usuários de SaaS.

Evite armadilhas com o IE e o Firefox

O Internet Explorer e o Firefox são os dois navegadores mais populares usados para acessar o Rational AppScan OnDemand e o Rational AppScan OnDemand Production Site Monitoring. A escolha do navegador é de acordo com a preferência do usuário.

Embora o Firefox seja mais rápido que o Internet Explorer para carregar páginas quando inicia, uma armadilha é que ele pode resultar em alto consumo de memória. O Firefox pode contribuir para o de memória com mais rapidez que o Internet Explorer. Quando o Firefox está ocioso, ele não para de aumentar o consumo de memória.

O consumo de memória pelo Firefox é influenciado por estas variáveis:

• Quais complementos e extensões foram incluídos no Firefox.
• Por quanto tempo você usa o Rational AppScan para testar aplicativos da web e monitorar os websites quanto a vulnerabilidades.
• Por quanto tempo o Firefox fica ocioso quando você não o está utilizando.
• Quais outros aplicativos você está usando no seu desktop ou laptop.
• Quantas CPUs e qual é quantidade máxima de memória para cada uma.
• O tempo total que um usuário de SaaS está usando o Rational AppScan para testar aplicativos quanto a vulnerabilidades.

Quando a memória se aproxima do limite máximo de CPUs, o navegador começa a desacelerar.

Para evitar as armadilhas de alto consumo de memória do Firefox, siga sete etapas sugeridas:

1. Faça o log-off do Rational AppScan OnDemand e do Rational AppScan OnDemand Production Site Monitoring imediatamente quando tiver concluído o teste de vulnerabilidades.
2. Ative o Windows Task Manager.
3. Acesse a guia Processes.
4. Procure as imagens firefox.exe (e iexplore.exe) (e veja como o consumo de memória aumentou para cada um).
5. Realce os processos do Firefox.
6. Clique no botão End Process na parte inferior do gerenciador de tarefas.
7. Clique no botão End Process novamente quando for perguntado se ainda deseja encerrar os processos.

Em seguida, reinicie o navegador. São necessárias permissões para instalar os Active X Controls/plugins do Firefox .

Voltar para parte superior

Como você criaria uma política para isso?

Uma vez que os aplicativos da web a serem testados quanto a vulnerabilidades podem variar com base no grupo ao qual o usuário pertence (usuários não técnicos, desenvolvedores de aplicativos e responsáveis pela manutenção do website), é preciso criar uma política de mitigação de vulnerabilidade de aplicativo da web orientada por SaaS que possa ser aplicada a todos os usuários SaaS.

Nesse cenário simplificado de criação da política, aqui estão algumas dicas para cada item da lista de verificação que você deve incluir na política:

• Finalidade: Do que se trata?
• Escopo: Traçar um limite em torno da sua política.
• Segundo plano: Quer saber mais?
• Ações: Arregace as mangas.
• Restrições: Trabalhe com elas

Finalidade: do que se trata?

Para alcançar a meta de implementar uma política de segurança, indique brevemente qual é a finalidade da política de segurança. É possível usar um modelo como este para dar uma ideia de como declarar a finalidade:

Escopo: traçar um limite em torno da política

Defina o escopo "desenhando" uma fronteira em torno da política de segurança. Dentro desses limites, especifique quais usuários finais são englobados na política e se eles representam empresas ou agências do governo. Especifique quais são os níveis de limite máximo e ideal de usuários, dados e recursos, quais requisitos do usuário devem ser atendidos e como as vulnerabilidades são identificadas e monitoradas.

O provedor precisa descobrir se o cliente permanecerá dentro dos limites (cumprirá os termos da política de segurança sobre os controles de acesso) ao acessar o Rational AppScan OnDemand e do Rational AppScan OnDemand Production Site Monitoring. Se o consumidor não respeitar o limite depois de ter concordado em respeitá-lo, o usuário do dispositivo móvel corre o risco de violar a política. Neste caso, o provedor precisa indicar as consequências de não obedecer para garantir que o consumidor permaneça dentro dos limites.

Aqui está um modelo para usar ao definir o escopo:

Segundo plano: veja o que há por trás da política

As primeiras coisas que um cliente quer saber são se o provedor é interno ou externo e quais são os limites do gerenciamento de controles entre o provedor e um usuário de SaaS (por exemplo, o usuário final de SaaS tem o controle final), como o provedor iria gerenciar os controles de acesso, fornecer proteção dos dados, gerenciar máquinas virtuais e responder a ataques à segurança da nuvem ou incidentes em dispositivos móveis.

O usuário de SaaS deseja saber como a política de segurança cobre os problemas de restauração do sistema (e usuário, dados e níveis de limite de recursos) para laptops e quão rapidamente ele obtém créditos, tempo gratuito ou o direito de encerrar, conforme estabelecido no SLA.

O usuário de SaaS deseja saber como acessar o IBM Security Bulletin sobre possíveis vulnerabilidades de qualquer produto Rational AppScan e as correções para eliminar essas vulnerabilidades.

Eis um modelo que pode ser usado para dar uma ideia do que incluir.

Ações: Arregace as mangas

Aqui estão sete sugestões para ações a serem tomadas para deixar os consumidores satisfeitos:

• Ação nº 1. Enviar aos clientes cópias da política de mitigação de vulnerabilidade de aplicativo da web orientada por SaaS para revisão e questões a serem sanadas antes de o consumidor inscrever-se para um Rational AppScan OnDemand e Rational AppScan OnDemand Production Site Monitoring.
• Ação nº 2. Indicar em uma licença do usuário SaaS o limite máximo de usuários concomitantes, as instâncias de recursos para esses usuários e as solicitações de dados que cada usuário pode manipular.
• Ação nº 3. Indicar que tipos de vulnerabilidade o Rational AppScan OnDemand e Rational AppScan OnDemand Production Site Monitoring podem verificar.
• Ação nº 4. Exibir verificações no segundo plano de todos os usuários na nuvem pretendidos antes de conceder a eles acesso à nuvem. A profundidade das verificações no segundo plano depende do tipo de aplicativo o a ser testado quanto a vulnerabilidades e o tipo de segmento de mercado que os usuários pretendidos representam.
• Ação nº 5. Exigir programas de treinamento para usuários da nuvem aprovados sobre conscientização sobre segurança e rotulagem e manipulação de dados após a conclusão dos testes de vulnerabilidade.
• Ação nº 6. Fornecer aviso prévio sobre manutenção programada ou atualizações à infraestrutura de hardware, software e redes subjacente ao modelo com base em SaaS.
• Ação nº 7. Avisar para usar dados simulados ou de teste ao testar software quanto a vulnerabilidades. O uso de dados confidenciais é proibido.

Estes são alguns modelos que podem ser usados:

Restrições: trabalhe com elas

Provavelmente haverá restrições durante o processo, como:

• Questões de prioridade de serviços para diferentes grupos de consumidores, dependendo das funções atribuídas pela organização aos consumidores. Um usuário final com privilégios administrativos tem uma prioridade maior sobre o usuário final que não tem privilégios administrativos para acessar um aplicativo SaaS.
• Alteração nos grupos de governança de gerenciamento. Para refletir mudanças, atualize a política de segurança, as políticas de limite e o SLA.
• Exceções de serviço a um tipo de serviço em nuvem. Aqui está uma dica: acidente de corte de fibras óticas que não esteja dentro do controle direto do provedor, manutenção programada (planejada e não planejada) e atualizações comportamentais proativas planejadas a aplicativos.
• Penalidades de segurança por não obedecer a todos os termos e condições da política de segurança. Especifique as consequências da não obediência à política de segurança e às regulamentações da política de TI.

Aqui estão alguns modelos que podem ser usados.

Voltar para parte superior

Em conclusão

A criação de qualquer política de segurança requer planejamento antecipado para solucionar os problemas sobre como a finalidade, o escopo e o segundo plano da política devem ser definidos: uma vez que os dados obviamente possuem mais que uma chance de serem expostos em um ambiente em nuvem, criar uma política de segurança de aplicativo da web potente é necessário.

Os desenvolvedores devem se comunicar com o consumidor e o provedor de serviços de nuvem sobre as questões quanto controle um consumidor deverá ter, que ações o provedor deverá tomar e quais são as restrições à política. Mais importante de tudo, o consumidor deverá receber uma cópia da política de segurança (bem como as cópias das políticas de limite) do provedor para analisar e levantar questões a serem resolvidas antes da negociação com o provedor.

Recursos

Aprender

• O autor discute as quatro variáveis que moldam uma política de segurança móvel de nuvem no artigo "Craft security policy for mobile devices."
  
  
• Saiba mais sobre o IBM Rational AppScan OnDemand e Production Site Monitoring.
  
  
• A autora trata da política de limite nos artigos "Balancear Carga de Trabalho em um Ambiente de Nuvem: Usar políticas de limite para balancear dinamicamente demandas de carga de trabalho," "Computação em nuvem versus computação em grade: tipos de serviço, similaridades e diferenças e outros aspectos a serem considerados" e Crie políticas de limite proativas na nuvem."
  
  
• A autora discute maneiras proativas contra reativas de fazer alterações em aplicativos ao migrá-los para a nuvem no artigo "Altere o comportamento dos aplicativos: dos aplicativos internos para a nuvem."
  
  
• A autora discute segurança de serviços em nuvem e como mitigar riscos em serviços de nuvem para garantir alta disponibilidade do tempo de atividade no artigo "Serviços em nuvem: reduza os riscos, mantenha a disponibilidade."
  
  
• O autor discute três etapas proativas para garantir o desempenho da nuvem — monitoramento, teste e criação de política— no artigo "Crie uma política de métricas de desempenho da nuvem."
  
  
• Nos recursos para desenvolvedores de nuvem do developerWorks, descubra e compartilhe o conhecimento e a experiência dos desenvolvedores de aplicativos e serviços que estão criando os seus projetos de implementação de nuvem.
  
  
• Nos Recursos do desenvolvedor do Rational , descubra e compartilhe conhecimento e experiências de recursos técnicos e práticas recomendadas para a plataforma de entrega do software Rational. Há uma subseção para tecnologias Rational AppScan.
  
  
• Mais recursos do developerWorks que correspondem a este artigo podem ser localizados em SOA e serviços da web no developerWorks e segmentos de mercado no developerWorks.
  
  
• Descubra como acessar o IBM SmartCloud Enterprise.
  
  

Obter produtos e tecnologias

• Consulte a as imagens do produto disponíveis para IBM SmartCloud Enterprise.
  
  

Discutir

• Faça parte de um grupo de computação em nuvem no developerWorks.
  
  
• Leia toda a excelentes blogs sobre nuvem no developerWorks.
  
  
• Faça parte do Comunidade do developerWorks, uma rede profissional e conjunto de ferramentas comunitárias para conectar, compartilhar e colaborar.
  
  

Sobre o autor

Classificar este artigo

Comentários

Voltar para parte superior

Índice

• A visão do modelo SaaS
• A visão do modelo SaaS na realidade
• Como você criaria uma política para isso?
• Em conclusão
• Recursos
• Sobre o autor
• Comentários

Conheça a IBM da sua cidade

A IBM está mais perto do que você imagina!

---

Saiba mais