Mito 4: Firewall protege tudo

O Firewall nos protege de todos os ataques externos

Quando as empresas começaram a utilizar a internet como ambiente de negócios, tiveram que expor seus servidores e dados para a rede mundial de computadores. Desde então, muitos esforços foram feitos para desenvolver soluções de segurança que protegem a infraestrutura de rede da organização que suporta o ambiente das aplicações web, incluindo o acesso à rede, aos servidores, e ao banco de dados.

O Firewall, por exemplo, se configurado corretamente, consegue de fato barrar as tentativas de ataques a partir de acessos não autorizados ao ambiente e pela rede. O Firewall é um recurso absolutamente necessário e indispensável, mas, infelizmente, o que ocorre é que os ataques atualmente também são realizados a partir de canais de acesso autorizados, ou seja, a partir do roubo de identidades válidas, que podem passar pelo Firewall.

Por exemplo, usando técnicas de “phishing”, ou outras como a engenharia social, ou explorando hábitos inseguros do próprio usuário na criação de senhas, um Agente Malicioso pode obter uma identidade de usuário e facilmente lançar um ataque com credenciais válidas, e assim passará despercebido pelo Firewall. Combater o roubo de identidades e seu uso em várias formas maliciosas é um desafio constante da Gestão da Segurança da Informação.

Há também o Firewall de Aplicação (Web Application Firewall, ou WAF), um recurso recente que monitora o acesso de usuários para identificar tentativas de ataque a partir de assinaturas conhecidas, mas mesmo este recurso não será suficiente em 100% dos casos. Para ser efetivo, o WAF exige profissionais qualificados para sua adequada administração e operação, incluindo fazer um tunning de funções, e uma constante atualização da base de ataques conhecidos.

Como recursos de proteção de tráfego, o Firewall e o WAF podem ser também afetados por técnicas que exploram vulnerabilidades na infra-estrutura. Se forem desativados, ou tiverem sua melhor configuração alterada, ou ainda se puder ser contornado (bypass), o acesso à aplicação web estará desprotegido. Se houver vulnerabilidades exploráveis pela execução da aplicação web, estará montado o cenário de risco de ataques.

Além do mais, sistemas de proteção de rede e de infraestrutura, apesar de essenciais para qualquer ambinete crítico, não fornecem os benefícios alcançados por sistemas que testam e avaliam a segurança, quer seja de infra, quer seja de aplicações. Eles se concentram em regras de comportamento padrão de uso, como vigilantes do tráfego de usuários, enquanto os outros sistemas se concentram em identificar brechas de segurança no ambiente em produção.

Os sistemas de Firewall e WAF não identificam falhas de lógica na execução da aplicação web, e não oferecem suporte para restaurar as vulnerabilidades existentes na aplicação, que é a camada mais exposta ao ambiente da internet. Agem, portanto, em uma outra abordagem da segurança.

De fato, não há sistemas totalmente seguros, e na medida em que integram-se vários sistemas com possíveis falhas individualmente, os riscos se multiplicam ante uma falsa impressão de segurança.

Daí a necessidade de adotar processsos para testar continuamente a segurança do seu ambiente de negócios na internet, identificar vulnerabilidades, e orientar as ações de melhoria imediatas que restauram os níveis esperados de segurança.

Já dissemos em outros artigos que de nada valem os esforços de segurança em infra-estrutura, se as aplicações web apresentarem vulnerabilidades exploráveis.