“Pense como um Hacker” - Parte 2

No artigo “Pense como um Hacker” Parte 1, exploramos a mente de um hacker, a abordagem de cadeia de morte, pistas e vulnerabilidades que ele usa para explorar sistemas. Na parte 2, veremos as medidas tangíveis que você pode adotar para melhorar seus processos de desenvolvimento e, ao mesmo tempo, minimizar os riscos nos sistemas criados por você. No final deste artigo, você será desafiado a:

  • Realize uma avaliação de risco;
  • Integre a segurança ao seu ciclo de vida de desenvolvimento;
  • Teste de forma agressiva;
  • Escolha agilidade em vez de força;
  • Mantenha sempre limpo;
  • Coloque na nuvem.

 

Realize uma avaliação de risco

 

Uma avaliação de risco abrangente de todo o seu ambiente, incluindo práticas de desenvolvimento, é o primeiro passo. Os documentos do NIST 800-53 descrevem uma abordagem de avaliação de risco que você pode usar. Se o NIST for muito esotérico, você poderá tentar várias abordagens do setor. Na Anitian, usamos nossa abordagem RiskNow®, que mescla entrevistas com avaliações técnicas.

 

Em geral, use uma avaliação de risco para orientar seus esforços de segurança. A intenção é se concentrar nas áreas de seu(s) sistema(s) que apresentam mais ameaças ou maiores riscos.

 

Integre a segurança em seu ciclo de vida de desenvolvimento

 

Você não pode esperar para proteger um sistema, uma vez que é projetado ou construído. Em vez disso, a segurança deve ser integrada em todas as dimensões do ciclo de vida do desenvolvimento. Para conseguir isso, você deve:

  • Separe os ambientes de desenvolvimento, teste e produção.
  • Crie e siga um processo formal de controle de mudanças.
  • Armazene o código em um repositório seguro, sem acesso compartilhado.
  • Use autenticação multi-fator para todo o acesso ao código de desenvolvimento ou projetos.
  • Realize revisões de código (ou testes de segurança) de qualquer componente de terceiros em seu sistema.
  • Exija que todos os desenvolvedores participem de seminários anuais de treinamento em segurança.
  • Use padrões de codificação seguros, como MISRA C.

 

Teste de forma agressiva

 

Um dos itens mais importantes ao integrar ao seu desenvolvimento é o teste de segurança. Teste em todas as fases:

  • Fase de design: conduza revisões de segurança de sua arquitetura e componentes de terceiros.
  • Fase de desenvolvimento: Varredura de código para vulnerabilidades à medida que é registrada.
  • Fase de teste: Realize testes de penetração ao vivo de sistemas implantados.
  • Produção: ativamente hackear sistemas em um ambiente ao vivo.

 

Escolha agilidade em vez de força

 

Você nunca construirá um muro alto o suficiente para parar todos os hackers, então se concentre em tornar seus sistemas mais ágeis do que difíceis. Se o seu sistema sofreu ataque:

  • Com que rapidez você pode atualizá-lo?
  • Como você saberia que estava sendo atacado?
  • Quais seriam as repercussões de um ataque?
  • Quem lidaria com um ataque?
  • O que aconteceria se a sua criptografia (se você usá-la) fosse quebrada?
  • Existem outras tecnologias, como firewalls, que poderiam mitigar um ataque?

 

Mantenha sempre limpo

 

Para transformar fraquezas potenciais em pontos fortes, siga os seguintes passos:

  • Valide os dados sempre que aceitá-los ou enviá-los.
  • Não permita acesso desnecessário - restringindo todo o acesso apenas ao que é absolutamente essencial.
  • Impeça que aplicativos não confiáveis ​​sejam executados.
  • Limite rigorosamente todo o acesso remoto.
  • Criptografar todos os dados: em repouso e em trânsito.
  • Realize uma verificação de integridade na inicialização.
  • Evite segredos do sistema e divida os componentes do sistema.
  • Remova os recursos de depuração (se possível).
  • Por que o produto faz isso? Se não houver uma boa razão para um recurso, elimine-o.

 

Coloque na nuvem

 

Há uma razão para que 97% das empresas tenham parte ou toda a sua infraestrutura na nuvem. A nuvem permite agilidade, flexibilidade e maior segurança. Use a nuvem para reunir logs, enviar atualizações ou publicar APIs.

 

No entanto, o maior benefício da nuvem é a automação. Você pode construir ambientes inteiros como código e destruí-los e recriá-los por capricho. Isso permite a infraestrutura descartável - isto é, sistemas que podem ser destruídos e recriados a partir de boas imagens conhecidas. Automatizar essa destruição e recriação tem enormes benefícios de segurança. É impossível para um hacker estabelecer persistência em um ambiente se o ambiente desaparecer toda semana. Infraestrutura descartável é um estado final ideal para qualquer sistema complexo.

 

Conclusão

 

Pensar como um hacker exige que você olhe para os sistemas projetados de maneira diferente, incluindo observar o óbvio, entender o erro humano e a indiferença, e entender o que um hacker procura e as pistas que ele usa. Os engenheiros de projeto podem e devem tomar medidas para melhorar os processos de desenvolvimento e minimizar os riscos no projeto de sistemas. Realizar avaliações de risco, integrar segurança ao processo de desenvolvimento, testar, desenvolver infraestrutura descartável automatizada e usar a nuvem são etapas fundamentais que aperfeiçoarão seus processos de desenvolvimento e minimizarão os riscos nos sistemas projetados.

 

Artigo escrito originalmente por Andrew Plato para Mouser Electronics: "Think Like a Hacker" Part 2: Building Secure Systems.

 

Traduzido por Equipe Embarcados.

 

Receba novidades exclusivas da Mouser Electronics

Cadastre-se para receber novidades da Mouser
  • Obs: os dados deste formulário serão repassados à Mouser

 

(*) este post foi patrocinado pela MOUSER ELECTRONICS

NEWSLETTER

Receba os melhores conteúdos sobre sistemas eletrônicos embarcados, dicas, tutoriais e promoções.

Obrigado! Sua inscrição foi um sucesso.

Ops, algo deu errado. Por favor tente novamente.

Licença Creative Commons Esta obra está licenciada com uma Licença Creative Commons Atribuição-CompartilhaIgual 4.0 Internacional.

Mouser Electronics
Mouser Electronics é um dos líderes mundiais em distribuição de semicondutores e componentes eletrônicos e distribuidor autorizado de mais de 500 fornecedores líderes da indústria. Nosso foco é a excelência em serviço ao cliente, oferendo rápida entrega e embarque imediato com a precisão no processo, desde a colocação dos pedidos até a sua entrega. Mouser oferece uma ampla seleção de produtos em estoque para rápido envio a mais de 170 países.

Deixe um comentário

avatar
 
  Notificações  
Notificar