office
  • 09

    Mar, 2015

    Verificação Interna vs. Externa: Uma Análise Objetiva

    Artigos
  • Para o primeiro artigo deste blog resolvi tocar em um assunto raramente abordado: As diferenças entre verificações de segurança internas e externas. Neste artigo iremos usar o Dilema da Guarita aplicado na segurança de WebSites para destacarmos os pontos positivos e negativos de ambas as aproximações.

    O Dilema da Guarita

    Este dilema é perfeito para nossa comparação. Imagine o seguinte cenário: há dois imóveis, um com um segurança dentro, e outro com um segurança em uma guarita próxima.
    O segurança da guarita até pode olhar para o imóvel e falar "aparentemente, tudo certo aqui", mas infelizmente ele está limitado ao que pode ser visto externamente. Somente um segurança dentro do imóvel pode afirmar com mais precisão a situação atual do imóvel.

    Verificações Externas

    No âmbito da segurança para websites, as verificações externas sem dúvidas dominam o mercado. Isso se da principalmente pelo fato de ser muito mais fácil visitar um site e dizer "parece estar tudo certo!". Infelizmente, assim como no Dilema da Guarita, há sempre uma miopia que se manifesta neste tipo de verificação.

    Verificações externas normalmente podem ser divididas em três categorias:
    -Enumeração: listar todos os scripts e programas tentando identificar algo desatualizado com vulnerabilidades públicas;
    -Tentativa de Invasão: tentar de forma pouco inteligente invadir o site fazendo milhares de tentativas pouco controladas em todas as formas de input de dados;
    -Monitoramento: constantemente visitar o site procurando por sinais de invasão.

    Algumas empresas até se gabam por 'executar mais de 30 mil testes diários' no site do cliente. Mas na verdade estes testes são puco eficientes quando não se trata de uma 'vulnerabilidade gritante'. Sem contar que não é incomum estes testes causarem problemas ao site como, por exemplo, lotar a caixa de entrada de email do site por um brute force no form de contato.
    Estes métodos também perdem a eficiência porque a maioria das hospedagens bloqueiam os testes devido a grande quantidade de requisições sendo feitas. Sem contar que o administrador do site vai ter dificuldade para identificar o que foi uma tentativa de invasão real, de um dos milhares de 'testes diários'.
    Neste momento nos afastamos da analogia ao nosso dilema pois um segurança em uma guarita até tem alguma chance de detectar uma tentativa de invasão em progresso.

    O mérito para verificações externas fica no Monitoramento. Neste caso, um acesso externo ao site pode com maior facilidade detectar se o mesmo sofreu um deface [pichação] pois ele vai estar vendo o resultado da execução de todos os scripts internos do site normalmente levando em consideração o conteúdo da base de dados. Infelizmente, o administrador do site só é avisado quando já é tarde demais.

    Verificações Internas

    As verificações internas se diferem por serem baseadas no escaneamento dos arquivos do site de forma estática, assim como a possibilidade da implementação de um Web Application Firewall. Ao monitorar modificações de arquivos, esse tipo de verificação normalmente é decisivo para detectar invasões antes que o Cracker possa atingir seu objetivo.

    De forma mais objetiva, só a segurança interna pode:
    -Gerar alertas caso qualquer arquivo do seu site seja modificado;
    -Mostrar em tempo real o que está acontecendo em seu site, assim como tentativas de invasão;
    -Procurar ativamente por código malicioso nos arquivos de seu site baseado em heurística, keywords e até via o checksum (hash) do arquivo em questão;
    -Bloquear automaticamente tentativas de invasão ou parar uma invasão antes que seja tarde.

    Como único ponto negativo temos uma pequena dificuldade para detectar invasões baseadas única e exclusivamente em banco de dados.

    Conclusão

    Embora 80~90% das empresas que fornecem Selo de Segurança sejam baseadas única e exclusivamente em verificações externas, fica evidente que são muito pouco efetivos seus esforços para deixar um site mais seguro.
    Estas empresas até podem ser uma opção viável caso você tenha um site simples ou um blog sem fins lucrativos. Caso você esteja rodando uma loja virtual ou outro tipo de e-comerce, é indispensável contar com algum tipo de Segurança Interna.

    VexGuard Monitor®

    Nós nos diferenciamos do mercado por sermos pioneiros na implementação de segurança interna a um preço acessível e compatível com a maioria dos websites. Sem a necessidade da instalação de hardware, daemons, mudança de DNS ou compartilhamento de senhas.
    Nosso sistema exclusivo de segurança interna é complementado com diversas verificações externas de segurança. Juntando o melhor dos dois mundos.
    Quer saber mais? Acesse a página do nosso produto!