Open Web Application Security Project

A Open Web Application Security Project21 _{(OWASP) é uma entidade sem fins} lucrativos e de reconhecimento internacional, que contribui para a melhoria da segurança de

softwares aplicativos reunindo informações importantes que permitem avaliar riscos de segurança e combater formas de ataques através da internet (OWASP, 2013). Uma maneira de validar a segurança em aplicações seria a utilização de testes de intrusão nas aplicações, técnica denominada “PENTEST”, uma forma condicionada de realizar os testes seria

utilizando a metodologia OSSTMM22 (Open Source Security Testing Methodology Manual).

Os estudos e documentos da OWASP são disponibilizados para toda a comunidade internacional, e adotados como referência por entidades como U.S. (United State) Defense Information Systems Agency (DISA), U.S. Federal Trade Commission, várias empresas e organizações mundiais das áreas de tecnologia, auditoria e segurança.

O trabalho mais conhecido da OWASP é sua lista “The Top 10 Most Critical Web Application Security Risks”, que reúne os riscos de ataque mais críticos exploráveis a partir de vulnerabilidades nas aplicações Web. Neste sentido a OWASP possui uma documentação específica para segurança de computação em nuvem chamada “List of OWASP Cloud Top 10 Security Risks”, os dez riscos enfatizados pela OWASP para segurança em nuvem são (OWASP_CLOUD, 2010):

• Risco 1 – Responsabilidade e propriedade de dados: Um datacenter tradicional de uma organização está sob completo controle da organização. As organizações lógica e fisicamente protegem os dados que elas possuem. Uma organização que escolher utilizar uma nuvem pública para hospedar seu serviço de negócio perde o controle de seus dados, especificamente de forma física. Isto representa riscos críticos de segurança que a organização precisa considerar com cuidado e mitigá- los.

É preciso admitir sobre a garantia de recuperação de dados. Uma vez que os dados são confiados a um provedor terceiro, a organização deve questionar-se sobre quais são as garantias que o provedor vai utilizar para recuperar a informação? E sobre os backups realizados pelos provedores na nuvem?

• Risco 2 – Identidade de usuário federado: É muito importante para as empresas manterem o controle sobre as identidades dos usuários. Os usuários devem ser exclusivamente identificáveis com uma autenticação federada (por exemplo, SAML – Security Assertion Markup Language) que funciona através dos provedores de nuvem para criar um método centralizado de autenticação.

• Risco 3 – Conformidade regulatória: Os dados que são compreendidos para serem seguros em um país não podem ser compreendidos seguros em outro, devido as diferentes leis regulatórias entre os países ou regiões. Por exemplo, a União Europeia (UE) tem leis muito rígidas de privacidade e, portanto, os dados armazenados nos EUA podem não respeitar as leis da UE.

• Risco 4 – Resiliência e continuidade de negócio: Continuidade de negócio é uma atividade que a organização tenta garantir para que o negócio possa ser realizado em uma situação de desastre. No caso de uma organização que usa nuvem, a responsabilidade da continuidade do negócio fica delegada ao provedor de nuvem. Isso cria um risco para a organização de não ter continuidade de negócio adequado. Sobre continuidade de serviço e níveis de qualidade, é necessário garantir as soluções contratuais que foram propostas e acordadas pelo operador de nuvem com o cliente respeitando o acordo de nível de serviço.

• Risco 5 – Privacidade do usuário e uso de dados secundários: Dados pessoais de usuários ficam armazenados na nuvem. Assim, o provedor de nuvem pode definir políticas de acesso para usuários que acessam dados secundários, como sites de redes sociais. Por exemplo, através de redes sociais como LinkedIn23, Twitter24, Facebook25 é muito fácil deduzir dados pessoais dos usuários. Com isso, há uma necessidade de assegurar com o provedor de nuvem que dados podem ou não serem usados pelos usuários para fins secundários. Muitos provedores de aplicações de redes sociais utilizam dados do usuário para, por exemplo, uso secundário dirigido à publicidade. Percebe-se esse fato quando fazemos buscas por lugares para possíveis férias, e imediatamente começam a aparecer anúncios em hotéis e voos próximos ao seu destino.

• Risco 6 – Integração de serviços e dados: As organizações devem ter a certeza de que seus dados estão devidamente protegidos, uma vez que são transferidos entre o usuário final e a nuvem. Enquanto a intercepção de dados em trânsito deve ser motivo de preocupação para toda a organização, o risco é muito maior para as organizações que utilizam um modelo de computação em nuvem, onde os dados são transmitidos através da Internet. Dados inseguros são suscetíveis à interceptação e compromisso durante a transmissão.

23 _{Disponível em: <http://www.linkedin.com>} 24 _{Disponível em: <http://twitter.com>} 25 _{Disponível em: <www.facebook.com>}

• Risco 7 – Segurança física e multi-tenancy: Multi-tenancy em nuvem significa a partilha de recursos e serviços entre os vários clientes (CPU, armazenamento, redes, bancos de dados, pilha de aplicativos). Ela aumenta a dependência de segregação lógica e outros controles para garantir que um hóspede deliberado ou inadvertidamente não pode interferir com a segurança (confidencialidade, integridade, disponibilidade) dos outros hóspedes.

• Risco 8 – Análise de incidentes e suporte à forense: Em caso de um incidente de segurança, aplicativos e serviços hospedados em um provedor de nuvem são difíceis de serem investigados, os registros podem ser distribuídos através de múltiplos hosts e centros de dados que podem ser localizados em diversos países e, portanto, regido por leis diferentes. Além disso, juntamente com os arquivos de log, os dados pertencentes a vários clientes podem ser co-localizados nos mesmos hardwares e dispositivos de armazenamento e, portanto, uma preocupação com a lei que imponha a agência de recuperação judicial.

• Risco 9 – Segurança em infraestrutura: Toda a infraestrutura deve ser fortalecida e configurada de forma segura, e as linhas de base de fortalecimento/configuração devem ser baseadas em melhores práticas da indústria. Aplicações, sistemas e redes devem ser projetadas e configuradas com hierarquização e zonas de segurança, e de acesso deve ser configurado para permitir apenas requisitos essenciais de rede e protocolos de aplicação. O acesso administrativo deve ser baseado em função, e concedido com base na necessidade de autorização. As avaliações de riscos regulares devem ser feitas, de preferência por entidades terceiras especializadas. Uma política de segurança deve contemplar o processo e a aplicação de patches/atualizações de segurança, e pode, com base no risco, realizar avaliação de novas questões de segurança.

• Risco 10 – Exposição do ambiente a não produção: Uma organização de TI que desenvolve aplicativos internamente emprega um conjunto de ambientes de não produção para atividades de concepção, desenvolvimento e teste. Os ambientes de não produção geralmente não são fixados ao mesmo nível que o ambiente de produção. Se uma organização usa um provedor de nuvem para o ambiente de não- produção, então há um alto risco de acesso não autorizado, modificação e roubo de informações.

desenvolvidas por instituições que se envolvem com tecnologia, seja em um contexto operacional ou estratégico, como exemplo, do ISACA26 que tem trabalhado em publicar documentações que fomentam a segurança em computação em nuvem, um desses documentos é para objetivos de controles de TI para segurança em nuvem (ISACA, 2011).