Segurança de Sistemas – WAF ou Código Seguro?

WAF – Web Application Firewall funciona com uma mistura de IPS e Firewall. Existem alguns fornecedores dessa solução, mas o único free que merece atenção é o W3AF. Dentro de um WAF podemos escrever algumas regras que elevam o nível de proteção de uma aplicação web sem precisar reescreve-la, isso porque geralmente um WAF detecta um ataque como sql-injection, xss e outros e derruba a conexão com o sistema.

Muitas empresas consideram essa solução, WAF, para melhorar a segurança de sistemas, pois além de ser mais rápido de implementar possui menor custo em relação a reescrever uma aplicação, que muitas vezes consideramos impossível. Dentro das soluções de mercado que não são gratuitas podemos citar o IMPERVA e o DenyAll que são excelentes ferramentas.

Algumas delas, além de impedir ataques, permitem também monitorar o ambiente interno da empresa para evitar fraudes através dos sistemas protegidos. As fraudes são brechas de segurança, mas nem sempre são brechas tecnológicas e sim da inteligência ou da forma como uma aplicação é construída.

Código Seguro na minha opinião é a  melhor opção para quem não quer gastar muito na hora de considerar a segurança dos seus sistemas. Existem hoje no mercado diversos padrões para se construir um sistema com segurança, o melhor é avaliar e ver qual se adapta aos procedimentos da sua empresa. Eu particularmente gosto muito dos padrões OWASP, BSMM e CMMI misturados com um pouco de PDCA, ISO27001 e ISO15408/1/2/3.

A questão do código seguro é que os gerentes se confundem com o ciclo de desenvolvimento de uma aplicação. A prática de código seguro está atrelado tanto ao ciclo de desenvolvimento do sistema como o próprio ciclo de vida do produto. Isso quer dizer que o trabalho não acaba quando o sistema fica pronto , pois periodicamente, após a entrega do sistema, o mesmo deve ser avaliado e testado para aferir os níveis de segurança e detectar novas vulnerabilidades.

Para concluir, bom mesmo seria se pudéssemos implementar bons processos de codificação segura e também colocar um WAF na frente de nossas aplicações web. Assim estaríamos reduzindo verdadeiramente o risco de ataques, fraudes e prejuízos de diversos tipos.

Abraços!

Fabio Albuquerque

Mais artigos deste autor »

Profissional de TI com mais de 7 anos de experiência, especializado em segurança da informação, análise de sistemas e gestão de projetos. MBA em gestão empresarial pela FGV, Auditor Líder ISO27001, MCSO. PMP,Consultor de Segurança. Empresas em que já atuei: SulAmérica, ANP, Caixa Econômica,Fundação Bradesco, True Access Consulting,VARIG.


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!