Segurança avançada de sessão Enfrentando o risco de sequestro de sessão

Transcrição

1 Segurança avançada de sessão Enfrentando o risco de sequestro de sessão 1

2 Novas tecnologias representam novos desafios de segurança É oficial. Estamos vivendo em uma economia dos aplicativos, em que os usuários corporativos e consumidores esperam ter acesso total aos aplicativos e dados a qualquer hora, em qualquer lugar e em qualquer dispositivo. É claro que essa tendência de esperar um acesso imediato a vários aplicativos e provedores de serviços também gera muitos conjuntos de credenciais para os usuários. Assim, surge a pressão de fornecer um logon único e fácil de usar para melhorar e simplificar ainda mais a experiência do usuário. A conveniência gera preocupações Embora essa mudança de paradigma tenha resultado em significativamente mais comodidade para os usuários finais, ela gerou grandes desafios para as pessoas encarregadas de manter a rede e os dados corporativos seguros. A computação móvel e a expansão do acesso aos aplicativos conspiram para tornar seu perímetro de segurança estático ineficaz. Ao mesmo tempo, os criminosos cibernéticos estão cada vez mais sofisticados e agressivos. O resultado é uma avalanche de preocupações com a segurança que devem ser resolvidas. 2

3 O sequestro de sessão está em alta de novo Em pesquisas do OWASP, os especialistas em segurança de TI identificaram o sequestro de sessão como um dos três principais riscos à segurança há mais de uma década. Os dados, quer sejam obtidos de forma legal ou ilegal, são a moeda da vez. Isso explica por que as redes corporativas estão enfrentando um número cada vez maior de ataques. Parece que a cada mês acontece uma violação de segurança importante e mais um download não autorizado de dados altamente confidenciais. À medida que os usuários passam mais tempo em "sessões", seja interagindo com sites ou com aplicativos hospedados na nuvem, o número de portas que precisam ser protegidas aumenta. A autenticação de vários fatores e orientada a riscos dificultou o acesso à rede por meio de credenciais roubadas. Com isso, os hackers começaram a procurar outras maneiras de invadir o sistema, sendo que as sessões de usuários estão quase no topo da lista. Fonte: OWASP Top 10 3

4 As ameaças de sequestro de sessão aumentam em gravidade e predominância Embora o sequestro de sessão nunca tenha sido eliminado, outras ameaças ganharam mais destaque nos últimos anos. O Heartbleed e o Covert Redirect mudaram esse cenário. Esses sequestros de sessão altamente divulgados fizeram com que a atenção da TI e do público voltasse a se concentrar nesse problema de longa data, que agora apresenta riscos ainda maiores. Ultimamente, hackers sofisticados estão atacando as sessões de usuários de vários ângulos diferentes: sites ou aplicativos vulneráveis Alguns desenvolvedores simplesmente não conseguem criar e manter proteções suficientes para os usuários. Tokens de sessão previsíveis Algoritmos de descriptografia mais novos conseguem violar uma segurança mediana com facilidade. Detecção de sessões A falta de uso da criptografia SSL para o tráfego além das páginas de logon permite que os sequestradores interceptem cookies de sessão transmitidos entre o servidor e o usuário. Ataques do lado do cliente Os locais de clientes muitas vezes são vulneráveis a ataques de Cross-Site Scripting (XSS), código mal-intencionado em JavaScript, Cavalos de Troia e outras ameaças que colocam os usuários em risco. Ataque man-in-the-middle Os criminosos se posicionam entre o usuário e o servidor para que todo o tráfego, incluindo tokens de sessão, passe por eles. Ataque man-in-the-browser O sequestrador infecta um navegador com um Cavalo de Troia que permite alterar a comunicação entre o usuário e sites seguros. Quase 75% dos administradores de logon único que participaram da pesquisa se preocupam com o sequestro de sessão. Pesquisa da TechValidate sobre as soluções de gerenciamento de acesso da CA Uma vigilância constante e habilidades atualizadas continuamente são necessárias para proteger os usuários contra essa onda de crimes cibernéticos. 4

5 A primeira regra para desenvolver uma segurança de sessão que oferece proteção adequada, sem afetar desnecessariamente a experiência do usuário, é avaliar com precisão a confidencialidade da transação de dados. Obrigar os usuários a fazer grandes esforços para visualizar os preços no site de um varejista faz tão pouco sentido quanto deixar informações de cartão de crédito de um usuário armazenadas sem proteção. É importante saber o que acontece durante uma sessão de usuário Acesso e ações diferentes geram riscos distintos se os dados forem expostos. Considere estes três exemplos: Baixo risco Suporte técnico e gerenciador de sala de reunião Médio risco Documentos somente leitura de RH e benefícios Alto risco Atividades de finanças e RH/benefícios Em muitos casos, é suficiente autenticar que um usuário tem uma razão legítima para acessar um site ou uma determinada seção de um site. Mas quando o usuário deseja se envolver ativamente com o site, principalmente quando lidar com informações pessoais ou financeiras confidenciais, uma segurança mais forte se torna necessária. Seu trabalho é avaliar cada classe de interação e aplicar os controles de segurança apropriados para a ameaça potencial. 5

6 Existem estratégias para impedir o sequestro de sessão Com tantos pontos de acesso para proteger e nenhuma garantia de que os usuários ou os desenvolvedores de web e aplicativos estão preparados para fazer a parte deles, a segurança de sessão pode parecer uma batalha difícil, mas assim como os criminosos cibernéticos adotaram novas técnicas ao longo dos anos, você tem novas tecnologias e estratégias que podem ser aplicadas para proteger as sessões de usuários. Os dois métodos mais bem-sucedidos para reforçar a segurança de sessão são a verificação contínua de dispositivos e a autorização com base em riscos. Mostraremos mais detalhes sobre eles nas próximas páginas, mas aqui está um resumo: A verificação contínua de dispositivos confirma repetidamente se o usuário que iniciou a sessão ainda está no controle. A autorização com base em riscos aumenta o nível de segurança quando o usuário tenta acessar dados mais confidenciais, exigindo uma autenticação nova e mais robusta antes de abrir a próxima porta. Dica de segurança de sessão Uma sessão segura centralizada é uma opção muito melhor para garantir a segurança dos aplicativos do que o gerenciamento separado da segurança de sessão para cada aplicativo. A verificação contínua de dispositivos e a autorização com base em riscos podem ser extremamente úteis para proteger as sessões de usuário quando usadas individualmente. Quando usadas em conjunto, elas podem ajudar a estabelecer um escudo praticamente impenetrável entre os usuários e os criminosos que tentam sequestrar as sessões. 6

7 Por que a verificação contínua é necessária O problema do sequestro de sessão é o fato de que ele geralmente acontece sem que ninguém perceba. Depois de obter acesso à sessão de um usuário, se o hacker for hábil, poderá manipular a sessão sem chamar atenção. Em outros casos, o hacker se esconde em segundo plano até que o usuário faça logoff. Nesse momento, o sequestrador pode assumir o controle e obter acesso aos dados armazenados atrás de todas as portas abertas para esse usuário. 7 O risco será ainda maior se o usuário tiver recebido acesso total após uma autenticação com êxito durante o logon. Sem outros obstáculos para enfrentar, o sequestrador fica livre para percorrer todo o sistema, desimpedido. Mesmo quando existem pontos de verificação de autorização adicionais, o sequestrador ainda consegue manter sua vantagem. Como o sistema reconhece que o sequestrador está executando uma sessão autorizada, ele poderá testar e eventualmente anular medidas de segurança mais fortes sem levantar suspeita.

8 Como funciona a verificação contínua Para identificar e enfrentar os sequestradores, é preciso reconhecer que o operador da sessão foi alterado. As técnicas de verificação contínua podem ser aplicadas para atingir esse objetivo. O processo começa quando o usuário legitimamente autorizado efetua logon e o sistema captura um identificador exclusivo do dispositivo do usuário. Em seguida, o sistema é instruído a executar ping do dispositivo do usuário em intervalos predeterminados, enquanto a sessão estiver aberta. A solução de verificação contínua é capaz de verificar se o mesmo dispositivo está conectado ou não. Se, a qualquer momento, a verificação entre o dispositivo conectado à sessão e o identificador adequado falhar, a sessão será encerrada e a conexão, interrompida. Dependendo da frequência da verificação, um sequestrador disfarçado de originador da sessão pode ser detectado antes de causar algum dano. 8

9 Por que a autorização com base em riscos é necessária Mais uma vez, digamos que um hacker conseguiu contornar a segurança de autenticação inicial ou obteve acesso à sessão de um usuário sem ser detectado. Os recursos que podem ser expostos representam diferentes níveis de ameaça à organização. Alguns podem colocar os ativos mais confidenciais e valiosos da empresa, clientes e funcionários em perigo. É evidente que os protocolos de segurança padrão fazem menos sentido do que nunca. Assim, surge a necessidade de uma autenticação com base em riscos mais sofisticada no logon inicial, o que também exige uma abordagem orientada a riscos para autorização. A segurança não pode ser interrompida uma vez que o usuário passar pela autenticação inicial. Ao atribuir uma "pontuação de risco de acesso" para cada recurso, você pode definir o limite que os usuários precisam ultrapassar para acessar todos os tipos de recurso. Para cada recurso acessado, uma avaliação de riscos é realizada. A exigência de uma autenticação mínima para que os usuários acessem recursos com potencial de risco mínimo ajuda a simplificar e melhorar a experiência do usuário. Mas permitir que esses mesmos usuários migrem para áreas de risco mais elevado sem atender a requisitos de autorização mais rigorosos deixa a porta aberta para que hackers façam o mesmo. O uso da autorização com base em riscos e da pontuação de risco de "passagem" em um recurso oferece as ferramentas necessárias para aplicar uma autenticação mais forte para acessar os recursos de alto risco ou negar completamente o acesso. Regras de acesso e segurança precisam ser definidas adequadamente para refletir o risco potencial de cada tipo de interação. 9

10 Como funciona a autorização com base em riscos Para proteger de forma adequada os dados da sua empresa contra invasores mal-intencionados sem incomodar desnecessariamente os usuários, você precisa aplicar uma avaliação com base em riscos para o acesso de acordo com a confidencialidade do recurso. Destinos online recebem pontuações de risco com base na ameaça potencial para a empresa. Então, quando um usuário abrir uma sessão, uma pontuação de risco será calculada usando vários fatores, incluindo a localização do usuário, a hora do dia e a comparação com uma linha de base comportamental. Sempre que a pontuação de risco dos usuários não se qualificar para o local que eles estão tentando acessar, uma autenticação adicional mais rigorosa poderá ser necessária. Por exemplo, o envio de uma OTP (One- Time Password - Senha Única) para o conhecido ou o número de celular do usuário é uma autenticação forte, mas ainda mantém uma boa experiência para o usuário. Como o diagrama mostra, um nome de usuário e senha podem ser suficientes para acessar o suporte técnico e possivelmente algumas partes do site de benefícios da organização. Mas para entrar na seção de finanças do site da empresa, onde a folha de pagamento, informações de vendas e outros dados confidenciais estão disponíveis, uma autenticação mais forte será exigida. 10

11 O Gerenciamento de sessão orientado a riscos da CA Technologies ajuda a impedir o sequestro de sessão Obtenha as respostas para seus desafios de segurança de sessão cada vez mais complexos com a CA Technologies. Comece com o CA Single Sign-On para controlar o acesso aos recursos e implante o CA Advanced Authentication para verificar as identidades dos usuários no logon inicial. Em seguida, faça com que a segurança de sessão se torne "orientada a riscos", combinando verificação contínua e autorização com base em riscos para proteger as sessões de usuário contra ameaças de sequestro sem sobrecarregar os usuários com interrupções constantes. Obtenha mais informações sobre o CA Single Sign-On e o CA Advanced Authentication em Leia a documentação técnica: "Fechando a maior lacuna de segurança na entrega de aplicativos web" 11

12 Obtenha mais informações sobre como a CA pode ajudar você a prevenir violações de dados com soluções de gerenciamento de sessão orientado a riscos e autenticação inteligente. Visite A CA Technologies (NASDAQ: CA) cria software que acelera a transformação das empresas e permite que elas aproveitem as oportunidades da economia dos aplicativos. O software está no cerne de todas as empresas, em todos os setores. Do planejamento ao desenvolvimento e do gerenciamento à segurança, a CA está trabalhando com empresas de todo o mundo para mudar a maneira como vivemos, fazemos negócios e nos comunicamos usando dispositivos móveis, as nuvens privada e pública e os ambientes distribuídos e de mainframe. Obtenha mais informações em ca.com/br. CA Todos os direitos reservados. Todas as marcas comerciais, nomes de marcas, marcas de serviço e logotipos aqui mencionados pertencem às suas respectivas empresas. Determinadas informações desta publicação poderão descrever o direcionamento geral dos produtos da CA. Contudo, a CA pode fazer modificações em qualquer um de seus produtos, softwares, métodos ou procedimentos descritos nesta publicação, a qualquer momento e sem prévio aviso; e o desenvolvimento, o lançamento e as respectivas datas de qualquer recurso ou funcionalidade descritos aqui ficam a único e exclusivo critério da CA. A CA oferecerá suporte apenas aos produtos mencionados de acordo com (i) a documentação e as especificações fornecidas com o produto mencionado e (ii) a diretiva de suporte e manutenção da CA então vigente para o produto mencionado. Este documento destina-se apenas a fins informativos, e a CA não assume nenhuma responsabilidade pela precisão ou integridade das informações aqui contidas. Na medida do permitido pela lei aplicável, a CA fornece este documento "no estado em que se encontra", sem garantias de nenhum tipo, incluindo, sem limitações, garantias implícitas de comercialização, adequação a uma finalidade específica ou não violação. Em nenhuma circunstância a CA será responsável por perdas ou danos, diretos ou indiretos, decorrentes do uso deste documento, incluindo, sem limitações, perda de lucros, interrupção de negócios, reputação da empresa ou perda de dados, mesmo que a CA tenha sido expressamente informada sobre a possibilidade de tais danos com antecedência. Este documento é apenas para fins informativos e não representa nenhum tipo de garantia. CS