O coração de uma empresa é sua aplicação. Estamos falando dos sistemas missão crítica que estão por trás de um Internet Banking, de um portal de e-Commerce, além dos tradicionais sistemas ERP e CRM. As aplicações nascem, agora, de um mix sofisticado e muito criativo de conceitos como cloud computing, bigdata/analytics, redes sociais, Internet das Coisas e mobilidade. Ao final do dia, porém, a criticidade das aplicações continua a mesma dos sistemas mainframe de um grande banco. Quer seja o Facebook, quer seja uma aplicação de controle de estoques numa rede de drogarias, a aplicação é, hoje, o alvo primordial dos crimes digitais.
Estamos na era em que o ataque à aplicação visa, pura e simplesmente, destruir valores financeiros e morais. Casos em que falsos boletos de pagamento de mensalidades de universidades e de planos de saúde são gerados pelos ciber criminosos de dentro das aplicações dessas empresas. Ou, então, situações como ao de um portal de uma grande casa editorial, continuamente modificado por hackers que desejam destruir a credibilidade desta publicação.
Uma aplicação frágil, não defendida da maneira correta, pode levar à perda efetiva de renda e de espaço no mercado.
O estudo Data Breach Investigation Report, da Verizon, mostra que, entre as 25 mais preocupantes brechas de segurança do século XXI, 44% são executadas por meio de aplicações rodando na Web. Ou seja: aplicações construídas para um determinado fim estão sendo usadas como uma porta de entrada para criminosos digitais. Levantamento realizado pelos F-Secure Labs, por outro lado, aponta que a incidência de ataques sobre a camada de aplicação (camadas 4 a 7) passou de abaixo de 20% em 2012 para 40% em 2013. Um tipo de crime absolutamente massivo e destruidor, os ataques DDoS (ataques distribuidos de negação de serviço) são, em 44% dos casos, uma cortina de fumaça. O objetivo real dos ciber criminosos é atingir as aplicações missão crítica das corporações que terão seus portais derrubados e invadidos pelo ataque DDoS. Isso é o que aponta pesquisa realizada pela Neustar em 2014.
Essa situação é ainda mais dramática quando se aceita o fato de que a velocidade com que se desenvolve a aplicação mudou. Sistemas missão crítica costumavam levar meses, até anos para serem desenvolvidos e colocados em operação. Com a computação em nuvem, o quadro é outro. Recursos técnicos e humanos distribuídos por todo o planeta estão disponíveis de maneira quase infinita e podem ser contratados como serviço. Este modelo está revolucionando o modo como as aplicações são desenvolvidas e, acima de tudo, a rapidez com que entram em operação.
Com a nuvem, tudo fica acelerado.
Uma das razões desta aceleração é a gradativa migração de um mundo baseado em hardware instalado no data center da empresa usuária para um mundo totalmente distribuído e baseado em software. O modelo SDN (Software Defined Network) permite que programadores e desenvolvedores utilizem de forma líquida, elástica, recursos de rede em forma de software. Trata-se de um avanço sem volta.
Como, então, garantir a integridade da aplicação na nuvem?
Usando a nuvem, claro.
Em vez de imobilizar capital numa estrutura Capex, seguir com o modelo Opex, desta vez aplicado a serviços de segurança disponíveis na nuvem e capazes de serem ativados em minutos, de forma automatizada. Essa rapidez acompanha o novo ritmo de desenvolvimento de aplicações na nuvem. Em alguns casos, a saída pode passar por uma nuvem de serviços de segurança que realize a detecção e mitigação de ataques DDoS de qualquer volume ou intensidade e seja capaz, ainda, de desviar os ataques para sua própria infraestrutura. Essa manobra libera o ambiente da corporação usuária para seguir com o “business as usual”, os usuários reais não serão impactados. Os melhores serviços desta categoria são baseados em data centers padrão mundial geridos por experts em segurança – uma oferta que conta, também, com serviços WAF (Web Application Firewal), Firewall de Aplicações Web.
Esse tipo de serviço de segurança na nuvem diferencia-se por sua capacidade de identificar as fragilidades da aplicação e bloquear os ataques a essa brechas.
Esse serviço pode até mesmo indicar quando é essencial redesenhar um código ou uma aplicação de maneira mais segura.
Trata-se do pico da pirâmide de soluções de segurança.
Quem olhar para a base desta pirâmide irá encontrar tecnologias tradicionais como soluções de criptografia, gerenciamento de identidade e acesso, segurança de rede. É claro que essas plataformas mais baixas (camadas 2 a 4) também têm de ser integradas às políticas de segurança de TIC das empresas. Mas, hoje, o foco é outro. O grande alvo do crime digital não é a infraestrutura, é a aplicação.
*Rafael Venâncio é gerente de canais da F5 Networks Brasil e Cone Sul.