Clientes, colaboradores, terceirizados e fornecedores estão cada vez mais interagindo com as organizações por meio de aplicativos, seja por celular, web ou desktop. À medida que os aplicativos se tornam cada vez mais sofisticados e integrados à infraestrutura corporativa, a necessidade de proteger as informações dos clientes e os dados corporativos é maior do que nunca.
Proteger esse novo endpoint é fundamental para evitar violações, que podem resultar em danos à marca, perda financeira, roubo de propriedade intelectual e penalidades das autoridades regulatórias. A segurança tradicional e as defesas de rede não conseguem proteger os aplicativos contra engenharia reversa nem ataques originados de dentro dos próprios aplicativos.
Zero Trust: uma nova abordagem
Zero Trust é uma estratégia poderosa, que pode ajudar uma empresa a ter maior rapidez e maior segurança. O conceito tem sido bastante comentado nos últimos anos, embora não seja uma abordagem nova.
Proteger o perímetro de rede tradicional não é mais suficiente. Com o aumento de aplicativos implantados em nuvens múltiplas e a crescente força do trabalho móvel, o perímetro da rede praticamente desapareceu.
Zero Trust elimina a ideia de uma rede confiável dentro de um perímetro definido. Atualmente, é preciso fornecer acessos de usuário com privilégios mínimos e examiná-los o máximo possível, presumir que invasores já estão na rede e se escondendo nela e obter mais contexto e visibilidade dos pontos de controle. Para adotar o Zero Trust, as organizações devem abandonar a abordagem “confie, mas verifique” e agora aderir a estes três princípios:
- Nunca confie.
- Sempre verifique.
- Monitore continuamente.
Apps para várias aplicações
Milhões de aplicativos já foram criados para facilitar a vida de clientes, colaboradores e parceiros, sendo essenciais para setores como internet banking, pagamentos online, e-commerce, saúde, setor automotivo, entretenimento e jogos. Esses aplicativos são alvos valiosos para agentes maliciosos, porque são pontos de acesso à infraestrutura corporativa que podem expor credenciais de clientes e informações de negócios.
Os aplicativos são vulneráveis a ataques sempre que operam em ambientes de confiança zero, isto é, baixados diretamente, disponibilizados por meio de lojas públicas de aplicativos ou quando aplicativos da web são executados em um navegador.
Agentes mal-intencionados podem explorar aplicativos desprotegidos por meio de engenharia reversa, para obter uma compreensão do código e entender como ele se comunica com os sistemas de back office. Uma vez compreendidos, os criminosos podem inserir códigos maliciosos para roubar informações de identificação pessoal, propriedade intelectual ou por meio de ataques subsequentes utilizando chaves expostas e falhas de API.
Digital.ai: Proteção de aplicativos abrangente no nível do código
Digital.ai é o novo nome da Arxan, um fornecedor de soluções completas de proteção para aplicativos móveis, da web, híbridos, de desktop ou de servidor contra engenharia reversa, violação de código, manipulação de API e clonagem.
A plataforma impede o roubo de propriedade intelectual, credenciais, dados confidenciais e divulgação de ativos críticos de infraestrutura, como APIs, URLs de banco de dados e chaves privadas que podem ser usadas para viabilizar ataques subsequentes.
Proteção: Segurança abrangente no nível de código
- Ofusca o código-fonte, insere honeypots e implementa outros padrões de código enganosos, para deter e confundir os agentes maliciosos.
- Aciona medidas defensivas automaticamente se for detectada atividade suspeita, incluindo o desligamento do aplicativo, envio para o sandbox do usuário ou reparo automático de código.
- Injeta proteções de código de aplicativo essenciais e sensores de detecção de ameaças no ciclo de CI / CD (Integração Contínua / Entrega Contínua) após o desenvolvimento do código, sem interromper os processos de DevOps.
Alerta: Dados de ameaças em tempo real
- Notifica as organizações sobre a confiabilidade do aplicativo, ataques em tempo real e oferece a capacidade de suspender contas ou reforçar a autenticação da transação ou do acesso.
- Os insights ajudam a otimizar e adaptar a proteção com base em tendências de ataque, incluindo como, quando, onde e por quem o aplicativo é direcionado.
- Fornece informações sobre ameaças de ponta a ponta, acessíveis por meio de um navegador ou por uma fácil integração com as plataformas existentes de SIEM (Security Information and Event Management), BI (Business Intelligence) e de prevenção de fraudes.
Criptografia: Proteção de chaves e dados
- Criptografa chaves estáticas ou dinâmicas e dados incorporados ou contidos no código do aplicativo.
- Protege dados confidenciais em repouso em um aplicativo ou em trânsito entre o aplicativo e o servidor.
- Suporta todos os principais algoritmos e modos criptográficos com certificação FIPS 140-2.
Apps para a força de trabalho
Aplicativos comerciais e de produtividade personalizados para melhorar a produtividade da força de trabalho normalmente são executados em dispositivos não gerenciados, de propriedade de funcionários, terceirizados e parceiros.
Esses aplicativos inseguros implantados por uma organização representam um risco significativo para o negócio. Essa ameaça demanda uma luta constante para encontrar maneiras eficazes de implantar aplicativos móveis com segurança, para maximizar a adoção e manter a privacidade, sem exigir um controle sobre os dispositivos ou o seu registro. Para resolver esse problema, as empresas precisam adotar uma abordagem de gerenciamento de aplicativos de três fases.
Gerenciamento de Apps
Primeiro, os aplicativos precisam ser devidamente integrados com a garantia que estejam livres de malware e riscos de privacidade.
Em segundo lugar, os aplicativos personalizados e disponíveis no mercado precisam ser compatíveis com as políticas corporativas de segurança, análise e gerenciamento. Esses aprimoramentos para a compatibilidade de aplicativos permitem que as equipes de TI gerenciem a governança no nível do aplicativo, para regulamentar um single logon corporativo, uso e análise do aplicativo, VPN no nível do aplicativo, expiração do prazo do aplicativo, desativar funções de copiar / colar, definir formas de detecção de jailbreak e muito mais.
Por fim, os aplicativos avaliados e regulamentados precisam ser disponibilizados aos usuários por meio das lojas de aplicativos conhecidas, para maximizar o controle de distribuição e a adoção do usuário.
Maior valor, com maior rapidez e melhor experiência para os clientes
A Digital.ai permite que as empresas se concentrem nos resultados e criem maior valor comercial com mais rapidez e forneçam experiências digitais seguras, que seus clientes confiam.
A plataforma Digital.ai Value Stream integra perfeitamente todas as ferramentas e processos variados nos vários fluxos de valor, usa dados e Inteligência Artificial e Machine Learning para criar um tecido conectivo entre eles e fornecer os insights contextuais em tempo real necessários para conduzir e manter uma transformação digital bem-sucedida.
Com a Digital.ai, as empresas têm a visibilidade que buscam para agregar valor, impulsionar o crescimento, aumentar a lucratividade, reduzir o risco de segurança e melhorar a experiência do cliente.
A Leadcomm fornece implementação, integração e serviços de consultoria para organizações que buscam produtos líderes de segurança da informação, como as soluções Digital.ai
Clique aqui e entre em contato conosco para conhecer nossas soluções.
Este texto foi baseado no whitepaper “Digital.ai Application Protection”, Digital.ai, 2020.
Comments are closed.
Recent Comments