Módulo 6
Habilidades interpessoais para segurança de aplicativos web
Última atualização em: 16 de janeiro de 2025
Editar esta página no GitHubCaso de Uso
Ao interagir com indivíduos e organizações que operam aplicativos web, é necessário ter consciência para verificar a natureza da relação com o protetor digital, oferecendo conselhos ou serviços úteis e não alarmistas. É fundamental enquadrar seu trabalho técnico em uma sólida avaliação de risco da realidade do aplicativo web e de seus usuários.
Objetivos
Após concluir este subtópico, os profissionais deverão ser capazes de fazer o seguinte:
- Refletir sobre o relacionamento do protetor digital com um cliente no trabalho de avaliação de aplicativos web e na geração de relatórios
- Simplificar e filtrar as descobertas e explicá-las de uma forma que faça sentido para as necessidades e os modelos de ameaças da organização e de seus acionistas
- Manter a consciência dos limites de seu próprio conhecimento e capacidade
- Comunicar-se de forma transparente sobre vulnerabilidades e pontos fracos
- Realizar uma análise de risco mais ampla de um aplicativo web com base nas realidades políticas, sociais, econômicas e técnicas que o cercam.
Conteúdo
Seu trabalho na avaliação de segurança de aplicativos web deve estar sempre contextualizado no âmbito da organização que opera ou hospeda o aplicativo, considerando as pessoas que o utilizam (e seus dispositivos), os relacionamentos interpessoais envolvidos, a natureza e funcionalidades do próprio aplicativo, os dados que ele armazena ou processa, as regulamentações legais que o regem e uma análise abrangente de riscos associada a todos esses fatores. Vamos analisar esses elementos e considerar uma autocrítica de sua função como protetor digital.
O Papel do Protetor Digital na Avaliação de Segurança de Aplicativos Web
A avaliação de segurança de aplicativos web – especialmente muitos dos elementos desta e das trilhas de aprendizagem subsequentes, que vão além da simples varredura de vulnerabilidades, enumeração de versões e verificações de configurações incorretas – é um conjunto de habilidades altamente técnico e especializado, com uma terminologia difícil de compreender, tanto por usuários leigos quanto por administradores de sites experientes. Reserve um momento para refletir sobre seu próprio nível de conhecimento e seus sentimentos pessoais sobre a realização dessa avaliação e o que você espera comunicar ao cliente. Uma das regras fundamentais para ser um protetor digital eficaz é: o objetivo não é impressionar os outros ou se mostrar superior, mas oferecer assistência eficaz que minimize danos e riscos, enquanto apoia os objetivos de defesa do seu cliente.
Dessa forma, é importante filtrar e explicar suas descobertas no contexto de uma análise de risco do próprio aplicativo web. Embora encontrar muitas vulnerabilidades e fraquezas possa fazer com que você se sinta bem como analista, compartilhar todas elas com o cliente pode gerar muito ruído e estresse em potencial para ele. Alcançar o equilíbrio certo pode ser mais difícil do que parece à primeira vista - nem todas as descobertas de segurança são iguais umas às outras. É preciso entender a natureza da vulnerabilidade, a cadeia de ataques que a torna significativa e o potencial de dano que a exploração da vulnerabilidade pode causar.
Por exemplo, ao usar uma ferramenta de avaliação de segurança automatizada, como o ZAP (mencionado em mais detalhes na Trilha de Aprendizagem da Avaliação de Sites), a varredura de um site pode revelar dezenas ou até centenas de pontos fracos e vulnerabilidades. Fornecer essa lista ao seu cliente é pouco útil, a menos que você consiga explicar de que forma algumas dessas descobertas afetam seus stakeholders e seus objetivos operacionais e de advocacy. Você entende as descobertas o suficiente para poder fornecer essa filtragem e explicação? Também é necessário estar ciente das limitações de nosso próprio entendimento no campo. Caso não consiga avaliar adequadamente se uma determinada vulnerabilidade ou ponto fraco é relevante, você pode deixar uma recomendação com a sua melhor interpretação e aconselhar que eles talvez precisem analisar melhor o assunto.
Avaliação de Riscos com Aplicativos Web
As organizações usam aplicativos web para várias finalidades. Em alguns casos, para informações diretas ou propósitos de divulgação da marca, com envolvimento limitado de dados confidenciais. Mesmo nesses casos, o vazamento de informações sobre tráfego, visitantes e riscos de implantação de conteúdo malicioso no website pode causar danos reais aos visitantes ou à reputação da organização.
Em outros casos, dados confidenciais e de missão crítica podem ser processados pelo aplicativo. À medida que você avança por essas trilhas de aprendizagem, que se concentram fortemente em habilidades técnicas, faça constantemente uma verificação de senso sobre os modelos de ameaça que prevalecem sobre o próprio aplicativo, a organização e as pessoas que o operam, bem como aquelas que o utilizam, incluindo a consideração dos dispositivos que usam para interagir com ele.
Relatando e falando sobre vulnerabilidades
Relatar vulnerabilidades que você descobriu pode ser difícil, especialmente se você for novo nisso. Criamos uma visão geral do processo de relatórios no Subtópico 5 da Trilha de Aprendizagem de Avaliação de Segurança de Aplicativos Web e incentivamos todos os alunos que precisam redigir relatórios para clientes a consultá-la.
Vídeos de fellows do Infuse
Dois fellows do Infuse, LF e Nanbaan, fizeram vídeos demonstrando como protetores digitais podem dar suporte a outros de forma profissional e com empatia. Confira os dois!
- Vídeo de Nanbaan (áudio em inglês, legendas em inglês, tradução automática disponível)
- Vídeo de LF (áudio em espanhol, legendas e slides em espanhol, tradução automática disponível)
- Vídeo de LF (áudio em espanhol, legendas e slides em inglês, tradução automática disponível)
Teste de capacitação
Faça login no DVWA novamente e abra uma de suas páginas. Defina a segurança como baixa ou média. Imagine que essa página pertence a um cliente seu e que você precisa informá-lo sobre as vulnerabilidades, seu possível impacto e as atenuações necessárias. Você também pode fazer esse exercício:
- Você pode escrever um rascunho de um e-mail que enviará ao cliente. Se possível, compartilhe esse rascunho com um colega ou mentor mais tarde, que verificará se é uma resposta apropriada e ponderada.
- Junto com um colega ou mentor, faça uma encenação de uma conversa que você teria com o cliente. Faça uma análise após a conversa, pedindo ao colega um feedback sobre o que você fez corretamente e onde poderia melhorar.
Parabéns por ter concluído o Módulo 6!
Clique na caixa de seleção para confirmar a conclusão do módulo e continuar para o próximo módulo.
Marca o módulo atual como concluído e salva o progresso do usuário.
🎉
Parabéns!
Você completou todos os módulos desta trilha de aprendizagem.