Como as empresas de serviços financeiros reduzem o risco de violações de dados com segurança de aplicativos.

À medida que as empresas aceleram sua transformação digital – e os consumidores exigem acesso digital permanente – as estatísticas continuam a se acumular: 

• 37% dos executivos de serviços financeiros e seguros entrevistados afirmaram que os canais digitais e móveis representam atualmente metade ou mais de suas vendas – e esse número está crescendo (Relatório de Tendências de Serviços Financeiros e Seguros da Adobe para 2021) 

• O custo total médio de uma violação de dados é de US$ 4.35 milhões (Relatório de Custo de uma Violação de Dados da IBM 2022) 

• 39% das violações de dados foram resultado de vulnerabilidades de aplicativos (Relatório de investigações de violação de dados da Verizon 2021) 

O setor de serviços financeiros, que inclui bancos, seguradoras e empresas de investimento, é um alvo óbvio de cibercriminosos. Faz sentido, já que é lá que o dinheiro está. Mas, à medida que os serviços financeiros expandem sua presença digital, sua exposição a agentes maliciosos aumenta imensamente. Essa expansão foi impulsionada pela transformação digital, pela demanda dos clientes por conveniência e pela pandemia da COVID-19. Cada vez mais clientes usam aplicativos móveis e da web para acessar suas contas. E isso aumentou significativamente a superfície de ataque. 

Entretanto, a metodologia ágil reduziu os tempos de desenvolvimento e DevOps reduziu os tempos de implantação de semanas para dias, ou em alguns casos até mesmo para horas. Isso permite que as instituições financeiras acelerem a implantação de aplicativos novos ou atualizados. Incluir o uso de código aberto adiciona mais complexidade à segurança dos aplicativos. 

O resultado? De Relatório de Segurança da Contrast sobre o Estado da Segurança em 2021 Application Security No relatório de serviços financeiros: 

• 67% das empresas pesquisadas têm 20 ou mais vulnerabilidades graves por aplicação em desenvolvimento. 

• 48% têm 10 ou mais vulnerabilidades graves por aplicação em produção. 

• 98% já tiveram pelo menos três casos de exploração bem-sucedida de vulnerabilidades em aplicativos no último ano. 

Os desenvolvedores estão sob pressão para entregar novos recursos e funcionalidades em um fluxo contínuo. Seu foco está nesses novos itens, não na segurança. Assim, a segurança acaba sendo deixada para depois, no ciclo de desenvolvimento. 

Perguntamos ao nosso vice-presidente de produto, Mike WoodardPara comentar sobre esse cenário, eis o que ele disse:

Então, sua equipe está desenvolvendo um novo aplicativo para o público. Eles executaram as ferramentas de verificação que alguém da sua organização selecionou para garantir que vocês não estejam lançando um desastre iminente (Tranquilo, mas necessário). O ambiente de produção de back-end está operacional e as ferramentas de segurança de rede estão instaladas (Mais trabalho e atraso). Vocês conseguem provisionar usuários e os testes mostram que tudo está funcionando como esperado. O marketing fez sua parte e o mundo está esperando vocês darem o pontapé inicial. Vocês estão prestes a colher os frutos que tanto esperavam – ou pelo menos é o que pensam. 

Devido ao número potencial de usuários e ao interesse inicial do mercado, você atraiu a atenção de algumas pessoas nos bastidores. Por uma fração do que você investiu, elas também esperam lucrar com seus esforços. Elas têm trabalhado arduamente ultimamente, analisando minuciosamente sua versão beta mais recente em busca de vulnerabilidades. E como seu aplicativo funciona, elas têm um exemplo de como a interação com seus servidores de backend deve operar (e elas apreciam isso, aliás). Depois de desmontar o código, analisar o fluxo de controle e observar o que acontece quando entradas incomuns são fornecidas, elas estão tão ansiosas pela data de lançamento quanto você.

O problema que levará aos seus futuros transtornos é que você não tem ideia do que eles estão fazendo. Você não percebe que eles agora conhecem muito bem o funcionamento do seu aplicativo. E eles podem ser pacientes enquanto refinam o ataque, porque as pequenas falhas que causam se perdem no ruído de todos os outros usuários que testam seu aplicativo normalmente. Então, eles ajustam, ajustam e ajustam metodicamente até que sua vulnerabilidade se revele como uma estátua de mármore. Com isso, começa a perda de informações de pagamento, dados pessoais e propriedade intelectual (Desculpe estragar seu dia – não é nada pessoal). 

Se você ainda não vivenciou o pior cenário possível, retroceda e adicione alguns mecanismos de proteção. Adicione ofuscação para dificultar a análise. Adicione mecanismos anti-adulteração para detectar e reagir automaticamente a ambientes e modificações não padronizadas. Adicione recursos de geração de relatórios e monitoramento para que você possa ver o que eles estão fazendo enquanto fazem – e para que você possa responder corrigindo as vulnerabilidades.

Todos gostaríamos que tais medidas não fossem necessárias, mas a caixa de Pandora está aberta e não podemos voltar atrás. Também não precisávamos de alarmes de carro ou autenticação de dois fatores, mas os tempos mudaram e todos precisamos acompanhar ou sofreremos as consequências. 

Gosto de dizer a mim mesmo e aos outros: "A realidade é sua amiga!" A forma como você imagina o mundo não vai te ajudar a tomar boas decisões. Portanto, analise a sua realidade e decida se você aceita o seu nível atual de risco ou não. Caso contrário, faça os ajustes necessários até chegar a uma situação com uma probabilidade maior de sucesso.

Nenhuma empresa de serviços financeiros quer estar nas manchetes por motivos errados, principalmente se isso puder ser evitado. Aprenda como proteger seus aplicativos sem afetar seu cronograma de lançamento. Veja como: 

• Descubra como agentes maliciosos podem desmontar seu aplicativo para visualizar o código-fonte e identificar vulnerabilidades neste webinar sob demanda de 30 minutos. Como criar um plano para um software seguro 

• Ou entre em contato com Agende uma ligação com um de nossos especialistas em segurança. 

Visite a nossa página de solução para saber mais.