A Clavis participou da BSides São Paulo, um dos principais eventos da comunidade de cibersegurança do país, conhecido por reunir especialistas, pesquisadores e profissionais técnicos para discutir desafios reais do cenário atual de segurança digital. Com foco em troca de conhecimento, experiências práticas e debates aprofundados sobre ameaças e estratégias de defesa, o evento trouxe discussões voltadas desde segurança ofensiva até maturidade em Application Security.
Durante o evento, Eduardo Cardoso, Consultor Especialista da Clavis Segurança da Informação, apresentou a palestra “Herdei uma aplicação (insegura) — e agora?”, trazendo uma abordagem prática sobre um desafio comum em muitas empresas: assumir aplicações críticas já em produção, mas sem processos maduros de segurança, documentação adequada ou visibilidade clara sobre riscos e exposições.
A apresentação mostrou que esse tipo de cenário vai muito além de vulnerabilidades isoladas. Em muitos casos, as organizações convivem com ambientes sem inventário estruturado, acessos descontrolados à produção, credenciais compartilhadas, integrações desconhecidas e ausência de rastreabilidade sobre mudanças e incidentes anteriores.
Além disso, aplicações legadas frequentemente acumulam débitos técnicos e falhas operacionais que ampliam significativamente a superfície de ataque.
Reconhecimento: entender o ambiente antes de proteger
Um dos principais pontos abordados durante a palestra foi a etapa de reconhecimento dentro de uma estratégia de Application Security. Segundo Eduardo Cardoso, antes de pensar em ferramentas, frameworks ou maturidade avançada, é necessário entender exatamente o que existe no ambiente e qual o nível real de exposição da organização. A apresentação destacou perguntas essenciais nesse processo:
- Quais aplicações existem no ambiente?
- Quais dados essas aplicações processam?
- Onde estão hospedadas?
- Quais integrações e bancos de dados estão envolvidos?
- Quais aplicações possuem maior impacto para o negócio?
A partir desse levantamento, torna-se possível construir um inventário mínimo de aplicações, identificando responsáveis, tecnologias utilizadas, função de negócio e nível de risco associado a cada sistema.
Outro ponto importante levantado foi a dificuldade que muitas organizações possuem em consolidar informações confiáveis sobre seus ambientes. Em diversos casos, documentações estão desatualizadas, dependem de conhecimento informal ou simplesmente não existem.
Isso faz com que times de segurança precisem recorrer a diferentes fontes, como repositórios de código, ambientes de cloud, históricos de incidentes, ferramentas operacionais e alinhamentos diretos com equipes técnicas para reconstruir a visibilidade do ambiente.
Quando o risco já pode estar em andamento
A palestra também trouxe uma reflexão importante sobre a dificuldade de identificar comprometimentos em ambientes sem maturidade de monitoramento e detecção.
Segundo Cardoso, muitas organizações não possuem capacidade real de responder perguntas básicas como:
- Saberíamos se algo malicioso estivesse acontecendo agora?
- Existe rastreabilidade suficiente para investigar um incidente?
- Conseguimos revogar acessos rapidamente?
- Há diferenciação entre falha operacional e ataque?
Nesse contexto, Eduardo apresentou exemplos de red flags frequentemente encontradas em ambientes inseguros, incluindo contas de ex-funcionários ainda ativas, ausência de MFA em acessos críticos, credenciais hardcoded em código-fonte, acessos remotos excessivos à infraestrutura e serviços administrativos expostos publicamente.
Além dos sinais técnicos, a palestra destacou indicadores operacionais que também podem revelar incidentes em andamento, como aumento incomum no consumo de APIs, falhas excessivas de login, inconsistências financeiras, crescimento abrupto de custos em nuvem e sobrecarga do suporte causada por “gambiarras” operacionais.
A discussão reforçou que atacantes geralmente exploram o caminho mais simples disponível. Enquanto isso, organizações precisam lidar simultaneamente com múltiplos pontos vulneráveis, muitos deles desconhecidos.
Quick wins para reduzir exposição rapidamente
Outro destaque da apresentação foi a forma como os quick wins foram posicionados dentro de um fluxo contínuo de evolução da segurança.
A abordagem apresentada por Eduardo Cardoso tratava de respostas diretas aos gaps críticos identificados durante as etapas anteriores do playbook. A lógica apresentada seguia uma linha clara: primeiro reconhecer o ambiente e entender a superfície de ataque, depois identificar falhas prioritárias, aplicar medidas imediatas para reduzir exposição e, por fim, estruturar iniciativas de longo prazo.
Nesse contexto, os quick wins surgem como mecanismos de contenção e redução rápida de risco enquanto processos mais maduros são desenvolvidos. As medidas apresentadas estavam diretamente ligadas aos problemas encontrados durante o assessment e à realidade operacional observada no ambiente, incluindo:
- Remoção de acessos indevidos e contas obsoletas;
- Implementação de MFA em pontos críticos;
- Restrição de acesso a ambientes de produção;
- Revisão de permissões e RBAC;
- Rotação de segredos e credenciais;
- Restrição de interfaces administrativas públicas;
- Segmentação de ambientes;
- Centralização mínima de logs e alertas.
A palestra mostrou que essas ações possuem impacto direto na redução da superfície de ataque e no aumento da capacidade de detecção e resposta a incidentes — principalmente em organizações com baixa maturidade de segurança.
Outro ponto importante é que os quick wins não foram apresentados como solução definitiva. A proposta era utilizá-los como etapa intermediária entre a identificação dos riscos mais críticos e a construção de uma estratégia contínua de segurança, permitindo reduzir exposição imediata enquanto controles mais estruturais são implementados.
Estruturando uma jornada contínua de AppSec
Após estabilizar os riscos mais críticos, a apresentação avançou para os desafios de longo prazo relacionados à maturidade em Application Security.
A palestra destacou que nem toda aplicação exige o mesmo nível de proteção. Por isso, é necessário definir perfis de risco e níveis de maturidade compatíveis com o impacto de cada sistema dentro do negócio.
Nesse contexto, foram apresentados frameworks como OWASP MASVS, ASVS e OWASP SAMM, utilizados como referência para definição de controles mínimos, avaliação de maturidade e construção de roadmaps contínuos de evolução.
A proposta apresentada durante o evento reforça que segurança de aplicações precisa deixar de ser tratada apenas como correção pontual de vulnerabilidades e passar a fazer parte da estratégia operacional da organização. Isso envolve processos contínuos de:
- Gestão de vulnerabilidades;
- Hardening consistente;
- Modelagem de ameaças;
- Testes regulares;
- Detecção e resposta a incidentes;
- Definição de Security Champions;
- Desenvolvimento seguro.
Além disso, a palestra enfatizou que segurança é uma responsabilidade compartilhada entre desenvolvimento, infraestrutura, arquitetura, gestão e negócio — e não apenas uma atividade isolada da área de cibersegurança.
Segurança de aplicações como processo estratégico
A palestra “Herdei uma aplicação (insegura) — e agora?” reforçou um cenário cada vez mais comum nas organizações: ambientes críticos operando sem visibilidade adequada, sem governança estruturada e com acúmulo contínuo de riscos técnicos e operacionais.
Ao mesmo tempo, mostrou que é possível iniciar uma jornada consistente de AppSec mesmo em cenários complexos, priorizando riscos reais, reduzindo exposições imediatas e construindo maturidade de forma contínua.
Mais do que corrigir vulnerabilidades isoladas, a segurança de aplicações precisa ser encarada como parte estratégica da sustentação do negócio — conectando proteção, continuidade operacional e evolução tecnológica em um cenário de ameaças cada vez mais sofisticado.
