Em conjunto com a lista de controles de segurança para mitigar os riscos relacionados à confiabilidade, integridade e disponibilidade de serviços Web, também podemos adotar os seguintes controles:

• Auditoria de logs: determinar os principais eventos que são interessantes para captura, visando à garantia da segurança. Esses eventos de interesse da segurança podem apresentar uma correlação dos múltiplos registros dos sistemas e serviços.
• Políticas, normas e procedimentos: todos esses aspectos geram processos de segurança e boas condutas. Garantir que a política adotada é adequada para reger a forma como os sistemas são interligados. Assegurar que os procedimentos de resposta a incidentes de segurança sejam desenvolvidos antes mesmo do evento.
• Reproduzir testes de invasão: pré-testes de produção são altamente recomendados para serviços Web com nível critico alto. O testador deve mostrar não apenas nos testes de rede e sistemas operacionais, mas também tem que de habilidade com SOAP, XML e compreender os conceitos por trás dos serviços Web. Juntamente com padrões de testes de vulnerabilidade, onde se faz útil instruir o testador a manter um comportamento de intrusão. Esta é uma ótima maneira de determinar se os controles de segurança estão adequados, caso seja necessária sua atuação.

Conclusão

Os serviços Web fornecem uma vasta gama de soluções e por seguinte novos problemas, que são de interesse dos profissionais da área de segurança. Quanto mais pessoas adotam a utilização de serviços online mais estes se tornam vulneráveis e passíveis de ataques.

É interessante sinalizar que o alastramento desses serviços tende a proporcionar mais comodidade aos usuários, porem torna-os atraentes para partes mal-intencionadas. Novas ameaças, ataques e vulnerabilidades geralmente são eventuais, mais as medidas e praticas utilizada para gerenciar os riscos de outras tecnologias devem ser claramente aplicadas.

Cobrir o básico da segurança antes de iniciar um projeto é de extrema importância para sua manutenção. E paralelamente a compreensão das ameaças dos serviços Web, essas medidas ajudarão a garantir controles de segurança adequados para gerenciar os riscos e determinar o impacto nos negócios.

O artigo tentou explicitar o conceito de vários aspectos relacionados à segurança de um serviço Web, mostrando de forma detalhada os riscos e vulnerabilidade que estes sofrem no decorrer de sua utilização. Apresentando também conceitos relacionados à confiabilidade, integridade e disponibilidade das informações transmitidas entre os sistemas que compõe estes serviços, tanto quanto apresentando medidas efetivas para mitigar esses riscos.

Referências

  [1] Wikipédia (ESB):
http://pt.wikipedia.org/wiki/Enterprise_Service_Bus
(Acessado em 13/03/2010)

[2] : Wikipédia (Web Service)
http://pt.wikipedia.org/wiki/Web_service
(Acessado em 13/03/2010)

[3] Artigo: Serviços Web e a evolução dos serviços em TI
http://www.paradigma.com.br/biblioteca/servicos-web/view
(Acessado em 15/03/2010)

[4] Artigo: XML Services Security and Web based Application Security, 2008
http://www.sans.org/reading_room/whitepapers/securecode/xml_web_services_security_and_web_based_application_security_1201

[5] Wikipédia (Segurança da Informação)
http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o
(Acessado em 16/03/2010)