BAQUIA

¿Tienes claros todos los ataques que pueden afectar a tu negocio?

Juan Santesmases, Presidente de Baquia.com

Una completa seguridad de las aplicaciones web requiere una comprensión detallada de los elementos de las transacciones del usuario legítimo de cada aplicación web, que incluyen las direcciones URL, los métodos HTTP, IDs de sesión, cookies, el esquema de XML / SOAP, y más.

Además, los nuevos riesgos de seguridad introducidos por las tecnologías Web 2.0, especialmente interfaces complejos, marcos AJAX y foros online como los wikis, blogs y sitios de redes sociales, pueden elevar el riesgo de inyecciones cross-site scripting (XSS), solicitudes de falsificación cross-site (CSRF), accesos no autorizados y otros ataques basados ??en Web. Este nivel de seguridad sólo puede ser proporcionado con las funciones avanzadas de WAF.

Echemos un vistazo a las capacidades necesarias para una completa seguridad de aplicaciones web.

Firewalls de red

Los firewalls de red proporcionan una capa de control de acceso a la red, y forman una barrera contra la propagación de gusanos desde los escritorios de los empleados a los servidores internos. Sin embargo, deben permitir todo el tráfico HTTP y HTTPS de servidores web. Con el tiempo, la comunidad hacker ha aprendido a utilizar este hueco incorporando los ataques en el tráfico web. Code Red y Nimda son ejemplos de gusanos web que atraviesan fácilmente los firewalls de la red a través comunicaciones HTTP compatibles con el protocolo. Del mismo modo, las inyecciones SQL y el cross-site scripting son dos ataques dirigidos a aplicaciones web (entre otros) que son ignorados por los firewalls de red, ya que cumplen con los protocolos de red y HTTP.

Sistemas de prevención de intrusiones (IPS)

IPS mira el contenido de la carga útil de un paquete y lo comparar con una lista de vulnerabilidades conocidas. La tecnología IPS también puede reforzar las restricciones para proteger contra vulnerabilidades conocidas en el software comercial. Desafortunadamente, estos sistemas son ineficaces contra ataques dirigidos a vulnerabilidades desconocidas en el código personalizado.

Solucionar problemas con las aplicaciones de seguridad requiere un profundo conocimiento de todos los elementos de la aplicación y las base de datos, incluyendo los parámetros URL, cookies, entradas de campos de formulario y las consultas SQL, entre otros. Los productos IPS no siguen esta información, y por lo tanto no pueden detectar ataques basados ??en sesión, como el envenenamiento de cookies, la inyección de cookies o el secuestro de sesión.

Escáneres de vulnerabilidades en aplicaciones web

Los escáneres de vulnerabilidades en aplicaciones web (AV) son herramientas utilizadas para analizar automáticamente las aplicaciones en busca de vulnerabilidades potenciales. Desafortunadamente, muchas vulnerabilidades sólo se descubren durante el tiempo de producción. Además, no alivian o ayudan a reducir el tiempo de producción. Por lo general, hay varios ciclos de exploración, correcciones de código y pruebas programadas que son soluciones costosas y potencialmente perjudiciales.

Solicitud de revisión de código

La revisión de código incluye la inspección del código por un experto en seguridad para identificar y corregir fallos de programación que pueden resultar en problemas de seguridad. Mientras que la revisión de código es una buena idea y es consistente con las mejores prácticas de codificación, puede acarrear importantes costes de personal permanente, pérdida de flexibilidad de implementación de aplicaciones y problemas de asignación de recursos. Como el jefe de seguridad de Imperva explicó en un podcast, "La revisión de código es un evento único, pero un WAF está siempre encendido".

Las aplicaciones, sin olvidar los métodos de ataque, cambian con frecuencia, por lo que el objetivo de la revisión de código es un blanco móvil, y nuevas vulnerabilidades se puede introducir en cualquier momento. Así que puede haber múltiples revisiones de código y ciclos de pruebas para lanzamiento de una versión de la aplicación. Un reciente estudio de White Hat demostró que la mayoría -casi dos terceras partes- de las vulnerabilidades no son reparadas, y se tarda casi tres meses en remediarlas, incluso para los problemas urgentes. Además, si una organización está usando aplicaciones de terceros, el código fuente a menudo no será fácilmente accesible o comprensible, lo que hace que la probabilidad de una reacción rápida antes las vulnerabilidades descubiertas sea muy baja.

Firewall de Aplicaciones Web (WAF)

WAF inspecciona el tráfico entrante y saliente en una aplicación, y hace cumplir una política de seguridad destinada a impedir que los atacantes comprometan el sitio. Las técnicas de seguridad implementadas por el WAF varían, pero un WAF práctico debe incluir tanto seguridad positiva (permitir sólo las URL, parámetros, valores de los campos, cookies y métodos conocidos como buenos) como negativa (bloqueo de lo que se sabe que es dañino). Los WAFs avanzados combinan estos dos tipos de normas de seguridad, así como correlacionan los comportamientos de varios usuarios para aumentar la precisión. Además, el producto debe automatizar la creación y el mantenimiento del perfil de aplicación; de lo contrario los administradores tendrían que configurar de forma manual elperfil o la lista blanca de toda la aplicación.

Dado que un WAF se puede implementar sin afectar a la aplicación y sin la participación de consultores externos que revisen el código, supone un enfoque más rápido y rentable para la seguridad de aplicaciones web.

Primera y última línea de defensa

No hay una herramienta única que puede ofrecer una seguridad total en todos los frentes. Sin embargo, dado el creciente número y sofisticación de los ataques a las aplicaciones web, un WAF tiene como primera línea imperativa de defensa la prevención de infracciones devastadores para la aplicación.

Un WAF se pueden implementar para proporcionar una protección inmediata, y puede ser configurado rápidamente para ajustarse a las aplicaciones y los ataques. WAF no sólo proporciona en primer lugar la medida más efectiva en costes, sino una base sólida para el segundo paso. Una vez que el WAF está en su lugar, los proyectos de revisión de código pueden avanzar a un ritmo controlado, lo que reduce el riesgo de errores. WAV también proporciona información fundamental sobre los patrones de uso y sus cambios, que pueden orientar a los equipos de revisión de código y mostrar los problemas obvios.

El mercado está aceptando WAFs. Un estudio de agosto de 2011 de Grupo 451 clasificó WAFmo la tecnología de más rápido crecimiento en aplicaciones de seguridad, llegando casi a 36% CAGR.

La creciente penetración de la Web 2.0 en las empresas exigirá una mejor visibilidad y gestión de las aplicaciones web y de datos. Con una mejor comprensión y tomando las precauciones necesarias frente a la naturaleza cambiante de las amenazas informáticas, las empresas pueden optimizar sus esfuerzos en seguridad de datos, al tiempo que previenen fugas embarazosas y juicios innecesarios.


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios