Cuatro preguntas para minimizar el riesgo cibernético de sus activos y aplicaciones web orientados al público
Formule las cuatro preguntas a continuación para ayudar a reducir el riesgo cibernético en sus activos y aplicaciones web orientados al público.
La agresión constante de los ciberataques sobre sus activos y aplicaciones web orientados al público no se detendrá en un futuro previsible: de acuerdo con el Informe de investigación de filtraciones de datos 2020 de Verizon (DBIR), 43 % de las filtraciones de datos involucraron ataques a aplicaciones web. Desde las nuevas herramientas de ataque automatizado hasta los bien financiados y sofisticados hackers criminales que explotan determinadas deficiencias de seguridad, ahora es más fácil que nunca que los maleantes prueben sus defensas.
La protección de sus aplicaciones se reduce a usted y a su comprensión de los puntos débiles que un atacante podría encontrar y aprovechar en su red. Una vez que usted tiene esta comprensión, entonces puede aplicar proactivamente parches relevantes, reparaciones de código y/o controles de compensación para mitigar las amenazas.
Cada una de las siguientes preguntas, ofrece diferentes puntos de vista a través de los cuales se puede ver el riesgo de seguridad presentado por sus activos y aplicaciones web orientados al público.
1. ¿Cuál es el riesgo de mi organización para los activos orientados al público?
En primer lugar, echemos un vistazo a cómo se evaluaría el riesgo de un activo orientado al público. En una situación ideal, usted desearía exponer tan pocos activos como sea posible al mundo exterior. Puede aprovechar un escaneo de riesgo público para validar que está restringiendo la visibilidad pública tanto como sea posible. Otra ventaja del escaneo es que también va a probar los controles de compensación de su red, para asegurarse de que estén en funcionamiento.
Lamentablemente, incluso la información más sencilla expuesta al mundo exterior, al igual que la versión de su protocolo de transferencia de archivos (FTP), pueden ser explotadas por técnicas sencillas de “Google Hacking”. Es importante aprovechar un programa de gestión de vulnerabilidades para configurar escaneos periódicos de activos orientados al público, para que le ayuden a minimizar el riesgo. Los resultados de un escaneo de riesgo se utilizan mejor para configurar su red y controles de compensación basados en host, para evitar exponer cualquier información no deseada.
2. ¿Qué vulnerabilidades existen en los backends de mi red?
Para comprender las debilidades de una red, es aconsejable escanear localmente desde un escáner de vulnerabilidades hospedado en su entorno o un agente instalado en el host. Un escáner local en su entorno mediante un escaneo autenticado puede proporcionar el más completo de los resultados. Para obtener este nivel de detalle, usted tendrá que proporcionar credenciales para evaluar el objetivo. Si esto es difícil, usted tiene la opción de utilizar agentes, que no requieren credenciales ya están ejecutándose en el mismo host.
Una vez que el escaneo autenticado se haya completado, usted tendrá una lista completa de las vulnerabilidades a las que el activo es susceptible. El paso siguiente es comprender el contexto en torno a la amenaza de cada una de estas vulnerabilidades. Comprender la actual información de riesgos del mundo real para cada vulnerabilidad, puede ayudar a priorizar sus esfuerzos de corrección con base en la probabilidad de que una vulnerabilidad sea usada, lo que le permite utilizar sus escasos recursos de seguridad más eficazmente.
Es igual de importante estar consciente de los problemas de configuración y cumplimiento. Usted desea una solución de gestión de vulnerabilidades que incluya la capacidad de auditar la configuración de un destino contra una serie de estándares de cumplimiento y plantillas de mejores prácticas, incluidos aquellos del Centro para la Seguridad de Internet (CIS), las Guías de implementación Técnica de Seguridad de la Agencia de Sistemas de Información de Defensa (STIG/DISA) y los estándares de la industria de tarjetas de pago (PCI), así como los propios estándares internos de su organización.
3. ¿Cómo puedo saber si mis aplicaciones web son seguras contra un ataque?
Uno de los medios más rápidos y eficientes para proteger sus aplicaciones web contra un ataque, es implementar un programa de escaneado automatizado de aplicaciones web. Las Pruebas de seguridad de aplicaciones dinámicas (DAST), por ejemplo, son un sistema automatizado de prueba de penetración que interactuará con la aplicación web de una forma segura y evaluará la respuesta para mostrar si existen debilidades en la codificación de la aplicación web.
Una herramienta DAST puede ir más allá de un sistema operativo (SO) y de auditorías de nivel de vulnerabilidad y configuración para evaluar dinámicamente una aplicación web. Esto contribuye a asegurar que la aplicación no sea vulnerable a una acción imprevista o a errores de lógica. También ayuda a validar el entorno de ejecución, como la inyección de lenguaje de consulta estructurado (SQL), para encontrar cualquier defecto de codificación y error de configuración. También es importante señalar que algunos escáneres de aplicaciones web legados no pueden mantenerse al día con las aplicaciones modernas. Una herramienta DAST moderna no sólo puede analizar aplicaciones web HTML tradicionales, sino que también es compatible con aplicaciones web dinámicas construidas usando marcos HTML5, JavaScript y AJAX, incluyendo aplicaciones de una sola página.
La “Aceleración de la detección” es una mejor práctica que integra la seguridad de aplicaciones web en el ciclo de vida de desarrollo de software (SDLC). . El realizar pruebas de sus aplicaciones web en un entorno de preproducción y automatizar el escaneo de seguridad cada vez que el código cambia, puede ayudarle a aumentar la postura de seguridad global de su organización. Esto permite exponer vulnerabilidades en sus aplicaciones web antes, reduce el costo de arreglar esos problemas y limita el potencial de daños debido a una puesta en riesgo.
4. ¿Cómo puedo escanear para cumplir con PCI?
El Estándar de Seguridad de Datos PCI (DSS) incluye un requisito (11.2.2) de un escaneo externo trimestral y una certificación proporcionada por un proveedor de escaneado aprobado (ASV). Usted debe combinar tanto el resultado del escaneo de riesgo público como una solución de escaneo de aplicaciones web de un ASV, para proporcionar una certificación contra aplicaciones y activos web públicos. Con estos resultados de escaneo, puede seguir el proceso de obtención de certificado de cumplimiento contra el requisito 11.2.2 para compartirlo con cualquiera de las partes interesadas. El aprovechar las plantillas PCI preconfiguradas y los procesos de disputa definidos puede ayudar a optimizar este esfuerzo.
Resumen
Como puede ver, no hay ninguna fórmula mágica para evaluar sus activos y aplicaciones web orientados al público para determinar el riesgo de los cibercriminales. Dicho esto, existen mejores prácticas que pueden ayudarle a entender y minimizar el riesgo. Para obtener más información, consulte el libro electrónico “Principales cinco prácticas para la seguridad de las aplicaciones web”.
Más información
- Lea el blog: Web Application Security: Tres lecciones que aprendimos de las carreras de Formula 1™.
- Asista al seminario web: Tres maneras en que puede mejorar la seguridad de las aplicaciones web.
Artículos relacionados
- Passive Network Monitoring
- Penetration Testing
- Risk-based Vulnerability Management
- Security auditing
- Security Policy
- Center for Internet Security (CIS)
- Vulnerability Scanning