Inicio  ·  Blog

Blog Advanced WAF:

Cómo mitigar las vulnerabilidades de las aplicaciones

Actualmente, las aplicaciones no sólo permiten la transformación digital de un negocio, sino que son, a su vez, el negocio. Para mantener la agilidad al tiempo que se acelera la velocidad de comercialización, las organizaciones han adoptado el desarrollo ágil y han confiado a los equipos de AppDev y DevOps la entrega de los imperativos empresariales estratégicos para mitigar las vulnerabilidades de las aplicaciones

Ahora un desarrollador puede automatizar la construcción, las pruebas, el despliegue, el funcionamiento y la supervisión de un nuevo código capaz de cambiar el mundo. Todo esto, con un simple clic.

¿Pero qué pasa con la seguridad? 

El desarrollo de aplicaciones se ha transformado y está ampliamente automatizado, pero la seguridad sigue siendo un esfuerzo manual. Los desarrolladores y los profesionales de DevOps superan en número a los profesionales de la seguridad en una proporción de 100 a 1. 

La presión del tiempo de comercialización provoca fricciones entre equipos de aplicaciones y de seguridad. Además, dicha presión ha creado la percepción de que la seguridad es un cuello de botella. Este es un grave dilema que a menudo da lugar a pruebas deficientes, atajos en los procesos y una supervisión ineficaz. 

Al mismo tiempo, la proliferación de arquitecturas, la nube y las integraciones de terceros han aumentado drásticamente la superficie de amenaza para muchas organizaciones. Las vulnerabilidades de las aplicaciones cross-site scripting (XSS) e injection son frecuentes desde los inicios de la seguridad de las aplicaciones, hace más de 20 años. Sin embargo, los atacantes siguen descubriendo y explotando las vulnerabilidades en las aplicaciones a un ritmo alarmante. 

Cada día se publican vulnerabilidades críticas en las aplicaciones. Por este motivo, los atacantes las convierten rápidamente en armas de automatización, que escanean continuamente Internet para descubrir nuevas vulnerabilidades y de esta forma poder explotarlas con fines lucrativos. Particularmente, el software de código abierto está plagado de vulnerabilidades y algunas de ellas son plantadas por los atacantes. 

F5 Labs informa que la creciente descentralización de la arquitectura de las aplicaciones plantea retos significativos para la visibilidad y los controles de seguridad que simplemente no existían antes. Ya sea que entendamos esta descentralización en términos de widgets de terceros, computación sin servidor o contenedores, aplicaciones de microservicios, o la creciente importancia de las APIs.

Para gestionar eficazmente la creciente complejidad de la seguridad de las aplicaciones entre arquitecturas, nubes y marcos de desarrollo, las organizaciones necesitan coherencia. 

Proyecto abierto de seguridad de las aplicaciones web para mitigar sus vulnerabilidades

El Proyecto abierto de seguridad de las aplicaciones web (OWASP por sus siglas en inglés) se fundó en 2001 para persuadir a los ejecutivos de las empresas y a los consejos de administración de la necesidad de una gestión eficaz de las vulnerabilidades.

Un enfoque disciplinado, que incluye a los proveedores de seguridad y los comentarios de la comunidad, dio como resultado el OWASP Top 10; una lista que incluye las vulnerabilidades de aplicaciones críticas.

El XSS y la injection han estado en todas las listas OWASP Top 10 desde su creación. Las vulnerabilidades XSS están presentes en dos tercios de todas las aplicaciones.

Y aunque la injection SQL recibe mucha atención, hay muchas otras formas, incluyendo LDAP, XPath, comandos del sistema operativo, analizadores XML, cabeceras SMTP, Expression Language y consultas ORM. 

software de código abierto

El código heredado es particularmente vulnerable. Una amenaza creciente que OWASP está monitoreando es la omnipresencia del software de código abierto. Aunque el software de código abierto acelera significativamente el desarrollo, también cambia la gestión de riesgos porque los controles que son comunes en el software personalizado desarrollado en casa, como el análisis de código estático (SCA), no son posibles con el software de código abierto. 

En 2017, los atacantes explotaron una vulnerabilidad de deserialización insegura en instancias no parcheadas del software de código abierto Apache Struts. Si bien las vulnerabilidades de deserialización insegura en general no son fáciles de explotar, debido a la necesidad de comprender íntimamente las partes internas del sistema, pueden dar lugar a la ejecución remota de código con consecuencias devastadoras. 

El auge de la automatización y la nube para mitigar las vulnerabilidades de las aplicaciones

La rápida evolución de la tecnología está cambiando la forma en que las organizaciones hacen negocios y los pasos que deben seguir para mantener sus negocios seguros y protegidos. 

Actualmente, el 80% de las organizaciones están ejecutando la transformación digital, con un énfasis cada vez mayor en la aceleración de la velocidad de comercialización. Además, el 73% de las empresas está automatizando las operaciones de red para aumentar la eficiencia.

La explosión de las aplicaciones y la velocidad de comercialización también están impulsando cambios fundamentales en la gestión de riesgos. Los ingenieros de red pueden no desplegar la infraestructura. 

Los equipos de DevOps pueden crear fácilmente infraestructuras virtuales y efímeras utilizando arquitecturas emergentes, como la computación sin servidor en un entorno de nube maduro, automatizando todo, desde la creación del código hasta el despliegue del servicio. Estos cambios en las funciones, responsabilidades y formas de trabajar en el ciclo de desarrollo de aplicaciones a menudo pueden dejar atrás la seguridad. 

Mitigar las vulnerabilidades de Apps

Al mismo tiempo, los atacantes se están volviendo creativos en sus métodos; ya que están aprovechando las herramientas y los marcos disponibles para automatizar y escalar sus ataques. 

Además, muchas empresas quieren adoptar uno o más proveedores de nube o un proveedor favorito para la gestión de riesgos y la continuidad del negocio. El reto es que los proveedores de la nube carecen de seguridad universal. 

Esto a menudo deja a los responsables de la seguridad confundidos acerca de lo que está asegurado o no y los matices pueden dar lugar a una vulnerabilidad. Dicha vulnerabilidad comúnmente puede ser una mala configuración de la seguridad (por ejemplo, véase el modelo de responsabilidad compartida de AWS). 

Campaña de amenazas

F5 Labs descubrió una campaña de amenazas en la que los atacantes aprovechan la automatización para encontrar vulnerabilidades de injection (por ejemplo, CVE-2011-4107 y CVE-2013-3241 en PHP de código abierto) y explotan portales de autenticación débiles y/o bases de datos MySQL anticuadas para robar datos confidenciales y establecer una cabeza de playa para otros ataques.

F5 Labs y el informe Verizon Data Breach Investigations Report muestran cómo los autores de la amenaza explotan una vulnerabilidad para obtener acceso a los servidores de correo electrónico basados en la nube; también envían correos electrónicos internos de phishing que enlazan con formularios de inicio de sesión falsos y recogen credenciales para utilizarlas en ataques de relleno de credenciales. 

La necesidad de integrarse en el proceso 

El riesgo está cambiando debido a la forma en que se construyen y despliegan las aplicaciones. Por lo tanto, la seguridad debe cambiar para mantenerse a la vanguardia de las vulnerabilidades de las aplicaciones

La visibilidad de los ataques es más importante que nunca, debido a la creatividad de los atacantes, que explotan inicialmente una vulnerabilidad. Incluso, posteriormente los atacantes envían un correo electrónico de phishing bien elaborado que engaña al usuario para que revele sus credenciales. 

Ataque de relleno de credenciales

Los atacantes pueden utilizar esa información en un ataque de relleno de credenciales a gran escala, pudiendo dar lugar a un acceso no autorizado, como robo de datos; también pueden tomar posesión de cuentas y generar un fraude si no se implementan medidas para mitigar las vulnerabilidades de las aplicaciones.

Los parches virtuales y pruebas dinámicas de seguridad de las aplicaciones (DAST) son tan importantes como siempre. Sin embargo, las organizaciones necesitan un cambio de paradigma en la forma de implementar la seguridad de las aplicaciones.

En lugar de construir una política de seguridad tras lanzar una aplicación y examinar los falsos positivos para estabilizar la política; la seguridad de las aplicaciones debe integrarse en el desarrollo. De esta manera, la seguridad estará intrínsecamente integrada en el ciclo de vida de desarrollo de la aplicación, independientemente de la arquitectura, la nube o el entorno. 

Automatización para mitigar las vulnerabilidades de las aplicaciones

La seguridad de las aplicaciones más eficaz está automatizada e integrada. La automatización disminuye gastos operativos (OpEx) y reduce la presión sobre los recursos de seguridad críticos durante el lanzamiento, implantación y mantenimiento de las aplicaciones. 

El despliegue automatizado de políticas mejora la eficacia implementando y estabilizando controles de seguridad en una fase más temprana del ciclo de vida del desarrollo de software (SDLC), conduciendo a una mayor eficacia con menos intervención humana. 

La integración nativa en los marcos de desarrollo de aplicaciones y en las canalizaciones de integración continua / entrega continua (CI/CD) para mitigar las vulnerabilidades de Apps puede mejorar el tiempo de comercialización. A su vez, disminuye el riesgo, reduce la fricción entre los equipos de desarrollo y de seguridad y conduce a mejores resultados empresariales. 

La integración en las herramientas de los desarrolladores, implementando y realizando mantenimiento basados en las APIs, simplifica la gestión de las políticas y el control de los cambios en múltiples arquitecturas y nubes; de esta forma se reduce la complejidad y la carga de trabajo de los desarrolladores. 

Conclusión 

Los atacantes no necesitan entender el interior de tu sistema cuando los exploit se publican en línea. Asimismo, los marcos de automatización que analizan las nuevas vulnerabilidades publicadas pueden actualizarse y lanzarse de forma sencilla. 

Hoy en día, las aplicaciones son el negocio, lo que hace que las amenazas a las aplicaciones sean el mayor riesgo. Las arquitecturas modernas y descentralizadas de las aplicaciones ampliaron la superficie de las amenazas. La automatización aumentó la eficacia de los atacantes y las consecuencias de la ciberdelincuencia siguen creciendo.

Hoy en día, las aplicaciones son el negocio y las amenazas a las aplicaciones son el mayor riesgo

La solución está clara. En lugar de retrasar el lanzamiento de una aplicación, se debe integrar la seguridad en el proceso de desarrollo; de esta forma, se trabaja la integración en una fase más temprana del ciclo de vida del desarrollo. Es la mejor y más eficaz manera de mitigar proactivamente vulnerabilidades en las aplicaciones, aumentar su seguridad y reducir el riesgo para la empresa. 

F5 protege las aplicaciones de forma eficaz contra diversas amenazas con menos fricción para acelerar la transformación digital y proteger los resultados empresariales estratégicos. 

Principales Ventajas de mitigar las vulnerabilidades de las aplicaciones

Integración en el proceso 

La seguridad de las aplicaciones está intrínsecamente integrada en el ciclo de vida del desarrollo de aplicaciones. Esto es así independientemente de la arquitectura, la nube o el marco de trabajo. 

Máxima eficacia de seguridad en el mundo real 

F5 protege la mayor cantidad de aplicaciones con la más alta eficacia de seguridad en el mundo real con menos fricción. Esto se hace en red, nube y arquitectura de las aplicaciones, acelerando la transformación digital y protegiendo los resultados empresariales estratégicos. 

Protección automatizada

Las soluciones de F5 se adaptan y mantienen una eficacia total cuando los atacantes se reajustan y evolucionan para superar las contramedidas, sin comprometer la experiencia general del usuario. 

Características Principales

  • La integración nativa en los marcos de desarrollo de aplicaciones mejora el tiempo de comercialización y reduce la fricción.
  • La protección contra amenazas conocidas y emergentes reduce el riesgo y acelera la transformación digital.
  • La compatibilidad con todas las arquitecturas, factores de forma, modos de despliegue y mandatos de cumplimiento de normativas proporciona flexibilidad para admitir todas las aplicaciones. 
  • La protección inmediata contra las vulnerabilidades de las aplicaciones reduce el riesgo y los costes de reparación. 
  • La alimentación dinámica de firmas para bloquear las amenazas emergentes permite que la seguridad se adapte al panorama de las amenazas. 
  • El despliegue automatizado de políticas mejora la eficacia al implementar y estabilizar los controles de seguridad en las primeras fases del ciclo de vida del desarrollo de software. 
  • La integración en la cadena de producción de la tecnología CI/CD reduce la fricción entre los equipos de desarrollo y de seguridad. 
  • La API declarativa simplifica la implantación y el mantenimiento de las políticas al abstraer la complejidad y reducir la carga de trabajo de los desarrolladores. 
  • La implantación y mantenimiento basados en API simplifican la gestión de políticas y el control de cambios en múltiples arquitecturas y nubes; también ayuda a mitigar las vulnerabilidades de Apps

Otros contenidos de nuestro blog que pueden interesarte:

Las cinco prácticas de ciberseguridad que toda empresa debería adoptar

En general, las organizaciones deben implementar las prácticas de ciberseguridad necesarias para mitigar el riesgo y cumplir con los requisitos de cumplimiento. Hemos hablado de cómo mitigar las ciberamenazas conocidas y previsibles. Sin embargo, ¿cuál es el listón...

Guía práctica para elegir el WAF adecuado para tu empresa

A pesar de los grandes esfuerzos colectivos que ha realizado la industria tecnológica para reforzar las prácticas de desarrollo de aplicaciones seguras, la mitad de estas siguen siendo vulnerables a los ataques. Violaciones de datos confirmadas El informe Verizon 2018...

OWASP Top 10, cómo evitar las principales amenazas de seguridad en aplicaciones web

Hay una razón por la que el OWASP Top 10 ha recibido tanta atención últimamente. Es la misma razón por la que seguimos escuchando hablar de importantes brechas de seguridad y de datos a diestro y siniestro. La seguridad de aplicaciones web es difícil, muy difícil. Por...

El ROI oculto de la seguridad en la nube

Seguro que ya habéis escuchado esto antes: empresas de todos los tamaños están experimentando la transformación digital, trasladando aplicaciones y servicios a la nube en un esfuerzo por impulsar la productividad y acelerar la innovación y todo esto con la finalidad...

Proteja sus APIs y Aplicaciones donde quiera que se alojen

Todas las organizaciones quieren lo mismo de sus aplicaciones: el mejor rendimiento para sus usuarios y una seguridad excepcional para evitar pérdidas y daños. Es un concepto sencillo, pero ofrecer una seguridad integral que no ralentice la...

Actualizar la seguridad a la velocidad del negocio

En el vertiginoso mundo actual, los cambios en las empresas deben producirse en un abrir y cerrar de ojos o tendrán un importante impacto negativo. Algunos cambios están impulsados por la necesidad del negocio, otros por el entorno y la seguridad. Por ejemplo, la...

Las tres fases de la transformación digital

En los últimos años, las empresas de todos los sectores industriales se han embarcado en un viaje de transformación digital de una forma u otra. Las empresas están aprovechando la proliferación de tecnologías digitales para definir nuevos modelos de negocio o...

La mitad del malware del mundo está ahora encriptado

Lo que no puedes ver podría estar perjudicando a tu organización y el cifrado es un importante punto ciego. Según F5 Labs más del 80% del tráfico mundial de Internet está encriptado y la falta de visibilidad del tráfico encriptado supone una importante amenaza para la...

El estado de la estrategia de las aplicaciones 2021: La eficacia de la automatización

La automatización es un componente crítico de la transformación digital, ya que es la automatización de las tareas a través de las aplicaciones lo que constituye el foco de la primera fase para la digitalización empresarial. La transformación digital de los flujos de...

Firewall Avanzado de Aplicaciones Web (AWAF)

¿Por qué necesitan las organizaciones un AWAF? Hoy en día, las empresas están ampliando sus negocios mediante el uso de aplicaciones basadas en la web y alojadas en la nube, por lo que contar con un firewall avanzado de aplicaciones web (AWAF) robusto y ágil para...

¿Necesitas información personalizada sobre Advanced WAF?

Nuestros asesores podrán ofrecerte una solución a medida de tus necesidades

Contactar con un asesor