Las vulnerabilidades asociadas a aplicaciones web: un tipo de ciber amenaza en auge
Las amenazas de seguridad a las que están expuestas las compañías y organizaciones no solo han aumentado en diversidad, sino también en rapidez a la hora de completar los ataques y en frecuencia, en lo que concierne a los momentos en los que los recursos de las empresas se ven comprometidos por su exposición a los ciber delincuentes.
En el pasado, esta exposición a amenazas estaba sujeta en muchos casos a los tiempos concretos definidos por la evolución de las aplicaciones y servicios corporativos, que se actualizaban con una periodicidad que podía medirse en meses.
Las vulnerabilidades asociadas a las aplicaciones y servicios corporativos desplegados en Internet se exponían de un modo más crítico en el momento de desplegar las nuevas versiones o las actualizaciones. Una vez realizados los análisis de seguridad y vulnerabilidades correspondientes, era posible relajar, hasta cierto punto, las políticas de descubrimiento de vulnerabilidades.
Por otro lado, la dependencia de las aplicaciones web ha ido aumentando a medida que prácticas como el ecommerce han ido calando en organizaciones de todo tipo y tamaño. Además, las empresas han ido moviendo sus aplicaciones corporativas a la nube, facilitando el acceso a las mismas desde cualquier lugar y en cualquier momento.
Vulnerabilidades en aplicaciones web. ¿De qué hablamos?
Las aplicaciones web son la forma que tienen las organizaciones para exponer sus productos y servicios basados en software a sus clientes, ya sea en la modalidad B2B como en la modalidad B2C. Pero, al mismo tiempo que se exponen estos productos, servicios y soluciones, también se exponen potenciales vulnerabilidades.
Estas vulnerabilidades pueden ser aprovechadas por los ciberdelincuentes para ganar acceso a datos tales como credenciales o métodos de pago, a parámetros de configuración de los sistemas corporativos o a los scripts que se ejecutan cuando los usuarios acceden a una web, entre otros usos maliciosos.
Además, estas vulnerabilidades potenciales están expuestas 24 x 7 y están sujetas a tantos cambios como modificaciones se hagan en las aplicaciones y servicios desplegadas en la web. Como veremos, estas modificaciones se dan, en un número creciente de ocasiones, de un modo continuado en el contexto de metodologías de trabajo basado en agile development y DevOps.
Aplicaciones web: el reto del pentesting continuado
El análisis de las vulnerabilidades y potenciales oportunidades de ataque por parte de ciber delincuentes en las aplicaciones web es un escenario especialmente exigente para los departamentos de seguridad de las empresas en general y para los CISOs en particular.
Las estrategias de desarrollo ágil (agile development) y los modelos DevOps han hecho posible que los productos y servicios ofrecidos por las compañías evolucionen y progresen a ritmos acelerados, aunque a cambio de introducir variables nuevas en aspectos como la ciberseguridad, abriendo nuevos frentes para los equipos encargados de proteger los activos de las organizaciones frente a ciber ataques y ciber amenazas.
En este sentido, compañías como Outpost24 han desarrollado soluciones de seguridad específicas para hacer frente a los retos introducidos por las estrategias de agile development y los modelos DevOps de desarrollo y despliegue de aplicaciones y servicios. El método habitual para detectar fisuras en la seguridad de dichas aplicaciones y servicios web es el pentesting o tests de penetración.
El inconveniente de las técnicas tradicionales de pentesting es su carácter estático. En palabras de David García, “Las empresas, habitualmente, hacen uno o dos pentesting puntuales al año, muchas veces de forma apresurada. Outpost24 ofrece la posibilidad de realizar pentesting a través de una solución que permite la entrega de insights en tiempo real para una remediación más rápida.”
La propuesta de Outpost24 en este campo de la ciber seguridad pasa por ofrecer, además de los pen testing tradicionales y estáticos, una modalidad de test de penetración bajo la modalidad “as a Service”. El PTaaS es una de las propuestas diferenciales de Outpost24 para hacer frente a las amenazas enfocadas a las aplicaciones y servicios web.
PTaaS: las ventajas de la solución de Outpost24
La modalidad de PTaaS de Outpost24 encaja perfectamente con las necesidades de las empresas que han adoptado o están en vías de adoptar las estrategias de desarrollo ágil y el modelo DevOps de desarrollo de aplicaciones y servicios. Concretamente, SWAT es la solución alrededor de la cual gira esta modalidad de PTaaS.
El objetivo es proteger el Software Development Life Cycle (o SDLC), dentro de lo que ha sido llamado DevSecOps. Se trata de acompañar todo el ciclo de desarrollo y despliegue de las aplicaciones y servicios con estrategias y prácticas de ciberseguridad que permitan proteger frente a amenazas y ataques, cada etapa de los ciclos DevOps. Y además, de un modo continuado.
Outpost24 ofrece una solución de pentesting que combina tanto tácticas de testing manuales, como escaneos automatizados de vulnerabilidades y un sistema de scoring que tiene en cuenta el contexto particular de cada organización, como parte de una metodología SWAT (Special Weapons And Tactics).
La priorización de las amenazas juega un papel esencial en las estrategias CTEM, y el scoring es un componente esencial de esa priorización a la hora de tener una visión continua de los activos de las empresas, algo que se logra con las soluciones de Risk Based Vulnerability Management de Outpost24.
David García enfatizaba este punto, reforzando la idea de que la priorización se debe hacer “en función, no solo de las prácticas tradicionales basadas en estándares de ciberseguridad o en determinados marcos y esquemas, sino también en función de las características propias de cada negocio e incluso, la mayoría de veces, en relación con información obtenida mediante ciberinteligencia, como la existencia comprobada de exploits asociados.
La protección de las aplicaciones web, una prioridad
Las aplicaciones web se han convertido en un activo vital para un creciente número de empresas y organizaciones que dependen de Internet para llevar sus productos, soluciones y servicios a los clientes, o como parte de la operativa interna de las propias compañías. Una disrupción en el funcionamiento de estas aplicaciones puede suponer pérdidas ingentes, no solo en el plano financiero, sino también en la reputación de las empresas, especialmente en el caso de que el modelo de negocio contemple su venta en el futuro (M&A o Mergers and Acquisitions por sus siglas en inglés).
Empresas en sectores como el financiero, los seguros o la sanidad, son también especialmente sensibles a las vulnerabilidades web.
Asegurarse de que estas aplicaciones están libres de vulnerabilidades desde el mismo momento en el que se están desarrollando y tener la agilidad suficiente como para hacer frente a potenciales brechas de seguridad que puedan ser explotadas por los ciberdelincuentes, es esencial para mantener la continuidad de negocio.
Las APIs inseguras son otra potencial puerta de entrada para los ciber delincuentes. De todos modos, existen bastantes más vulnerabilidades habituales en aplicaciones web, que giran alrededor de otras técnicas, como SQL Injection, Server Side Request Forgery (SSRF), Broken Access Control, Sensitive Data Exposure o Cross Side Scripting (XSS) entre otras.
Las soluciones de Outpost24 para la protección de las aplicaciones web bajo el paraguas de PTaaS, entre otros productos y servicios, permiten a los CISOs y a otros responsables de la seguridad en las empresas, hacer frente de un modo efectivo a las amenazas que pueden interferir con la actividad de las compañías.