La seguridad web en las organizaciones ante el reto de la transformación digital
Cada día preocupa más el control y la gestión de la información que hacen las aplicaciones web. No obstante, tanto la protección pura de la navegación como de las aplicaciones web converge en lo que de verdad hay que proteger, el dato y todo el entorno alrededor.
En la actualidad hay cuatro principales vectores de ataque en una organización: el correo electrónico, la red, las aplicaciones web y el puesto de usuario. Cada uno de estos puntos de acceso plantea retos para la seguridad distintos.
Hablar de seguridad web engloba un concepto muy amplio. Hoy web es todo, el acceso a URLs, acceso a contenido de aplicaciones móviles, aplicaciones y datos que están en servicios cloud… ¿Qué nuevas tendencias están irrumpiendo en el mercado que obligan a tomar nuevas medidas de protección en la organizaciones? Rosalía Arroyo, Redactora jefe de Channel Biz, se ha reunido con Miguel Ángel Martos, director general de Blue Coat en la región de Iberia, y Luis Miguel Garrido, Director Comercial Grandes Cuentas en Fortinet, para analizar la situación.
Fundamentalmente existen dos tendencias a tener en cuenta: una, que el tráfico web ya no es solo hacia la URL sino hacia aplicaciones y servicios que están en la nube y, por tanto, las empresas tienen que vigilar esos datos aplicando otro tipo de criterios frente a la seguridad en general; y otra, que el tráfico web, en un porcentaje altísimo, ya está cifrado y esto es un desafío adicional.
Conviene diferenciar entre seguridad web y seguridad de las aplicaciones web, ya que tienen problemáticas distintas y los ataques que se producen son diferentes. “En una aplicación web está habiendo ataques de SQL injection, Cross Site Scripting … cierto tipo de ataques muy concretos para romper un aplicativo web y entrar en la base de datos y, sin embargo, en la navegación los ataques intentan meter cosas para propagarlas dentro de la organización”, afirma Luis Miguel Garrido, de Fortinet.
En ambas, la estrategia de seguridad que se aplica es la de “capas de cebolla”, es decir, si no te para la amenaza una barrera, te la paran otras, como en los antivirus, donde existen los antivirus de navegación, antivirus de host, antivirus de correo y antivirus de puesto.
Además de la protección pura de la navegación y de la aplicación, estos dos mundos convergen en lo que de verdad hay que proteger que es el dato. “Cobra cada vez más importancia la protección del dato en sí, esté donde esté (CPD, entornos virtualizados -hay que proteger también el tráfico entre máquinas virtuales-, aplicaciones, etc.) además de todo el entorno alrededor: saber si alguien ha podido acceder a una aplicación, robar las credenciales, acceder al dato y si ese dato está siendo público en cualquier lugar”, especifica Garrido.
“Por otro lado, en los casos de infraestructura como servicio, el proveedor de servicio garantiza un nivel de seguridad de su servicio para la infraestructura necesaria (gateways, firewalls…) pero no la protección del dato, esta es responsabilidad de las empresas”, aclara Miguel Ángel Martos, de Blue Coat. “Si alguien accede a tu contenido y es capaz de descargárselo porque tú no has hecho una gestión adecuada de tus credenciales, por ejemplo, es tu responsabilidad. Para la protección del dato se aplican parámetros distintos a la seguridad en general, no se pueden aplicar los mismos elementos de pasarela, por ejemplo, sino que se necesita llevar a cabo un análisis del comportamiento dentro de esos datos, análisis de fuga de información y análisis de distribución de malware dentro de la infraestructura de datos”.
En los procesos de transformación digital, las organizaciones están apostando tanto por modelos de nubes privadas, como es el caso de la Administración Pública -que nunca va a sacar sus datos fuera- como híbridas. Sin embargo, “aquellas entidades que por estrategia o por política no quieran estar en la nube también tendrán que adoptar medidas adicionales de seguridad porque no van a poder impedir el uso de aplicaciones en la nube por parte de sus usuarios y, por tanto, deberán regularizar y securizar el acceso a dicha nube, y llegado el caso cortarlo si supone una amenaza”, explica Martos.
Desarrollo de aplicaciones bajo premisas de seguridad
Las aplicaciones tienen que tener unos criterios básicos de seguridad, adaptándose a la estrategia y los parámetros descritos como seguros por la empresa, es decir, determinar si debe o no acceder a los datos personales en el dispositivo móvil, si debe o no poder dar una indicación, etc. en base a criterios de seguridad y privacidad. Cada día preocupa más el control y la gestión de la información que hacen las aplicaciones, el uso que hacen de los datos.
En los entornos profesionales y de servicios a clientes y ciudadanos las apps (por ejemplo, pago de multas, pago de tasas, etc. ) normalmente están desarrolladas con criterios de funcionalidad, usabilidad y un cierto control de acceso, pero no de seguridad. La mayoría de los casos que se producen de robo de información es porque terceros entran en la aplicación utilizando vulnerabilidades de aplicación.
En la actualidad existe una mayor concienciación, sobre todo, entre las grandes compañías para diseñar aplicaciones utilizando criterios de seguridad.
“Los equipos de desarrollo de aplicaciones tienen unas prioridades (time to market – desarrollar la aplicación y ponerla en el mercado rápidamente-) y, sin embargo, no se aplican criterios de seguridad, de tal forma que lo que está ocurriendo es que ante aplicaciones ya desarrolladas hay que poner algo que permita que puedan estar protegidas”, pone de relieve el responsable de Fortinet.
Al final se terminan implantando mecanismos de prevención, con lo que a pesar de que una aplicación pueda tener debilidades, se instala delante una pasarela que haga que esas debilidades no puedan ser explotadas.
La mayoría de las organizaciones no pueden permitirse aplicar actualizaciones y parches en sus soluciones de seguridad porque les obliga a parar sus sistemas para instalarlos, con lo que las pasarelas de acceso son lo más utilizado como medida de defensa, además de que ofrecen un valor adicional porque permiten operativamente gestionar cosas, por ejemplo, actualizar los parches.
Seguridad preventiva vs seguridad correctiva
Hay dos tendencias claras a la hora de operar la seguridad en estos momentos. Una es la seguridad preventiva, en la que las empresas tratan de segmentar y construir “la muralla del castillo”, pero cada día más organizaciones están aplicando la seguridad correctiva, aplicando tecnologías de detección y corrección de anomalías.
Casi el 90% de las amenazas hoy en día entran por tráfico cifrado y el 100% de la fuga de información se hace por tráfico cifrado.
“Hay muchas compañías que no están analizando el tráfico cifrado, con lo cual si uno quiere introducir malware en una empresa esta es la vía. Se está produciendo un crecimiento brutal de tráfico cifrado y sí que estamos viendo una concienciación clara de lo que supone no supervisar este tráfico. La tecnología permite tener un equilibrio entre interjecciones de SSL por motivos de seguridad manteniendo la privacidad. Se aplican criterios de automatización y discrecionales por parte de la organización”.
Por otro lado, están proliferando las tecnologías de sandboxing, orientadas a convertir lo desconocido en conocido lo antes posible, pero debe hacerse un uso eficiente para que sean operativas. “El objetivo es que lleguen por donde lleguen las amenazas puedan ir a un sandbox para analizar un fichero malicioso, identificarlo y ver que está haciendo algo. Pero lo importante, una vez identificado, es que se actualicen las barreras de protección rápidamente para tener una orquestación global”, especifica Luis Miguel Garrido.
“Lo interesante no es solo analizar la información y confirmar que se trata de un malware en el menor tiempo posible sino además pasar la información a todos los diferentes elementos de protección de la compañía para pararlo en todos los vectores de ataque”, aclara Miguel Martos.
Por su parte, la irrupción de las tecnologías cloud ha permitido a las organizaciones una mejora de sus costes operativos, pero ha generado nuevos problemas relacionados con la seguridad y el cumplimiento normativo, entrando en juego los agentes de seguridad de acceso a la nube (CASB).
Los proveedores de CASB que recién se inician pueden ofrecer visibilidad del riesgo que suponen las aplicaciones de nube, principalmente gracias a registros de proxy. Sin embargo, carecen de puntos de control del tráfico web y de nube para implementar políticas y así mitigar el riesgo de la nube en la sombra.
Compañías como Blue Coat y Fortinet se centran en compartimentar los entornos de seguridad en las organizaciones para limitar lo máximo posible los flujos de acceso a la información y, por tanto, las posibilidades de vulnerabilidades. Se trata de proteger entonos específicos para que no haya propagaciones.
Blue Coat tiene dos enfoques: por un lado protege el acceso a la web (protege usuarios fijos y usuarios móviles) securizando la navegación a través de su plataforma Secure Web Gateway; y protege también los servidores, tanto la infraestructura física, con sus plataformas de ribes proxy, como la aplicación (Web Application Firewall). La compañía ofrece como elementos adicionales mecanismos de seguridad preventiva, seguridad correctiva y control y protección del dato, sobre todo, cuando el dato está en aplicaciones en internet (CASB).
Por su parte, Fortinet proporciona al mercado una plataforma global de seguridad extremo a extremo, Fortinet Security Fabric. Independientemente de que la información esté donde esté (entornos físicos, de virtualización, SDN, cloud pública, privada etc.) Fortinet protege correo electrónico, redes, aplicaciones en cualquier tipo de entorno. El fabricante proporciona soluciones que ayudan a las empresas que están en procesos de transformación digital a resolver progresivamente las cuestiones de seguridad embebidas en todo este proceso con dispositivos tanto en entornos físicos, virtuales y en la nube, donde se combina la protección activa, la monitorización y la visibilidad con la identificación de vulnerabilidades no conocidas en el menor tiempo posible para conseguir un ecosistema escalable, respondiendo a las necesidades del momento.