BLOG

Seguridad de la aplicación: El elefante en la habitación nublada

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 1 de junio de 2015

elefante en la nube

Está bien, niños. Es hora de que tengamos "esa charla". Ya sabes, ese sobre el que has estado susurrando con tus amigos pero hasta ahora tenías miedo de preguntar porque, por supuesto, todos los demás lo saben y no querías parecer, bueno, desagradable al admitir que en realidad no lo sabías.  

Excepto que no lo hacen, o al menos si lo hacen, tampoco hablan de ello. Y ya es hora de que hablemos de tomar las precauciones adecuadas al utilizar la nube. ¿Sabes cómo proteger tus aplicaciones en la nube de infecciones y ataques?

Sí, hoy finalmente vamos a hablar sobre la seguridad de las aplicação en la nube.

Sin cifrado. No gestión de acceso. Y no la seguridad de la red.

 

Seguridad de la aplicação .

Debido a todos los documentos, investigaciones, consejos y debates generales sobre "seguridad en la nube" disponibles hoy en día en Internet, muy pocos* de ellos mencionan las palabras "seguridad de las aplicaciones".  Puedo encontrar investigaciones y estadísticas sobre el uso del cifrado, sobre quién debería (y quién no) proteger los datos en la nube y quién usa qué tipo de gestión de acceso para restringir el acceso a aplicaciones en cualquier lugar y en todas partes. ¿Pero qué pasa con el tema de la seguridad de las aplicação ? Nada. Nada. Nada. Cero.

Lo cual es realmente sorprendente (y preocupante) dado que las aplicaciones web son la segunda causa principal de incidentes de seguridad para los servicios financieros, sólo detrás del malware de nombre maligno, según el más reciente Informe de investigación de violaciones de datos de Verizon (DBIR) .  También es sorprendente realizar un análisis de las 25 principales infracciones de este siglo y descubrir que casi la mitad (44%) se ejecutaron a través de una aplicação web. También es desalentador porque parece haber una correlación entre una postura de seguridad decreciente y la migración de aplicações a la nube .

La realidad es que el cifrado no es una panacea.

Permítanme repetirlo, esta vez en mayúsculas para enfatizar lo serio que es esto: EL CIFRADO NO ES UNA PANACEA.

Ni la seguridad de la red ni la gestión de acceso.

Todas estas cosas son buenas, pero individualmente son sólo una parte de un esquema de protección mucho más amplio. Un esquema de protección que debería incluir (aunque a menudo no lo hace) la seguridad de las aplicação .

La seguridad de la red no detendrá un ataque DDoS HTTP . La gestión de acceso no va a detener la explotación de una vulnerabilidad de una plataforma web como Heartbleed o Apache Killer .

El cifrado no detendrá un SQLi. El cifrado del código malicioso simplemente lo oculta de los innumerables servicios de la red diseñados para encontrarlos.

La aplicação es, por su propósito, un recurso público. Lo publicamos y esperamos –es más, alentamos, seducimos, rogamos– que los consumidores interactúen con él. Para usarlo. Para instalarlo. Visitarlo a menudo. Es un mundo de aplicação , y eso significa que las aplicações son fundamentales para todos los aspectos del negocio, ya sea la cara del cliente, la cara del empleado o los sistemas internos en funcionamiento. Hoy en día dependemos de aplicações para casi todo lo que hacemos, y sin embargo, cuando mencionamos la seguridad, parece que nunca la recordamos.

Ya es hora de que empecemos a prestar más atención a la seguridad de las aplicação , y no sólo a la seguridad de datos , la seguridad de la red o las comunicaciones cifradas. Los datos son más vulnerables cuando están en proceso en la aplicação. Esto se debe a que en ese momento está en texto sin formato y está completamente bajo el control de esa aplicação. La aplicação puede mostrarlo, modificarlo y entregárselo a quien sea (o cada vez más, a quien sea, dado el aumento de bots, arañas y malware) que pueda extraerlo.

Esto significa que debemos prestar más atención a la protección de las aplicações contra la explotación y los ataques. Desde la plataforma (el servidor web o de aplicaciones) hasta los protocolos (TCP y HTTP) hasta el código en sí. Necesitamos escanear, depurar, descubrir y defendernos contra los innumerables métodos que utilizan los ataques para explotar toda la pila de aplicação .

Los ataques a aplicação web duplicaron su frecuencia, pasando de menos del 20 % en 2012 al 40 % en 2013, según F-Secure Labs, y Neustar descubrió en 2014 que el 55 % de los objetivos de DDoS experimentaron una cortina de humo (DDoS volumétrico como cobertura para los ataques reales, de la capa de aplicação ), y casi el 50 % tenía malware o virus instalado y el 26 % perdió datos de clientes.

Los ataques a las aplicação son una amenaza real y significativa, especialmente a medida que migran a la nube, donde puede haber menos opciones disponibles para protegerlas.

Los servicios nativos disponibles en la nube centrados en la seguridad se centran en el acceso y el cifrado. Ninguno de ellos es seguridad de "capa de aplicação " y ninguno proporciona la cobertura necesaria para inspirar confianza en la resistencia a un ataque diseñado para deshabilitar, corromper o exfiltrar datos mediante la explotación de la propia aplicação . Esto significa que necesita otra solución; otro servicio diseñado para proteger las aplicações y los datos que éstas son responsables de manejar en la nube tal como lo hacen en el centro de datos. Esto puede significar un WAF (firewall de aplicação web) habilitado para la nube o un WAF como servicio o, como mínimo, una aplicação exhaustiva de las mejores prácticas recomendadas por OWASP en cada aplicação implementada en la nube.

La seguridad en la nube puede considerarse una responsabilidad compartida, en la que el proveedor y el cliente se hacen cargo de los diferentes aspectos de la seguridad de "la nube", pero la seguridad de las aplicação es en un 110 % responsabilidad de quien coloca esa aplicação en la nube en primer lugar. Considere esta entrevista (a través de The Register ) con el director de programas de seguridad global de AWS, Bill Murray (énfasis mío):

“La seguridad en AWS es una responsabilidad compartida entre AWS y los clientes”, dijo Murray en una entrevista reciente. Es responsable de la seguridad de AWS, abarcando la seguridad física de los centros de datos de Amazon, y también gestionando órdenes judiciales y citaciones de las fuerzas del orden.

"Los clientes son responsables de proteger todo, desde el sistema operativo invitado que ejecutan en AWS hasta las aplicações que ejecutan", declaró a El Reg . "Somos responsables del sistema operativo host, la máquina virtual y todo, hasta el hormigón del suelo del centro de datos".

“Nos hacen mucho esta pregunta: '¿Qué te mantiene despierto por la noche?' "Lo que nos quita el sueño en materia de seguridad de AWS es que el cliente no configura correctamente sus aplicações para mantenerse seguro", dijo Murray.

Ese es usted, y eso significa que necesita considerar cuidadosamente qué servicios y soluciones está implementando para proteger esa aplicação de lo que inevitablemente parece ser el ataque que se le presentará.

La seguridad de las aplicação no es como un guardaespaldas caro. No es algo que sólo las aplicaciones VIP obtienen. Se trata más bien de seguridad personal, y es algo que toda aplicação que se presenta en público debería tener. Y eso es cierto tanto si esas aplicaciones están en el centro de datos como en la nube.

*Digo “muy pocos” pero honestamente no pude encontrar ni uno. Quizás sea mi fallo en Google, pero lo más probable es que se deba a que nadie parece querer hablar de ello.