Las aplicações siempre activas las 24 horas del día, los 7 días de la semana, implican una exposición constante a amenazas como nunca antes desde la llegada de Internet. Para las empresas que desarrollan sus propias aplicações, sus programadores necesitan producir software como parte de un ciclo de vida de desarrollo de software (SDLC) seguro de extremo a extremo. Esto significa centrarse en reducir la superficie de ataque del software, eliminar vulnerabilidades y capacitar a los desarrolladores para diseñar y programar de forma más segura. Aquí le mostramos cómo garantizar la disponibilidad, integridad y confidencialidad de sus aplicaciones.
7 minutos. LEER
Durante las últimas cuatro décadas, el software ha evolucionado. En los días del mainframe, los usuarios accedían a programas almacenados centralmente en grandes sistemas multiusuario. Sin embargo, en la década de 1990, la aplicação típica venía en un disco de plástico envuelto en plástico dentro de una caja de cartón y se instalaba localmente y se actualizaba con poca frecuencia.
En cierto sentido, hemos cerrado el círculo: las aplicações se distribuyen cada vez más a través de una red y los desarrolladores de aplicação participan cada vez más en funciones operativas y en la protección de las aplicaciones que ellos mismos desarrollan. En este mundo siempre activo y de aplicaciones como servicio, las vulnerabilidades del software pueden explotarse rápidamente y los ataques DDoS simples pueden interrumpir el servicio.
Para las empresas que desarrollan sus propias aplicações, sus programadores necesitan producir software como parte de un ciclo de vida de desarrollo de software (SDLC) seguro de extremo a extremo. Esto significa centrarse en reducir la superficie de ataque del software, eliminar vulnerabilidades y capacitar a los desarrolladores para diseñar y programar de forma más segura.
Al mismo tiempo, las empresas también deben tratar las aplicações en la nube como tecnología operativa que necesita gestionarse de forma segura. Debido a que las aplicações en la nube están siempre conectadas, pueden ser atacadas fácilmente, lo que hace que la identificación y eliminación oportuna de vulnerabilidades sea fundamental. Para mantenerse a la vanguardia de las amenazas, las empresas deben implementar un proceso de gestión de vulnerabilidades que identifique y clasifique las vulnerabilidades y pueda automatizar rápidamente la remediación con un firewall de aplicação web (WAF). Un WAF es un control de web security crítico que puede permitirle a una empresa ganar tiempo al bloquear un ataque mientras el equipo de desarrollo trabaja para reparar el código.
Más allá de la típica discusión sobre gestión de vulnerabilidades en la seguridad de las aplicaciones, ¿qué más debería considerar? Un punto de partida es establecer el control de acceso adecuado. El marco de autenticación, autorización y contabilidad (AAA) es una guía fundamental para garantizar que se requiera una autenticación sólida de manera predeterminada, mediante capacidades como SSO y autenticación multifactor. Además, autorizar a los usuarios basándose en un control de acceso sólido basado en roles (RBAC) que incluye al menos tres roles (por ejemplo, usuario sin privilegios, usuario privilegiado y administrador) ayuda a reducir incidentes no deseados. Y, si ocurre un incidente, asegurarse de registrar los eventos adecuadamente le ayudará a obtener detalles clave para la resolución, como qué cuenta se utilizó y de qué sistema provino.
En este mundo siempre activo, las vulnerabilidades del software pueden ser explotadas rápidamente.
Junto con el marco AAA, analizar la seguridad de las aplicaciones a través de la lente de los principios de seguridad de la CIA (confidencialidad, integridad y disponibilidad) puede destacar pasos adicionales que las empresas deben tomar para proteger sus aplicações y mantener los servicios en funcionamiento.
Dado que los trabajadores dependen cada vez más de las aplicações en la nube, la disponibilidad de servicios en la nube se ha vuelto fundamental para las operaciones comerciales. Los ataques DDoS, que antes eran sólo una molestia, ahora tienen una capacidad mucho mayor para perturbar las operaciones comerciales.
Recomendaciones:
Mantener abiertas las puertas digitales es la primera prioridad de una empresa. Mantener alejados a los malos es el segundo. Los equipos de desarrollo y operaciones necesitan crear bases seguras para el acceso a todas sus aplicações y datos como se analiza en AAA anteriormente. También necesitan gestionar el control de cambios para que cambios no deseados no provoquen que la aplicación funcione de maneras que afecten la integridad de los datos.
Recomendaciones:
La confidencialidad de los datos debe abordarse en la recopilación, el transporte y el almacenamiento, ya sea en la nube o en las instalaciones de su centro de datos. La gestión de vulnerabilidades, incluido un WAF, es el principal control que debe tener implementado para evitar que una vulnerabilidad de explotación de la aplicação comprometa su aplicación y la confidencialidad de los datos que contiene. Hoy en día, no hay razón para no utilizar la tecnología TLS para cifrar las comunicaciones entre el usuario y el servidor de aplicação web. Los datos almacenados en la nube o en las instalaciones también deben estar completamente cifrados para evitar el acceso no autorizado.
Recomendaciones:
Preston Hogue es el Sr. Director de Marketing de Seguridad en F5 Networks. Preston es responsable de las campañas de seguridad global, la evangelización y el liderazgo intelectual, incluida la supervisión del equipo de inteligencia de amenazas de aplicação de F5 Labs. Preston tiene más de 20 años de experiencia en seguridad de la información, incluido el desarrollo, la implementación y la gestión de programas de seguridad complejos, la arquitectura del análisis y la gestión de riesgos y la implementación de programas para abordar los requisitos regulatorios y de cumplimiento.