BLOG

Cómo garantizar la disponibilidad, integridad y confidencialidad de tus aplicaciones

RESUMEN EJECUTIVO

Las aplicações siempre activas las 24 horas del día, los 7 días de la semana, implican una exposición constante a amenazas como nunca antes desde la llegada de Internet. Para las empresas que desarrollan sus propias aplicações, sus programadores necesitan producir software como parte de un ciclo de vida de desarrollo de software (SDLC) seguro de extremo a extremo. Esto significa centrarse en reducir la superficie de ataque del software, eliminar vulnerabilidades y capacitar a los desarrolladores para diseñar y programar de forma más segura. Aquí le mostramos cómo garantizar la disponibilidad, integridad y confidencialidad de sus aplicaciones.

Miniatura F5
F5
Publicado el 20 de marzo de 2017

7 minutos. LEER

Durante las últimas cuatro décadas, el software ha evolucionado. En los días del mainframe, los usuarios accedían a programas almacenados centralmente en grandes sistemas multiusuario. Sin embargo, en la década de 1990, la aplicação típica venía en un disco de plástico envuelto en plástico dentro de una caja de cartón y se instalaba localmente y se actualizaba con poca frecuencia.

En cierto sentido, hemos cerrado el círculo: las aplicações se distribuyen cada vez más a través de una red y los desarrolladores de aplicação participan cada vez más en funciones operativas y en la protección de las aplicaciones que ellos mismos desarrollan. En este mundo siempre activo y de aplicaciones como servicio, las vulnerabilidades del software pueden explotarse rápidamente y los ataques DDoS simples pueden interrumpir el servicio.

Para las empresas que desarrollan sus propias aplicações, sus programadores necesitan producir software como parte de un ciclo de vida de desarrollo de software (SDLC) seguro de extremo a extremo. Esto significa centrarse en reducir la superficie de ataque del software, eliminar vulnerabilidades y capacitar a los desarrolladores para diseñar y programar de forma más segura.

Aplicación de controles de acceso y principios básicos de seguridad

Al mismo tiempo, las empresas también deben tratar las aplicações en la nube como tecnología operativa que necesita gestionarse de forma segura. Debido a que las aplicações en la nube están siempre conectadas, pueden ser atacadas fácilmente, lo que hace que la identificación y eliminación oportuna de vulnerabilidades sea fundamental. Para mantenerse a la vanguardia de las amenazas, las empresas deben implementar un proceso de gestión de vulnerabilidades que identifique y clasifique las vulnerabilidades y pueda automatizar rápidamente la remediación con un firewall de aplicação web (WAF). Un WAF es un control de web security crítico que puede permitirle a una empresa ganar tiempo al bloquear un ataque mientras el equipo de desarrollo trabaja para reparar el código.

Más allá de la típica discusión sobre gestión de vulnerabilidades en la seguridad de las aplicaciones, ¿qué más debería considerar? Un punto de partida es establecer el control de acceso adecuado. El marco de autenticación, autorización y contabilidad (AAA) es una guía fundamental para garantizar que se requiera una autenticación sólida de manera predeterminada, mediante capacidades como SSO y autenticación multifactor. Además, autorizar a los usuarios basándose en un control de acceso sólido basado en roles (RBAC) que incluye al menos tres roles (por ejemplo, usuario sin privilegios, usuario privilegiado y administrador) ayuda a reducir incidentes no deseados. Y, si ocurre un incidente, asegurarse de registrar los eventos adecuadamente le ayudará a obtener detalles clave para la resolución, como qué cuenta se utilizó y de qué sistema provino.

En este mundo siempre activo, las vulnerabilidades del software pueden ser explotadas rápidamente.

Junto con el marco AAA, analizar la seguridad de las aplicaciones a través de la lente de los principios de seguridad de la CIA (confidencialidad, integridad y disponibilidad) puede destacar pasos adicionales que las empresas deben tomar para proteger sus aplicações y mantener los servicios en funcionamiento.

1.Disponibilidad: mantener las luces de la aplicação encendidas

Dado que los trabajadores dependen cada vez más de las aplicações en la nube, la disponibilidad de servicios en la nube se ha vuelto fundamental para las operaciones comerciales. Los ataques DDoS, que antes eran sólo una molestia, ahora tienen una capacidad mucho mayor para perturbar las operaciones comerciales.

Recomendaciones:

  • Utilice servicios de mitigación de DDoS diseñados para bloquear ataques en el borde de la red. En caso de un ataque, un sistema de este tipo puede realmente ahorrarle dinero ya que el tráfico no causará cargos adicionales debido a picos en el uso de la nube.
  • Implementar un proceso para la gestión del cambio. Muchas empresas han provocado una interrupción en sus propios servicios después de implementar una actualización defectuosa en su infraestructura.
  • Utilice un WAF o un dispositivo de protección DDoS para evitar ataques de capa 7 (nivel de aplicación).

2.Integridad: garantizar que la aplicación funcione según lo previsto

Mantener abiertas las puertas digitales es la primera prioridad de una empresa. Mantener alejados a los malos es el segundo. Los equipos de desarrollo y operaciones necesitan crear bases seguras para el acceso a todas sus aplicações y datos como se analiza en AAA anteriormente. También necesitan gestionar el control de cambios para que cambios no deseados no provoquen que la aplicación funcione de maneras que afecten la integridad de los datos.

Recomendaciones:

  • La implementación de herramientas como WebSafe y un WAF limita la capacidad de los actores maliciosos de inyectar datos erróneos en la aplicação, protegiendo contra una amplia gama de amenazas para ayudar a reducir la pérdida y la exposición.
  • Los controles de aplicação que verifican la integridad de los datos también son una excelente forma de monitorear si uno de los controles ascendentes falló.
  • Las pruebas automatizadas de la configuración de la aplicação pueden alertar rápidamente a las operaciones cuando se implementan cambios defectuosos.

3.Confidencialidad: mantener secretos en la nube

La confidencialidad de los datos debe abordarse en la recopilación, el transporte y el almacenamiento, ya sea en la nube o en las instalaciones de su centro de datos. La gestión de vulnerabilidades, incluido un WAF, es el principal control que debe tener implementado para evitar que una vulnerabilidad de explotación de la aplicação comprometa su aplicación y la confidencialidad de los datos que contiene. Hoy en día, no hay razón para no utilizar la tecnología TLS para cifrar las comunicaciones entre el usuario y el servidor de aplicação web. Los datos almacenados en la nube o en las instalaciones también deben estar completamente cifrados para evitar el acceso no autorizado.

Recomendaciones:

  • Habilitar TLS/SSL de forma predeterminada. ¡HTTPS en todas partes!
  • Cifre fuertemente los datos críticos en reposo, especialmente los almacenes de credenciales de back-end. Un simple hash de contraseña ya no es aceptable. Como mínimo, se debería implementar un hash más sal, o cualquier mecanismo de cifrado más fuerte.
  • Implementar un programa de gestión de vulnerabilidades en profundidad para detectar y clasificar fallas. Para cubrir vulnerabilidades entre implementaciones de parches, se recomiendan enfáticamente las capacidades de parcheo virtual de un WAF.
  • Proteger las aplicações y la infraestructura en la nube es complejo, pero verlas desde la perspectiva de AAA y CIA permite a los profesionales de seguridad abordar la disciplina de manera integral y tomar acciones que respalden una estrategia de seguridad general.

Preston Hogue es el Sr. Director de Marketing de Seguridad en F5 Networks. Preston es responsable de las campañas de seguridad global, la evangelización y el liderazgo intelectual, incluida la supervisión del equipo de inteligencia de amenazas de aplicação de F5 Labs. Preston tiene más de 20 años de experiencia en seguridad de la información, incluido el desarrollo, la implementación y la gestión de programas de seguridad complejos, la arquitectura del análisis y la gestión de riesgos y la implementación de programas para abordar los requisitos regulatorios y de cumplimiento.