Tres cosas que la seguridad de las aplicaciones no es
La seguridad de las aplicaciones es muchas cosas, pero a veces debemos detenernos y considerar lo que no es, en particular a medida que el volumen y la frecuencia de las aplicações desarrolladas e implementadas para satisfacer la insaciable demanda continúa aumentando.
1.No es una prioridad alta, pero debería serlo
Un asombroso 44% de los encuestados en una encuesta patrocinada por Arxan e IBM sobre la seguridad de la IoT y las aplicações móviles admitieron que no están haciendo nada para prevenir un ataque. Para no descartar dichas respuestas como relacionadas con un pequeño subconjunto de su cartera de aplicação , consideremos el informe anual fundamental de WhiteHat Security sobre estadísticas de web security , que encontró que "alrededor de un tercio de las aplicações de seguros, alrededor del 40% de las aplicações de banca y servicios financieros, aproximadamente la mitad de las aplicações de atención médica y venta minorista, y más de la mitad de las aplicações de fabricación, alimentos y bebidas y TI son siempre vulnerables".
“Siempre vulnerable” en la jerga de WhiteHat Security se define como “vulnerable todos los días del año”.
Es más, el mismo informe concluyó que “el tiempo promedio de reparación varía según la industria, desde aproximadamente 100 días hasta 245 días”. Para el comercio minorista y la atención sanitaria, son unos 200 días. La tecnología y la TI se quedan aún más atrás, con un tiempo promedio de 250 días para reparar una vulnerabilidad.
Es ese primer enfoque de laissez-faire hacia la seguridad lo que hace que el segundo sea tan difícil de aceptar. Si la seguridad de las aplicaciones no ocupa un lugar destacado en la lista de prioridades, es seguro que un porcentaje significativo de aplicações (o API que proporcionan datos a las aplicações) son vulnerables.
2.No se trata solo de la aplicación
Existe la idea errónea de que la seguridad de las aplicaciones solo afecta a la aplicação misma. Si una aplicación fuera una entidad independiente, tal vez eso sería cierto. Pero las aplicaciones se implementan en plataformas, dependen de scripts y API de terceros y se integran con sistemas responsables de administrar los datos. Eso significa que la seguridad de la aplicación es una pila. Esto requiere una atención cuidadosa a todos los componentes, no sólo a la aplicación en sí. El Top Ten de OWASP es un buen lugar para comenzar para las aplicaciones, pero no ignoremos que las vulnerabilidades a nivel de protocolo (TCP, HTTP y TLS) en las plataformas han sido una fuente importante de malestar en la última década.
Y no ignoremos la relación entre los ataques a redes volumétricas y los ataques más insidiosos a las capas de sistemas y aplicaciones. Dark Reading señaló esta correlación en un artículo reciente:
Casi la mitad de las organizaciones afectadas afirman que sus ataques DDoS coincidieron con algún tipo de violación o actividad maliciosa en sus redes, incluido el robo de datos y el ransomware. Por ejemplo, el 47% informa haber descubierto actividad de virus en su red después de un ataque DDoS, el 43% cita la activación de malware y el 32% informa el robo de datos de clientes.
La seguridad de las aplicaciones requiere atención a toda la arquitectura de la aplicación, que incluye la red, los datos y los servicios que escalan y protegen esa aplicación.
3.No es problema de nadie más
Según nuestra encuesta sobre el estado de la entrega de aplicação de 2017, 1 de cada 5 organizaciones planea alojar más del 50 % de sus aplicações en la nube, por lo que proteger las aplicaciones se vuelve más desafiante. Enviar una aplicación a “la nube” puede redistribuir la responsabilidad de una parte de la carga de seguridad, especialmente la de los componentes de red y de nivel de sistema. Pero la aplicación, sus plataformas, los scripts y recursos externos de los que depende siguen siendo tu responsabilidad. Garantizar el mismo nivel de seguridad en la nube que el que existe en las instalaciones puede ser un desafío, en particular cuando se mezclan y combinan servicios de nube nativos que no son compatibles a nivel de políticas con los que existen en las instalaciones.
Pero es un desafío que se debe afrontar, ya sea garantizando la coherencia de los servicios que aplican esas políticas en las instalaciones locales y en la nube, o trasladando las tareas de seguridad de las aplicaciones a una oferta basada en servicios que pueda ofrecer coherencia para ambos al mismo tiempo, o elaborando cuidadosamente políticas equivalentes para los servicios nativos de la nube.
Cualquiera que sea la ruta que elijas, la responsabilidad sigue siendo tuya.
El impacto de las infracciones en términos de reputación de marca, confianza del consumidor y potencial de explotación futura (en el caso de credenciales robadas) hace que la seguridad de las aplicaciones sea más importante que nunca. Dejarlo para el último minuto o asumir que alguien más se encargará de ello es una receta para el desastre. Reconocer su importancia y dar mayor prioridad a las pruebas y la remediación mientras se aprovechan las opciones arquitectónicas que ofrecen la nube y los servicios que la respaldan contribuirá en gran medida a reducir su riesgo.
La seguridad de las aplicaciones no es opcional.