• Share via AddThis

DESCRIPCIÓN GENERAL DE LA SOLUCIÓN

Una nueva era de mitigación de vulnerabilidades para aplicaciones

Hoy en día, las aplicaciones no solo permiten la transformación digital de una empresa, sino que son el negocio.

Soluciones de seguridad de aplicaciones

Bienvenido a la era de las aplicaciones

Para mantener la agilidad mientras se acelera la velocidad de comercialización, las organizaciones han adoptado el desarrollo ágil y han confiado a los equipos de AppDev y DevOps la entrega de los imperativos empresariales estratégicos. Un desarrollador, con solo pulsar un botón, puede automatizar el desarrollo, las pruebas, el despliegue, el funcionamiento y la supervisión de un nuevo código que puede cambiar el mundo.

Beneficios clave

Prácticas «shift left»

La seguridad de las aplicaciones está intrínsecamente integrada en el ciclo de vida de su desarrollo, independientemente de la arquitectura, la nube o el marco de trabajo.

La mayor eficacia de seguridad en el mundo real

F5 protege la mayoría de aplicaciones con la más alta seguridad del mundo real con menos fricción (en la red, en la nube y en la arquitectura de las aplicaciones) para acelerar la transformación digital y proteger los resultados empresariales estratégicos.

Protección automatizada

Las soluciones de F5 se adaptan y mantienen una eficacia total incluso cuando los atacantes se reajustan y evolucionan para superar las contramedidas sin comprometer la experiencia general del usuario.

¿Pero qué pasa con la seguridad?

El desarrollo de aplicaciones se ha transformado y está ampliamente automatizado, pero la seguridad sigue suponiendo un esfuerzo manual. Los desarrolladores y los profesionales de DevOps superan en número a los profesionales de seguridad en una proporción de hasta 100 a 1. La presión del tiempo de comercialización ha provocado fricciones entre los equipos de aplicaciones y de seguridad y ha creado la percepción de que la seguridad es un cuello de botella. Se trata de un dilema que a menudo da lugar a pruebas deficientes, atajos en los procesos y una supervisión ineficaz.

Al mismo tiempo, la proliferación de arquitecturas, nubes e integraciones de terceros ha aumentado drásticamente la superficie de amenaza para muchas organizaciones. Las vulnerabilidades de las aplicaciones, como el ataque de scripts de sitios (XSS) y la inyección, han sido frecuentes desde los albores de la seguridad de las aplicaciones, hace más de 20 años, pero los atacantes siguen descubriéndolas y explotándolas a un ritmo alarmante. Cada día se publican vulnerabilidades críticas de las aplicaciones y los atacantes las convierten en armas gracias a los marcos de automatización que escanean continuamente Internet para descubrirlas y explotarlas con fines lucrativos. El software de código abierto, en particular, está plagado de vulnerabilidades, algunas de las cuales han sido implantadas por los atacantes.

F5 Labs informa de que la creciente descentralización de la arquitectura de las aplicaciones (ya sea en términos de widgets de terceros, computación sin servidor o contenedores, aplicaciones de microservicios o la creciente importancia de las API) plantea retos significativos para la visibilidad y los controles de seguridad que antes, simplemente, no existían.

Para gestionar eficazmente la creciente complejidad de la seguridad de las aplicaciones en todas las arquitecturas, nubes y marcos de desarrollo, las organizaciones necesitan coherencia.



Open Web Application Security Project

El Open Web Application Security Project (OWASP) se fundó en 2001 para convencer a los ejecutivos empresariales y a los consejos de administración de la necesidad de una gestión eficaz de las vulnerabilidades. Un enfoque disciplinado, que incluye a proveedores de seguridad y comentarios de la comunidad, ha dado como resultado el top 10 de OWASP, una lista de las vulnerabilidades de aplicaciones más frecuentes y críticas.

El XSS y la inyección han estado en todas las listas del top 10 de OWASP desde su creación. Las vulnerabilidades de XSS están presentes en dos tercios de todas las aplicaciones. Y aunque la inyección SQL recibe mucha atención, hay muchas otras formas, incluyendo LDAP, XPath, comandos del sistema operativo, analizadores XML, cabeceras SMTP, lenguaje de expresión y consultas ORM. El código heredado es especialmente vulnerable.

Una amenaza creciente que el OWASP está vigilando es la omnipresencia del software de código abierto. Aunque el software de código abierto acelera significativamente el desarrollo, también cambia la gestión de riesgos porque los controles que son comunes en el software personalizado desarrollado en casa, como el análisis de código estático (SCA), no son posibles con el software de código abierto.

En 2017, los atacantes explotaron una vulnerabilidad de deserialización insegura en instancias no parcheadas del software de código abierto Apache Struts. Si bien las vulnerabilidades de deserialización insegura en general no son fáciles de explotar, debido a la necesidad de comprender íntimamente las partes internas del sistema, pueden dar lugar a la ejecución remota de código con consecuencias devastadoras.

Características principales

  • La integración nativa en los marcos de desarrollo de las aplicaciones mejora el tiempo de comercialización y reduce la fricción
  • La protección contra las amenazas conocidas y emergentes reduce el riesgo y acelera la transformación digital
  • La compatibilidad con todas las arquitecturas, factores de forma, modos de implantación y mandatos de cumplimiento de normativas proporciona flexibilidad para admitir todas las aplicaciones
  • La protección inmediata contra las vulnerabilidades de las aplicaciones reduce el riesgo y los costes de reparación
  • La alimentación dinámica de firmas para bloquear las amenazas emergentes permite adaptar la seguridad al panorama de las amenazas
  • El despliegue automatizado de políticas mejora la eficacia al implantar y estabilizar los controles de seguridad en una fase más temprana del ciclo de desarrollo del software
  • La integración en las distribuciones de IC/CD reduce la fricción entre los equipos de desarrollo y de seguridad
  • La API declarativa simplifica la implantación y el mantenimiento de las políticas al abstraer la complejidad y reducir la carga del desarrollador
  • La implantación y el mantenimiento impulsados por las API simplifican la gestión de las políticas y el control de cambios en múltiples arquitecturas y nubes

El auge de la automatización y la nube

La rápida evolución de la tecnología está cambiando la forma en la que las organizaciones hacen los negocios y los pasos que deben dar para mantener sus negocios seguros y protegidos. Hoy en día, el 80 % de las organizaciones está llevando a cabo la transformación digital (con un énfasis cada vez mayor en la aceleración de la velocidad de comercialización) y el 73 % está automatizando las operaciones de red para aumentar la eficiencia.

La explosión de aplicaciones y la velocidad de comercialización también están impulsando cambios fundamentales en la gestión de riesgos. Los ingenieros de redes no pueden desplegar la infraestructura. Los equipos de DevOps pueden crear fácilmente infraestructuras virtuales y efímeras utilizando arquitecturas emergentes como la computación sin servidor en un entorno de nube maduro, automatizando todo, desde la creación del código hasta el despliegue del servicio. Estos cambios de funciones, responsabilidades y formas de trabajar en el ciclo de desarrollo de las aplicaciones pueden dejar atrás la seguridad.

Al mismo tiempo, los atacantes se están volviendo creativos en sus métodos aprovechando las herramientas y los marcos disponibles para automatizar y escalar sus ataques. Además, muchas empresas quieren adoptar uno o más proveedores de nube o su proveedor favorito para la gestión de riesgos y la continuidad del negocio. El reto es que los proveedores de nube carecen de seguridad universal. A menudo, esto genera que los responsables de la seguridad no sepan qué está protegido y qué no, y los matices pueden dar lugar a vulnerabilidades o, como es común, a una mala configuración de la seguridad (por ejemplo, véase el modelo de responsabilidad compartida de AWS).

F5 Labs descubrió una campaña de amenazas en la que los atacantes se aprovechaban de la automatización para encontrar vulnerabilidades de inyección (por ejemplo, CVE-2011-4107 y CVE-2013-3241 en PHP de código abierto) y explotaban portales de autenticación débiles y/o bases de datos MySQL obsoletas para robar datos sensibles y establecer un puesto de avanzada para otros ataques.

F5 Labs y el informe Verizon Data Breach Investigations Report muestran cómo los atacantes explotan una vulnerabilidad para acceder a los servidores de correo electrónico basados en la nube, enviar correos electrónicos internos de phishing con formularios de inicio de sesión falsos y recopilar credenciales para utilizarlas en ataques de relleno de credenciales.

Diagrama de mercado sobre cómo mitigar las vulnerabilidades de las aplicaciones

La necesidad de realizar prácticas «shift left»

El riesgo está cambiando debido a la forma en que se crean y despliegan las aplicaciones. Por lo tanto, la seguridad debe cambiar para mantenerse por delante de las vulnerabilidades de las aplicaciones. La visibilidad de los ataques es más importante que nunca dada la creatividad de los atacantes, que en un principio pueden aprovechar una vulnerabilidad pero que, al final, terminan enviando correos electrónicos de phishing bien elaborados con la intención de engañar al usuario para que revele sus credenciales. Los atacantes pueden utilizar posteriormente esa información en un ataque de relleno de credenciales a gran escala, lo que puede dar lugar a accesos no autorizados, violaciones en la seguridad de los datos, robos de cuentas y fraudes.



La aplicación de parches virtuales y las pruebas dinámicas de seguridad de las aplicaciones (DAST) también son igual de importantes, pero las organizaciones necesitan un cambio de paradigma en la forma de implementar la seguridad de las aplicaciones. En lugar de crear una política de seguridad después de lanzar una aplicación y examinar los falsos positivos para estabilizar la política, la seguridad de las aplicaciones debe tenerse en cuenta en una fase adelantada del proceso de desarrollo y estar integrada en dicho proceso, independientemente de la arquitectura, la nube o el marco.

La seguridad de las aplicaciones más eficaz está automatizada e integrada. La automatización puede disminuir los gastos operativos (OpEx) y la presión sobre los recursos de seguridad críticos durante el lanzamiento, la implantación y el mantenimiento de las aplicaciones. El despliegue automatizado de políticas puede mejorar la eficacia al implementar y estabilizar los controles de seguridad en una fase más temprana del ciclo de desarrollo de software (SDLC), lo que conduce a una mayor eficacia con menos intervención humana. La integración nativa en los marcos de desarrollo de las aplicaciones y en las canalizaciones de integración/entrega continuas (IC/CD) puede mejorar el tiempo de comercialización al tiempo que disminuye el riesgo, reduce la fricción entre los equipos de desarrollo y seguridad y conduce a mejores resultados empresariales.

La integración en las herramientas de los desarrolladores, a través de la implantación y el mantenimiento basados en API, simplifica la gestión de políticas y el control de cambios en múltiples arquitecturas y nubes al abstraer la complejidad y reducir la carga de trabajo de los desarrolladores.



Conclusión

Hoy en día, las aplicaciones son el negocio, lo que hace que las amenazas a estas sean el mayor riesgo para el negocio. Las arquitecturas modernas y descentralizadas de las aplicaciones han ampliado la superficie de amenaza. La automatización ha aumentado la eficacia de los atacantes y las consecuencias de la ciberdelincuencia siguen creciendo.

La solución está clara. En lugar de retrasar el lanzamiento de una aplicación, hay que adelantar la seguridad para que se produzca en una fase más temprana del ciclo de desarrollo e integrarla en dicho proceso. Esa es la mejor y más eficaz manera de mitigar proactivamente las vulnerabilidades de las aplicaciones, aumentar la seguridad de las mismas y reducir el riesgo para la empresa.

F5 protege las aplicaciones luchando de forma efectiva contra diversas amenazas con menos fricción para acelerar la transformación digital y proteger los resultados empresariales estratégicos.

PROXIMOS PASOS

Iniciar una prueba

Vea cómo funciona F5 Application Security con una prueba gratuita.

Contáctenos

Descubra cómo los productos y las soluciones de F5 pueden permitirle alcanzar sus objetivos.