• Share via AddThis

DESCRIPCIÓN GENERAL DE LA SOLUCIÓN

Mitigación de vulnerabilidades de seguridad para aplicaciones

Hoy en día, las aplicaciones permiten la transformación digital y proporcionan una ventaja competitiva. Es hora de simplificar la seguridad y cambiar de perspectiva.

Soluciones de seguridad de aplicaciones

Bienvenido a la era de las aplicaciones

Para mantener la agilidad mientras se acelera la velocidad de comercialización, las organizaciones han adoptado el desarrollo ágil y han confiado a los equipos de AppDev y DevOps la entrega de los imperativos empresariales estratégicos. Un desarrollador, con solo pulsar un botón, puede automatizar el desarrollo, las pruebas, el despliegue, el funcionamiento y la supervisión de un nuevo código que puede cambiar el mundo.

Beneficios clave

Prácticas «shift left»

La seguridad de las aplicaciones está intrínsecamente integrada en el ciclo de vida de su desarrollo, independientemente de la arquitectura, la nube o el marco de trabajo.

Reducir la complejidad

F5 agiliza la seguridad en todas las nubes y arquitecturas para una aplicación coherente de las políticas.

Maximizar el uso

Las soluciones de F5 evitan los riesgos con un mínimo de fricción y falsos positivos, convirtiendo un centro de costes de seguridad en un diferenciador empresarial.

Pero, ¿qué pasa con la seguridad de las aplicaciones?

El desarrollo de aplicaciones se ha transformado y está ampliamente automatizado, pero la seguridad sigue suponiendo un gran esfuerzo manual. Los desarrolladores y los profesionales de DevOps superan en número a los profesionales de seguridad en una proporción de hasta 100 a 1. La presión del tiempo de comercialización ha provocado fricciones entre los equipos de aplicaciones y de seguridad, lo que crea la percepción de que la seguridad es un cuello de botella. Se trata de un dilema que a menudo da lugar a pruebas deficientes, atajos en los procesos y una supervisión ineficaz.

Al mismo tiempo, la proliferación de arquitecturas, nubes e integraciones de terceros ha aumentado drásticamente la superficie de amenaza para muchas organizaciones. Las vulnerabilidades de las aplicaciones, como el ataque de scripts de sitios (XSS) y la inyección, han sido frecuentes desde los inicios de la seguridad de las aplicaciones, hace más de 20 años, pero los atacantes siguen descubriéndolas y explotándolas a un ritmo alarmante. Los atacantes convierten rápidamente las vulnerabilidades en armas utilizando marcos de automatización para escanear Internet, descubriendo y explotando los puntos débiles para obtener beneficios económicos. El software de código abierto, en particular, está plagado de vulnerabilidades, lo que supone un riesgo desconocido e importante.

F5 Labs informa que cada 9 horas se publica una vulnerabilidad crítica con potencial de ejecución remota de código, uno de los ataques más graves posibles.

Para gestionar eficazmente la creciente complejidad de la seguridad de las aplicaciones en todas las arquitecturas, nubes y marcos de desarrollo, las organizaciones necesitan cambiar sus estrategias y perspectivas.



Open Web Application Security Project

El Open Web Application Security Project (OWASP) se fundó en 2001 para convencer a los ejecutivos empresariales y a los consejos de administración de la necesidad de una gestión eficaz de las vulnerabilidades. Un enfoque disciplinado, que incluye a proveedores de seguridad y comentarios de la comunidad, ha dado como resultado el top 10 de OWASP, una lista de las vulnerabilidades de aplicaciones más frecuentes y críticas.

El XSS y la inyección aparecen en todas las listas del Top 10 de OWASP desde su creación, pero la nueva era de la seguridad de las aplicaciones está marcada por la creciente amenaza a las cadenas de suministro de software, la generalización del software de código abierto y la complejidad operativa de la gestión de la seguridad y el acceso, tanto para las aplicaciones heredadas como para las modernas. Las actualizaciones de software, los datos críticos y la integridad de distribuciones de CI/CD pueden verse comprometidos. Aunque el software de código abierto acelera significativamente el desarrollo, también cambia la gestión de riesgos porque los controles que son comunes en el software personalizado desarrollado en casa, como el análisis de código estático (SCA), no siempre son posibles o prácticos con el software de terceros.

En 2021, los atacantes comenzaron a aprovecharse de una vulnerabilidad crítica en una biblioteca de software de código abierto ampliamente utilizada por miles de sitios web y aplicaciones casi inmediatamente después de que se publicaran los detalles de la vulnerabilidad. Si no se soluciona, esta puede conducir a la ejecución remota de código, lo que permite a los atacantes tomar el control de sitios web y aplicaciones en línea, robar dinero, filtrar datos y comprometer las cuentas de los clientes.

F5 Labs detalla los análisis de múltiples fuentes para mostrar que los exploits de aplicaciones web están entre las técnicas más comunes observadas en los incidentes de seguridad y el tiempo medio de descubrimiento es de 254 días. Teniendo en cuenta que el 57 % de todas las pérdidas financieras informadas de los incidentes más graves de los últimos 5 años se atribuyen a actores de amenazas afiliadas al Estado, las organizaciones necesitan una solución inmediata y robusta para proteger sus aplicaciones y reducir las vulnerabilidades potencialmente devastadoras antes de que los delincuentes se aprovechen de los exploits y pongan en peligro el negocio.

Características principales

  • La integración nativa en los marcos de desarrollo de las aplicaciones mejora el tiempo de comercialización y la agilidad empresarial
  • La protección inmediata contra una amplia variedad de vulnerabilidades reduce el riesgo y la complejidad operativa
  • La visibilidad y el cumplimiento de las normas en todas las nubes y arquitecturas protegen toda la cartera de aplicaciones de la empresa
  • La política de autoaprendizaje y autoajuste reduce la carga de trabajo de los equipos de InfoSec, DevOps y AppDev
  • La alimentación de inteligencia dinámica proporciona una rápida corrección de las amenazas emergentes
  • La política declarativa separa la infraestructura subyacente para evitar riesgos involuntarios y errores de configuración
  • La seguridad que reacciona ante los cambios en las aplicaciones y los atacantes maximiza la eficacia y optimiza la experiencia del cliente
  • Las protecciones automatizadas y la seguridad adaptativa permiten a la empresa acelerar con seguridad la transformación digital
  • La seguridad se despliega bajo demanda donde sea necesario para conseguir una protección consistente desde la aplicación hasta el borde


El auge de la automatización y la nube

La rápida evolución de la tecnología está cambiando la forma que tienen las organizaciones de hacer negocios, y las medidas que deben tomar para mantener sus negocios seguros y protegidos. En la actualidad, más de tres cuartas partes de las organizaciones están modernizando sus aplicaciones, haciendo cada vez más hincapié en acelerar la velocidad de comercialización. Si bien los proyectos de nueva creación pueden aprovechar la eficiencia de la nube, la mayoría de las carteras empresariales incluyen aplicaciones heredadas y modernas que abarcan una variedad de arquitecturas en centros de datos, nubes y dentro de microservicios.

La explosión de aplicaciones y la velocidad de comercialización también están impulsando cambios fundamentales en la gestión de riesgos. Los ingenieros de redes no pueden desplegar la infraestructura. Los equipos de DevOps pueden crear fácilmente infraestructuras virtuales y efímeras utilizando arquitecturas emergentes como los contenedores en una solución de nube inmediata, automatizando todo, desde la creación del código hasta el despliegue del servicio. Estos cambios de funciones, responsabilidades y formas de trabajar en el ciclo de desarrollo de las aplicaciones pueden dejar atrás la seguridad.

Al mismo tiempo, los atacantes son cada vez más eficientes en sus métodos, ya que aprovechan las herramientas y los marcos de trabajo fácilmente disponibles para ampliar sus ataques y emplean los mismos métodos que utilizan los profesionales de la seguridad para cuantificar y evaluar el riesgo.

Además, las organizaciones están adoptando, cada vez más, varios proveedores de nube para la continuidad del negocio. Aunque esto mejora la capacidad de recuperación y reduce el riesgo de inactividad, hay un efecto secundario no deseado: que los proveedores de la nube carecen de seguridad universal. Esto a menudo confunde a los responsables de la seguridad a la hora de saber qué está protegido y qué no, y los matices pueden generar vulnerabilidades, que normalmente suele ser una configuración deficiente de la seguridad (por ejemplo, consulte el modelo de responsabilidad compartida de AWS).

Diagrama de mercado sobre cómo mitigar las vulnerabilidades de las aplicaciones



La necesidad de realizar prácticas «shift left» y cambiar de perspectiva

El riesgo está cambiando debido a la forma en que se construyen y despliegan las aplicaciones. Por lo tanto, la seguridad debe cambiar también para mantenerse a la vanguardia de las vulnerabilidades de las aplicaciones. La visibilidad y la coherencia son igual de importantes que siempre, pero las organizaciones necesitan un cambio de paradigma en la forma de implementar la seguridad de las aplicaciones. En lugar de construir una política de seguridad después de lanzar una aplicación, examinar los falsos positivos para estabilizar y ajustar la política, y luego supervisar las nuevas vulnerabilidades publicadas que puedan poner en riesgo la aplicación, la seguridad de las aplicaciones debe estar intrínsecamente integrada en el ciclo de desarrollo de la aplicación, independientemente de la arquitectura, la nube o el marco.

La seguridad más eficaz para las aplicaciones está automatizada, integrada y es adaptable. La automatización puede disminuir los gastos operativos (OpEx) y la presión sobre los recursos críticos de seguridad durante el lanzamiento, la implantación y el mantenimiento de las aplicaciones. El despliegue automatizado de políticas puede mejorar la eficacia al implementar y estabilizar los controles de seguridad en una fase más temprana del ciclo de desarrollo del software (SDLC), lo que conduce a una mayor eficacia con menos intervención manual y libera a los equipos de InfoSec de un aluvión de alertas y posibles falsos positivos para que puedan centrarse en gestionar los riesgos de forma más estratégica. La integración nativa en los marcos de desarrollo de aplicaciones y en las distribuciones de integración continua/entrega continua (CI/CD) reduce la fricción entre los equipos de desarrollo y de seguridad, lo que conduce a una mayor agilidad empresarial y a la alineación de la organización.

La integración en las herramientas para desarrolladores, a través de la implantación y el mantenimiento basados en API, simplifica la gestión de las políticas y el control de los cambios en múltiples arquitecturas y nubes al abstraer la complejidad de la infraestructura, reducir la sobrecarga operativa y evitar los errores de configuración.

Además, las medidas de seguridad deben ser precisas y resistentes para no frustrar a los clientes ni permitir que los atacantes amplíen sus campañas para evadir la detección. Los consumidores exigen experiencias personalizadas y organizadas, y los atacantes sofisticados no se dejan disuadir fácilmente.

Una seguridad eficaz que no afecte a la usabilidad puede servir de diferenciador clave para ganar y retener clientes en una economía digital altamente competitiva.



Conclusión

Hoy en día, las aplicaciones son el negocio, lo que hace que las amenazas a las aplicaciones y una seguridad ineficaz sean los mayores riesgos para el potencial del negocio. Las arquitecturas modernas y descentralizadas de las aplicaciones han ampliado la superficie de las amenazas. La automatización ha aumentado el riesgo involuntario y la eficacia de los atacantes, y las consecuencias de la ciberdelincuencia siguen creciendo. Sin embargo, las organizaciones que ofrecen experiencias digitales seguras conseguirán aumentar los clientes y los ingresos.

La solución es sencilla. En lugar de retrasar el lanzamiento de un nuevo código que puede cambiar el mundo, hay que desplazar la seguridad hacia la izquierda en el proceso de desarrollo para automatizar las protecciones a lo largo del ciclo de vida de las aplicaciones y cambiar la perspectiva en cuanto a la seguridad para que sea un diferenciador empresarial clave.

Al mitigar proactivamente las vulnerabilidades, reducir la complejidad y proteger el negocio con una seguridad eficaz y fácil de operar, puede acelerar la transformación digital y optimizar la experiencia del cliente, reduciendo el riesgo y creando una ventaja competitiva digital.



PRÓXIMOS PASOS

Iniciar una prueba

Vea cómo funciona F5 Application Security con una prueba gratuita.

Contáctenos

Descubra cómo los productos y las soluciones de F5 pueden permitirle alcanzar sus objetivos.