Home Cómo hacerlo Cinco preguntas de seguridad que todo desarrollador debe hacer
Applications

Cinco preguntas de seguridad que todo desarrollador debe hacer

About The Author

Outline

Los equipos de desarrollo desempeñan un papel fundamental en la seguridad de las aplicaciones orientadas a Internet. Si bien los malos actores son la amenaza más significativa que enfrentan estos equipos, también enfrentan desafíos internos al implementar soluciones de seguridad al tiempo que equilibran los requisitos funcionales y no funcionales en los ámbitos de negocio, ingeniería y seguridad. La creciente velocidad a la que los equipos de desarrollo pueden liberar código, gracias a la automatización de CI/CD, también destaca la importancia crítica de integrar completamente los procesos y herramientas de seguridad en el proceso del ciclo de desarrollo y liberación. Aquí hay cinco preguntas de seguridad que mejorarán el conocimiento de sus necesidades de seguridad de aplicaciones y reducirán el riesgo de que un evento de seguridad de aplicaciones web afecte a su negocio.

1. ¿Cómo puedo identificar y corregir vulnerabilidades en el código de mi aplicación?

‍Dynamic (DAST), estáticas (SAST) e interactivas herramientas de prueba de seguridad de aplicaciones ayudan a encontrar vulnerabilidades en una aplicación web. Las herramientas DAST y SAST ayudan a encontrar debilidades en tiempo de ejecución de diferentes maneras. DAST intenta realizar ataques (por ejemplo, scripts entre sitios) en la aplicación web, mientras que las herramientas SAST buscan prácticas inseguras en el código fuente (por ejemplo, variables no inicializadas). El uso de ambos en una canalización de integración continua / implementación continua (CI / CD) ayuda a encontrar fallas como parte del proceso devsecops antes de que lleguen a la producción.

Algunos repositorios de control de fuente se pueden integrar con una práctica de CI para ejecutar análisis de seguridad con cada cambio. El repositorio puede requerir que la práctica de CI realice SAST como parte de cada solicitud de cambio. Si los escaneos informan los resultados de seguridad, el repositorio puede impedir la aprobación de la solicitud de cambio. Los equipos que realizan estos escaneos de forma manual o automática pueden reducir significativamente su riesgo de seguridad. Del mismo modo, el CD puede incluir un escaneo DAST durante la implementación del nuevo código.

Las herramientas de análisis de composición de software (SCA) también se pueden utilizar para escanear e identificar vulnerabilidades en bibliotecas de código abierto o de terceros para que los problemas se puedan remediar. A medida que las aplicaciones web componibles o progresivas que aprovechan los microservicios y las API se han vuelto más comunes, tener protecciones adecuadas para las API es igual de importante. Esto incluye puntos de control para el descubrimiento de API, validación de esquemas JSON y garantizar que un atacante no pueda comprometer la integridad de los tipos de propiedad y los valores de propiedad. El aprovechamiento de una solución API Gateway para evitar el acceso no autorizado a las API junto con la protección de scripts de terceros desempeñan un papel importante en la prevención de actividades maliciosas y ataques a la cadena de suministro de estilo Magecart.

Los escaneos pueden producir muchos resultados. Se necesita tiempo para evaluarlos y priorizarlos todos, incluso con la ayuda de un sistema de gestión de vulnerabilidades. La protección de aplicaciones web y API (WAAP) le permite tomar medidas inmediatas para mitigar las vulnerabilidades mientras su equipo prioriza y aplica correcciones.

Además, ejecutar un análisis DAST contra una aplicación web o API protegida por un WAAP puede mejorar la postura de seguridad general de la aplicación. Cualquier ataque que el WAAP no pueda detener puede ser identificado por el equipo de seguridad para un mayor ajuste. Si las reglas incluidas con un WAAP no mitigan un hallazgo del escaneo DAST, se puede escribir e implementar una regla WAAP personalizada para abordar el hallazgo específico. El equipo ya no necesita esperar a que se produzca un parche de seguridad o un ataque inminente para mitigar estas amenazas.

2. ¿Cómo puedo identificar y corregir vulnerabilidades en mi pila de tecnología?

‍Modern Las pilas de tecnología de aplicaciones web constan de muchos componentes, como servidores web y de bases de datos y marcos de desarrollo web. Algunos de los componentes son extensibles con un plug-in, extensiones y complementos. Tener un inventario de cada componente de terceros y comprender y aplicar parches de seguridad críticos debe ser parte de cada programa de seguridad de aplicaciones. Sin embargo, los parches críticos a veces no se pueden aplicar sin cambios en el código de la aplicación que requieran un sprint de desarrollo.

Las vulnerabilidades sin parches en el software y los sistemas son un vector de ataque demasiado común para los ciberdelincuentes. Según IBM, en 2022 el costo global promedio de una violación de datos superó los USD 4.35M y el tiempo para abordar completamente una violación a menudo se mide en meses. Los parches de software proporcionan a la organización más tiempo para corregir una vulnerabilidad de seguridad conocida. Los equipos de aplicaciones web deben probar y aplicar parches de software con regularidad, como mensualmente o siempre que haya una versión de software. Hacerlo reduce el tiempo que existen los defectos y la cantidad de tiempo que un atacante tiene para explotarlos. Cuanto más tiempo permanezcan las debilidades, mayor será la probabilidad de que los actores maliciosos las exploten.

Un WAAP con un conjunto completo de reglas de seguridad específicas de la aplicación, reglas OWASP más genéricas y reglas personalizadas flexibles para abordar casos de esquina permite a los equipos de desarrollo aplicar una corrección inmediata (también conocida como «parches virtuales») para evitar la explotación, al tiempo que da espacio para parchar y actualizar el código de la aplicación. Además, los equipos de seguridad deben insistir en soluciones WAAP que bloqueen de forma automática o sencilla el acceso a los archivos y rutas sensibles del sistema operativo.

Aunque ejecutar un WAAP en un entorno de puesta en escena o QA puede dar una idea de si una configuración WAAP en particular evitará un ataque, no hay sustituto para ejecutar el WAAP contra el tráfico web de producción en vivo. Descubra cómo nuestras funciones de modo WAAP dual permiten a los equipos de seguridad probar nuevas reglas WAAP en el tráfico de producción, lo que les brinda a los equipos la observabilidad y los controles necesarios para detener las amenazas emergentes y reducir masivamente el tiempo de respuesta.

3. ¿Cuál es el impacto de los eventos de seguridad en la capacidad del servidor?‍

Equilibrar la capacidad del servidor y los costos de la nube es una compensación entre la experiencia del cliente y las necesidades empresariales. Sin embargo, asignar la capacidad del servidor para acomodar a usuarios ilegítimos no es el mejor enfoque.

Si bien sigue existiendo la amenaza de ataques DDoS de alto perfil de amenazas persistentes avanzadas (APT) como Killnet, que se dirigieron a instituciones gubernamentales japonesas y sitios web de aeropuertos estadounidenses en el verano y otoño de 2022, es mucho más común ver ataques en el rango de múltiples Gbps. Según NETSCOUT, un ataque DDoS ocurre cada tres segundos. Aparte de utilizar solo el ancho de banda para medir un ataque DDoS, las tasas de solicitud (es decir, solicitudes por segundo (RPS) o millones de paquetes por segundo (Mpps)) son una consideración igualmente importante en la protección de la infraestructura de aplicaciones. Estos eventos de seguridad de escáneres o botnets que golpean aplicaciones web pueden no ser noticia, pero pueden afectar las experiencias de sus clientes en su sitio.

El aprovechamiento de un WAAP basado en la nube con capacidades detalladas para limitar el tráfico y mitigar los ataques a puntos finales críticos puede filtrar gran parte de este tráfico indeseable antes de que afecte a su aplicación web, preservando la capacidad del servidor para los usuarios reales.

4. ¿Existen requisitos de cumplimiento a los que debo adherirme?

‍Depending En su industria y tipo de aplicación, su aplicación puede necesitar cumplir con las regulaciones de la industria. Si su sitio procesa pagos con tarjeta de crédito, es probable que deba cumplir con PCI. Es posible que su empresa deba cumplir con el cumplimiento de SOC 2 debido a la naturaleza sensible de los datos que su aplicación utiliza y conserva. Muchas de estas regulaciones requieren el uso de un WAAP.

Incluso cuando no se aplican regulaciones de la industria, puede considerar seguir las mejores prácticas y directrices de la industria. Puede utilizar los controles de Center for Internet Security o AWS Well-Architected Framework. Ambos recomiendan usar un WAAP porque puede inspeccionar y filtrar el tráfico web malicioso.

5. ¿Cuál es mi proceso de actualización/desmantelamiento de la aplicación?

‍Applications Construido en pilas de tecnología más antiguas debe ser actualizado o desmantelado. Muchas empresas ya no pueden corregir el código de aplicación más antiguo si no se mantiene la pila de tecnología. Equilibrar la seguridad con las necesidades empresariales puede requerir una solución interina. Ejecutar un escaneo DAST completo y un WAAP cuidadosamente ajustado con reglas personalizadas apropiadas cuando sea necesario le permite ejecutar aplicaciones web de forma segura hasta que se actualicen o se retiren.

‍Have ¿Más preguntas?

‍Securing Sus aplicaciones web son una tarea importante que requiere equilibrar la seguridad, la ingeniería y los intereses comerciales. A veces estos intereses entran en conflicto, lo que hace que sea un desafío para los desarrolladores tomar acción.

Un WAAP puede ayudar a cerrar esta brecha mientras el equipo prioriza las amenazas e implementa correcciones en su canalización de CI/CD. Nuestros poderosos y rentables WAAP Insights han reducido la barrera a la adopción de WAAP.

Póngase en contacto con nosotros para obtener todas sus preguntas sobre el endurecimiento de su seguridad web y nuestras WAAP Insights contestadas.