Los equipos de desarrollo desempeñan un papel crítico en la seguridad de las aplicaciones orientadas a Internet. Si bien los malos actores son la amenaza más importante a la que se enfrentan estos equipos, también enfrentan desafíos internos al implementar correcciones de seguridad, al tiempo que equilibran los requisitos funcionales y no funcionales en los ámbitos empresarial, de ingeniería y de seguridad. La creciente velocidad a la que los equipos de desarrollo pueden liberar código, gracias a la automatización CI/CD, también pone de relieve la importancia crítica de integrar completamente los procesos y herramientas de seguridad en el proceso del ciclo de desarrollo y lanzamiento. Aquí hay cinco preguntas de seguridad que mejorarán el conocimiento de las necesidades de seguridad de sus aplicaciones y reducirán el riesgo de que un evento de seguridad de aplicaciones web afecte a su negocio.
1. ¿Cómo puedo identificar y corregir vulnerabilidades en el código de mi aplicación?
Dynamic (DAST), las herramientas de prueba de seguridad de aplicaciones estáticas (SAST) y las herramientas de prueba de seguridad interactivas ayudan a encontrar vulnerabilidades en una aplicación web. Las herramientas DAST y SAST ayudan a encontrar debilidades en tiempo de ejecución de diferentes maneras. DAST intenta realizar ataques (por ejemplo, scripting entre sitios) en la aplicación web mientras que las herramientas SAST buscan prácticas inseguras en el código fuente (por ejemplo, variables no inicializadas). El uso de ambos en una tubería de integración continua/despliegue continuo (CI/CD) ayuda a encontrar fallas como parte del proceso de devsecops antes de que lleguen a la producción.
Algunos repositorios de control de código fuente se pueden integrar con una práctica de CI para ejecutar escaneos de seguridad con cada cambio. El repositorio puede requerir que la práctica de CI realice SAST como parte de cada solicitud de cambio. Si los escaneos informan de hallazgos de seguridad, el repositorio puede impedir la aprobación de la solicitud de cambio. Los equipos que realizan estos escaneos de forma manual o automática pueden reducir significativamente su riesgo de seguridad. Del mismo modo, el CD puede incluir un escaneo DAST durante la implementación de nuevo código.
Las herramientas de Análisis de Composición de Software (SCA) también se pueden utilizar para analizar e identificar vulnerabilidades en bibliotecas de código abierto o de terceros para que los problemas se puedan remediar. A medida que las aplicaciones web componibles o progresivas que aprovechan los microservicios y las API se han vuelto más comunes, tener protecciones adecuadas para las API es igual de crítico. Esto incluye puntos de control para el descubrimiento de API, validación de esquemas JSON y garantizar que la integridad de los tipos de propiedades y valores de propiedad no se vea comprometida por un atacante. El aprovechamiento de una solución API Gateway para evitar el acceso no autorizado a las API junto con la protección de scripts de terceros desempeña un papel importante en la prevención de actividades maliciosas y ataques a la cadena de suministro al estilo Magecart.
Las exploraciones pueden producir muchos resultados. Se necesita tiempo para evaluarlos y priorizarlos todos, incluso con la ayuda de un sistema de gestión de vulnerabilidades. La protección de aplicaciones web y API (WAAP) le permite tomar medidas inmediatas para mitigar las vulnerabilidades mientras su equipo prioriza y aplica correcciones.
Además, ejecutar un análisis DAST contra una aplicación web o API protegida por un WAAP puede mejorar la postura de seguridad general de la aplicación. Cualquier ataque que el WAAP no detenga puede ser identificado por el equipo de seguridad para un ajuste más preciso. Si las reglas incluidas con un WAAP no logran mitigar un hallazgo del análisis DAST, se puede escribir y desplegar una regla WAAP personalizada para abordar el hallazgo específico. El equipo ya no necesita esperar a que se produzca un parche de seguridad o un ataque inminente para mitigar estas amenazas.
2. ¿Cómo puedo identificar y corregir vulnerabilidades en mi tech stack?
Modern Las pilas de tecnología de aplicaciones web consisten en muchos componentes, como servidores web y bases de datos y marcos de desarrollo web. Algunos de los componentes son extensibles con un plug-in, extensiones y complementos. Tener un inventario de cada componente de terceros y comprender y aplicar parches de seguridad críticos debe ser parte de cada programa de seguridad de aplicación. Sin embargo, a veces no se pueden aplicar parches críticos sin cambios en el código de la aplicación que requieren un sprint de desarrollo.
Las vulnerabilidades no parcheadas en software y sistemas son un vector de ataque demasiado común para los ciberdelincuentes. Según IBM, en 2022 el costo global promedio de una violación de datos superó LOS USD $4,35m y el tiempo para abordar completamente una violación a menudo se mide en meses. El parcheo de software proporciona a la organización más tiempo para corregir una vulnerabilidad de seguridad conocida. Los equipos de aplicaciones web deben probar y aplicar parches de software regularmente, como mensualmente o cada vez que hay una versión de software. Hacerlo reduce el tiempo que existen fallos y la cantidad de tiempo que un atacante tiene para explotarlos. Cuanto más tiempo permanezcan las debilidades, mayor será la probabilidad de que los actores maliciosos las exploten.
Un WAAP con un conjunto completo de reglas de seguridad específicas de la aplicación, reglas OWASP más genéricas y reglas personalizadas flexibles para abordar casos de esquina permite a los equipos de desarrollo aplicar una solución inmediata (también conocido como «parcheo virtual») para evitar la explotación, mientras da espacio para parchear y actualizar el código de la aplicación. Además, los equipos de seguridad deben insistir en las soluciones WAAP que bloquean de forma automática o sencilla el acceso a los archivos y rutas sensibles del sistema operativo.
Aunque la ejecución de un WAAP en un entorno de staging o QA puede dar una idea de si una configuración WAAP en particular evitará un ataque, no hay sustituto para ejecutar el WAAP contra el tráfico web de producción en vivo. Descubra cómo nuestras funciones de modo WAAP dual permiten a los equipos de seguridad probar nuevas reglas WAAP sobre el tráfico de producción, brindando a los equipos la observabilidad y los controles necesarios para detener las amenazas emergentes y reducir masivamente el tiempo de respuesta.
3. ¿Cuál es el impacto de los eventos de seguridad en la capacidad del servidor?
Equilibrar la capacidad del servidor y los costos de la nube es una compensación entre la experiencia del cliente y las necesidades empresariales. Sin embargo, asignar la capacidad del servidor para acomodar a usuarios ilegítimos no es el mejor enfoque.
Si bien sigue existiendo una amenaza de ataques DDoS de alto perfil de las Amenazas Persistentes Avanzadas (APT) como Killnet, que atacó a instituciones gubernamentales japonesas y sitios web de aeropuertos estadounidenses en el verano y otoño de 2022, es mucho más común ver ataques en el rango de varios Gbps. Según NETSCOUT, un ataque DDoS ocurre cada tres segundos. Además de utilizar solo el ancho de banda para medir un ataque DDoS, las tasas de solicitud (es decir, solicitudes por segundo (RPS) o millones de paquetes por segundo (Mpps)) son una consideración igualmente importante a la hora de proteger la infraestructura de aplicaciones. Es posible que estos eventos de seguridad de los escáneres o botnets que llegan a las aplicaciones web no sean noticia, pero pueden afectar las experiencias de sus clientes en su sitio.
Aprovechar un WAAP basado en la nube con capacidades detalladas para limitar el tráfico y mitigar los ataques a puntos finales críticos puede filtrar gran parte de este tráfico indeseable antes de que afecte a su aplicación web, preservando la capacidad del servidor para los usuarios reales.
4. ¿Existen requisitos de cumplimiento a los que debo adherirme?
Depending En su industria y tipo de aplicación, es posible que su aplicación deba cumplir con las regulaciones de la industria. Si su sitio procesa pagos con tarjeta de crédito, es probable que deba cumplir con PCI. Es posible que su empresa deba cumplir con SOC 2 debido a la naturaleza sensible de los datos que utiliza y conserva su aplicación. Muchas de estas regulaciones requieren el uso de un WAAP.
Incluso cuando no se apliquen regulaciones de la industria, puede considerar seguir las mejores prácticas y directrices de la industria. Puede utilizar el Centro de controles de seguridad en Internet o el marco de AWS Well-Architected. Ambos recomiendan usar un WAAP porque puede inspeccionar y filtrar el tráfico web malicioso.
5. ¿Cuál es mi proceso de actualización / desmantelamiento de la aplicación?
Applications Construido sobre pilas de tecnología más antiguas deben actualizarse o desmantelarse. Muchas empresas ya no pueden arreglar el código de aplicación más antiguo si no se mantiene la pila tecnológica. Equilibrar la seguridad con las necesidades empresariales puede requerir una solución provisional. Ejecutar un análisis DAST completo y un WAAP cuidadosamente ajustado con reglas personalizadas apropiadas cuando sea necesario le permite ejecutar aplicaciones web de forma segura hasta que se actualicen o desactiven.
Have ¿Más preguntas?
Securing Sus aplicaciones web son una tarea importante que requiere equilibrar la seguridad, la ingeniería y los intereses comerciales. A veces estos intereses entran en conflicto, lo que dificulta que los desarrolladores tomen medidas.
Un WAAP puede ayudar a cerrar esta brecha mientras el equipo prioriza las amenazas e implementa correcciones en su canalización de CI/CD. Nuestros potentes y rentables WAAP Insights han reducido la barrera para la adopción de WAAP.
Póngase en contacto con nosotros para obtener todas sus preguntas sobre el fortalecimiento de su seguridad web y nuestros WAAP Insights respondidos.