La mejor forma de reducir el coste de vulnerabilidades de aplicaciones y sitios web es evitar que permanezcan, se conviertan en amenazas y finalmente en ataques, que deriven en multas, pérdidas de ingresos y la sombra de la mala reputación. Los hackers las aprovechan para colarse en servidores, BBDD, aplicaciones web y otros recursos TIC comprometiendo información crítica, pero siempre hay quién piensa «¿qué me van a robar a mí?»
Según un estudio de Symantec, Reducing the Cost and Complexity of Web Vulnerability Management, existen decenas de miles de vulnerabilidades conocidas, y su número crece exponencialmente año a año. Un incremento facilitado por el auge de los scripts automatizados y los kits de herramientas de ataque web. Estos paquetes de malware están creados específicamente para aprovechar las vulnerabilidades web y facilitar el lanzamiento de ataques generalizados.
Surgen por tanto nuevas necesidades de seguridad, de funciones más ágiles, simplificadas y automatizadas que permitan a los administradores web ser capaces de identificar a tiempo las vulnerabilidades y corregirlas o parchearlas antes de que se conviertan en amenazas y ataques que deriven en el robo y manipulación de información sensible de recursos humanos, clientes o finanzas.
La ciberdelincuencia siempre está dispuesta para aprovechar los fallos comunes de software y las vulnerabilidades creadas a partir de un dispositivo o configuración de seguridad inadecuados. Y muchas organizaciones no disponen de los recursos necesarios o el personal indicado para «taponar» esas vulnerabilidades o hacer frente a sus amenazas.
Los ataques más peligrosos y los que más rápido se están extendiendo, según Symantec, son los automatizados, los dirigidos. Prácticas maliciosas como las inyecciones SQL, que permiten a los ciberdelincuentes acceder a las bases de datos corporativas; o cross-site scripting (XSS), que les permite agregar código malicioso al sitio web para ejecutar tareas, muy típico en aplicaciones web como las tiendas online.
Estos métodos pueden dar a los atacantes el control de la aplicación web facilitándoles el acceso a servidores, bases de datos y otros recursos de las telecomunicaciones corporativas. Una vez han accedido a ellos pueden hacerse con números de tarjetas de crédito, información privada de empleados y otros datos críticos.
¿Cómo anticiparse a los hackers identificando antes que ellos las vulnerabilidades web de nuestras páginas y aplicaciones?
Una evaluación de vulnerabilidades web complementa la protección de datos con el análisis y escaneo automático, y periódico, de vulnerabilidades en páginas y aplicaciones web, así como en el software del servidor y los puertos de red. Se examinan los puntos de entrada más utilizados para ataques comunes. Una óptima evaluación consta de tres fases:
- Con el análisis se detectan la vulnerabilidades más comunes (cross-site scripting, inyecciones SQL…), incluyendo los programas obsoletos o sin parchear, y las puertas traseras.
- Una vez realizado el análisis, la evaluación debe ofrecer un informe con los datos recabados para facilitar el trabajo del departamento TIC y parchear o mitigar las vulnerabilidades detectadas. Así se aumenta la visibilidad sobre la seguridad para los responsables de las telecomunicaciones de la empresa.
- Finalmente es recomendable que el sistema haga un repaso a las páginas y aplicaciones web analizadas para comprobar que las vulnerabilidades se han solucionado.
Lo ideal para complementar la evaluación y minimizar los riesgos de las vulnerabilidades web es la implementación de un firewall con control de aplicaciones (Web Application Firewall). Un cortafuegos que realiza el seguimiento de las páginas y aplicaciones web. Capaz de bloquear la entrada y salida de las solicitudes de acceso al sistema que no cumplan con las configuraciones de vulnerabilidades y amenazas web definidas en este dispositivo. De esta manera el firewall protege el servidor web más allá del cortafuegos de red tradicional.
La reducción de costes gracias a una óptima evaluación de vulnerabilidades web
Un cliente satisfecho siempre vuelve. Ésta es una máxima del comercio de toda la vida. Y en el comercio y los negocios online la primera norma para mantener al cliente contento es garantizar la seguridad de sus datos y transacciones online, cumpliendo con las regulaciones en materia de protección de datos. Y en un panorama siempre cambiante de amenazas y soluciones es indispensable una protección dinámica.
Con el fin de no tener que pagar con la reputación de la empresa, los costes derivados de una multa por transgredir el cumplimiento de normativas o el descenso de los ingresos al resultar «sospechosos» a los clientes, es fundamental mantener a raya las vulnerabilidades de páginas y aplicaciones web y no permitir que permanezcan y se acumulen en nuestro servidor web.
Una evaluación adecuada y simplificada de las vulnerabilidades web, en combinación con un firewall con control de aplicaciones, reducirá el coste del conjunto de la gestión de vulnerabilidades web haciéndola más sencilla y eficiente. Una mayor transparencia y visibilidad de estos procesos facilitará las tareas de seguridad y protección de datos del departamento TIC reforzando la capacidad de la empresa en esta materia.
photo credit: Nukamari via photopin cc
photo credit: Christophe Verdier via photopin c