Aún cuando una gran cantidad de empresas continúa empeñándose en dar protección al perímetro -un tema ya solucionado en muchas compañías-, para Netsecure la mirada debería centrarse en una nueva amenaza que va ‘in crescendo’. Se trata de las vulnerabilidades en las aplicaciones web, la mayoría -a juicio de la compañía- construida sin considerar los más mínimos estándares de seguridad. De hecho, Netsecure ha detectado la existencia de vulnerabilidades graves en el 99,8% de los aplicativos web evaluados durante el 2007. Sobre estos riesgos y la propuesta de la compañía para enfrentarlos, Revista Gerencia conversó con Héctor Escalona, Director de Servicios Profesionales de Netsecure, quien profundiza en el tema Web Application Security.
¿Por qué las barreras perimetrales tradicionales ya no son suficientes?
Las medidas de seguridad tradicionales, implementadas perimetralmente para proteger la infraestructura TI, son inefectivas ante la explotación de vulnerabilidades en las aplicaciones web. Es así como una compañía con monitoreo 7×24 de IDS/IPS World Class y una aplicación web mal construida, está tan expuesta como otra que no posee los recursos para tal despliegue tecnológico, pero tiene el mismo aplicativo instalado. Esto se debe a que los IDS/IPS y demás medidas implementadas en general poseen la capacidad de detección de algunos patrones de ataques comunes, pero no para comprender la lógica intrínseca en aplicaciones web. Desde nuestro punto de vista, creemos que el foco debiera estar en las vulnerabilidades que se encuentran en éstas (tanto internas y externas), ya que el riesgo de robo o fuga de información se encuentra cada vez más presente ante la proliferación de aplicativos web vulnerables o mal construidos, que manejan datos importantes para el negocio.
¿Encontrar aplicaciones web inseguras es común? ¿Por qué?
Hemos encontrado que en las más de 100 aplicaciones web verificadas hasta hoy por nuestros especialistas existe un patrón común: una mala construcción que no considera la seguridad como parte del proceso de desarrollo ¿La razón? En general, los desarrolladores no están capacitados en seguridad de la información y muchas veces este servicio (desarrollo) se externaliza sin ninguna exigencia en la materia.
Adicionalmente, las empresas no están explicitando sus necesidades de seguridad de los datos, antes de planificar, construir o implementar sus aplicaciones web, ya que no ven los riesgos asociados a no contar con políticas de desarrollo seguro o una adecuada sensibilización en el tema. El foco en estos proyectos se sitúa en la funcionalidad, es decir, en que la plataforma opere bien y la seguridad está centrada sólo en el perímetro. Esto en circunstancias que, según Gartner, el año pasado el 75% de las intrusiones exitosas fue realizado a través de aplicaciones web expuestas y que del 100% de vulnerabilidades detectadas el 2007 a nivel mundial, casi un 50% provenía de este tipo de aplicativos.
Netsecure se ha enfocado en este riesgo, ¿cuál es su propuesta para enfrentarlo?
Proveemos un servicio denominado Web Application Risk Management Program, programa de administración de riesgo de la información con foco en aplicaciones web, que aborda desde la construcción de éstas, a través del entrenamiento a los desarrolladores, jefes de proyecto y administradores, hasta la revisión de Quality Assurance antes de la salida a producción de la plataforma web, así como la verificación de calidad posterior a la implementación en producción. En síntesis, apoyamos el ciclo de desarrollo seguro de la aplicación (Web Application Security), siendo capaces de detectar toda la gama de vulnerabilidades que puede tener un aplicativo web, y luego apoyar al cliente de dos formas: orientándolo sobre cómo corregirlas a nivel de desarrollo o implementando un Web Application Firewall (WAF), a través del cual es posible proteger gran parte de las vulnerabilidades encontradas, sin necesidad de modificar directamente el desarrollo, permitiendo una mayor flexibilidad.
