Inicio
 > Informes e investigaciones > Blog de TEC > Evaluación y gestión de riesgos de seguridad en ...

Evaluación y gestión de riesgos de seguridad en aplicaciones Web

Escrito por: Caleb Sima
Publicado: enero 21 2009

Publicado originalmente en Junio 4, 2008

La valoración de los riesgos de seguridad y el manejo de los mismos se ha convertido en la tarea vital para los funcionarios y directores TI. Las corporaciones hacen frente a niveles crecientes del riesgo casi diariamente: desde las vulnerabilidades del software ocultadas en sus sistemas tecnológicos empresariales hasta los hackers (piratas informáticos) y los caber-ladrones que intentan robar la propiedad intelectual corporativa legalizada, incluyendo información sensible del cliente. Una lista creciente de regulaciones gubernamentales apuntan a asegurar la confidencialidad, integridad, y la disponibilidad de muchos tipos de información financiera y relativa a la salud así como los crecientes riesgos y lograr una valoración exhaustiva de la seguridad es una necesidad de las corporaciones modernas.

¿Pero cómo las organizaciones realizan una valoración de riesgo de seguridad exacta para sus sistemas TI y la información crítica que allí se almacena? El riesgo nos rodea a diario en el mundo físico, y tomamos precauciones para atenuar esos riesgos: todo, desde cinturones de seguridad hasta comprar seguros de vida. Pero no es tan fácil comprender la gerencia del riesgo de seguridad de la Web: ¿Cuánto cuesta realmente a compañía cuando uno de sus servidores Web es violado, o si un ataque interrumpe la disponibilidad de los sistemas críticos Web? ¿Cuáles son los costes asociados a un hacker o a un competidor que arrebata listas legalizadas o patentadas de información o del cliente de un servidor Web inseguro? Cómo llevar a cabo la gerencia de riesgo de seguridad de la Web, depende enteramente de saber las respuestas a estas preguntas.

Tales riesgos se pueden considerar más claramente con la siguiente ecuación simple que cuantifica la valoración de riesgo de seguridad:

Riesgo = valor del activo x severidad de la vulnerabilidad x probabilidad de ataque

En esta ecuación, usted puede dar pesos de 1 a 10 (siendo 10 el más severo o alto) para cada factor de riesgo. Multiplicando los factores, es fácil llegar a un agregado de riesgo de seguridad para cualquier activo. Tomemos un ejemplo diario: tenemos un servidor de e-comercio que realiza 40% de todas las transacciones del cliente para la organización, y tiene una vulnerabilidad severa y fácil de explotar:

Riesgo del servidor de comercio electrónico = 10 (valor del activo) x 10 (severidad de la vulnerabilidad) x 10 (probabilidad de ataque)

En este ejemplo, el riesgo del servidor de comercio electrónico iguala 1.000: la valoración de riesgo de seguridad más alto posible. La compañía entonces estructuraría sus políticas de gerencia de riesgo de la seguridad apropiadamente, asignando más recursos a atenuar este riesgo.

Ahora, permitámonos comparar los resultados de una valoración de los riesgos de seguridad en otros dos casos: una vulnerabilidad moderada con un servidor del comercio electrónico y una vulnerabilidad severa con un servidor del Intranet usado en la publicación de anuncios internos:

Riesgo del servidor de comercio electrónico = 10 (valor del activo) x 4 (severidad de la vulnerabilidad) x 4 (probabilidad de ataque)

Riesgo del servidor de comercio electrónico = 160, un rango de riesgo moderado.

Riesgo del servidor Intranet = 2 (valor del activo) x 8 (severidad de la vulnerabilidad) x 6 (probabilidad de ataque)

Riesgo del servidor Intranet = 96, un rango de valoración de riesgos de seguridad más bajo.

Aún cuando el servidor del Intranet tiene mayor vulnerabilidad, el valor del activo crea un valor relativo más bajo que el riesgo del servidor del comercio electrónico. Realizando una valoración del riesgo total de la seguridad esta manera, permite que las organizaciones tomen decisiones sabias cuando viene hora de desplegar recursos escasos para optimizar la protección de sus activos. La gerencia de riesgo de seguridad es el proceso de manejar la exposición de una organización a las amenazas a sus activos y capacidades operativas. Las metas del proceso de gerencia de riesgo de seguridad son proporcionar el nivel óptimo de la protección a la organización dentro de los límites del presupuesto, de las leyes, de la ética, y de la seguridad.

¿Cómo las aplicaciones Web y los servidores Web crean riesgo?

Una de las fuentes más críticas de riesgo para las organizaciones de hoy reside dentro de sus servidores Web. Esto se debe a los servidores Web y los sistemas abiertos de información a los cuales los surtidores, los socios, y los clientes deben tener acceso. La ejecución de una valoración de los riesgos de seguridad e implementar políticas adecuadas de gestión del riesgo de seguridad en esta área pueden ser críticas. Los servidores Web comprometidos pueden dañar organizaciones de muchas maneras, desde ceder datos privados del cliente y aceptar transacciones fraudulentas hasta indirectamente dañar el prestigio corporativo como resultado del vandalizaje de una pagina de inicio o portal (homepage). Mientras parece que una multitud de cosas malas puede suceder como resultado de un millón de diversas vulnerabilidades, podemos categorizar en pocas palabras los “puntos de dolor” básicos a tratar en su plan de gerencia de riesgo de seguridad Web en algunas áreas principales:

Configuración del defecto. Los servidores Web son frecuentemente instalados con configuraciones por defecto que pueden no ser seguras. Estas inseguridades incluyen muestras y las plantillas innecesarias, herramientas administrativas, y ubicaciones predecibles de las utilidades usadas para manejar los servidores. Sin la gerencia de riesgo para la seguridad apropiada, esto puede conducir a varios tipos de ataques que permitan a los piratas informáticos (hackers) ganar el control completo sobre el servidor Web.

Validación de la entrada del usuario. Los sitios Web y las aplicaciones necesitan ser interactivos para ser útiles. Sin embargo, las aplicaciones Web que no realizan la suficiente validación de las pantallas de la entrada del usuario permiten que los piratas informáticos ataquen directamente el servidor Web y sus bases de datos sensibles. La entrada inválida conduce a muchos de los ataques más populares. Una valoración exhaustiva del riesgo de seguridad sobre sus aplicaciones Web internas y externas de la organización puede revelar cuales, si alguna, acciones deben ser tomadas.

Codificación. Es un hecho triste que aunque los algoritmos modernos de codificación son virtualmente irrompibles, son poco utilizados. En años pasados, las consideraciones del rendimiento fueron citadas como factor en el uso limitado de la codificación. Sin embargo, la unidad de alto rendimiento de procesamiento por ordenador (CPU) de hoy y los aceleradores criptográficos especializados han quebrado las barreras del precio/rendimiento relacionadas con la codificación. El problema con el codificado limitado tiene más a hacer con el diseño pobre de las aplicaciones y una carencia de conocimiento entre los desarrolladores. Casi todo el tráfico de la Web pasa en claro, y puede ser fisgoneado por un pirata informático alerta.

Asegure el almacenaje de datos. Mientras que es crítico asegurar los datos en tránsito, es tan justo como importante implantar políticas de gestión de riesgo de seguridad que aseguren de que los datos se están almacenando de forma segura. Esto incluye datos de codificación almacenados, pero no para allí. Muchas aplicaciones Web almacenan archivos sensibles en los servidores accesibles al público, en lugar de servidores protegidos. Otras aplicaciones llevan acabo un pobre trabajo de limpieza de archivos temporales, dejando datos valiosos accesibles al pirata informático que sabe como encontrarlo.

Administración de sesiones. Otro factor a considerar cuando se desarrolla un plan de gerencia de riesgo de seguridad es que muchas aplicaciones Web realizan un pobre trabajo al manejar sesiones únicas usuario. Esto puede incluir el uso de métodos débiles de autentificación, pobre administración de las galletas (cookies), incapacidad de crear tiempos limites para las sesiones, y otros elementos débiles de la sesión. Esto conduce a menudo al secuestro o pirataje de la sesión y a comprometer la legitimidad de la identidad del usuario. Una valoración de riesgo de seguridad puede determinar el si esto es un problema potencial para su organización.

Mantenimiento. La incapacidad de implementar políticas de gerencia de riesgo de seguridad que mantienen los servidores Web al día con los últimos arreglos o parches del proveedor, así como el descuido para realizar prueba continuas de las aplicaciones legitimas de la Web, crea un riesgo adicional.

Todos estos problemas importantes son generalmente el resultado de una carencia del debido cuidado dentro de los procesos de desarrollo y mantenimiento de las aplicaciones Web. En las organizaciones en donde la seguridad no se tiene en cuenta ambos, los procesos de planificación y desarrollo de aplicaciones empresariales, puede haber una horrorosa carencia de conciencia de la necesidad de incorporar las mejores prácticas a la seguridad a partir del día uno. Esto es una situación peligrosa, y los resultados de la carencia general de conciencia sobre los riesgos asociados a los servidores y a las aplicaciones Web son evidentes en los titulares semana tras semana donde se divulgan noticias sobre robos de información de corporativa y de clientes.

La mejor manera de evitar tales desastres es establecer un proceso continuo de gerencia de riesgo de seguridad que comience con la cuantificación del valor de las aplicaciones Web, así como los datos que ella maneja, con una valoración de riesgo completo de la seguridad. Las organizaciones entonces deben identificar y atenuar continuamente las vulnerabilidades y los riesgos asociados a esos sistemas del principio y a través de su ciclo vital: desde el desarrollo hasta la producción.

Este acercamiento a la gerencia del riesgo de seguridad –realizando constantemente una valoración de riesgo de seguridad, para identificar y remediar las vulnerabilidades corrigiendo los errores del desarrollo de la aplicación, por medio de “parches” de seguridad, y arreglando las malas configuraciones del sistema -conducirá a las organizaciones a la mejora continua de su infraestructura tecnológica empresarial y a una reducción exhaustiva del riesgo.

Sobre el autor

Caleb Sima es cofundador de SPI Dynamics, una Web application security products company. Actualmente tiene dos puestos como CTO y director de SPI Labs, grupo SPI Dynamics' R&D security. Previamente a cofundar SPI Dynamics, Sime trabajo para el grupo elite X-Force R&D en Internet Security Systems y como ingeniero de seguridad para S1 Corporation. Sima es un orador frecuente y una fuente de información sobre métodos de pruebas de seguridad para aplicaciones Web, además de contribuir con varias publicaciones, incluyendo Baseline Magazine, (IN)Secure Magazine, ISSA Journal y Security Management Magazine, y ha sido publicado por the Associated Press.

 
comments powered by Disqus