Existe en la actualidad una cantidad inimaginable de aplicaciones web que facilitan el intercambio de información dentro de una organización. La transformación digital ha favorecido la proliferación de aplicaciones SaaS que proporcionan a las personas un entorno fiable para poder desarrollar su trabajo de forma más productiva.
Muchas de estas aplicaciones han sido desarrolladas in-house debido a requerimientos específicos del negocio en cuestión y, en muchos casos, el coste que puede suponer una auditoría periódica de la aplicación personalizada y el mantenimiento del entorno suele ser tan elevado que muchas empresas no realizan estas tareas con la periodicidad necesaria.
Este tipo de aplicaciones pueden ser usadas para explotar vulnerabilidades existentes en el código y conseguir acceso a la máquina o incluso a otros servidores.
Las aplicaciones web tienen entre 150k y 250k líneas de código y según la calidad del código y la densidad, el número de posibles vulnerabilidades críticas puede variar. No existe un método mágico para parchear el software de modo que hay que añadir esfuerzos en la mejora y la remediación del código.
Dentro de estas vulnerabilidades, tenemos ataques tanto al código del programa como a la misma base de datos donde se almacena la información. OWASP nos proporciona información sobre los ataques más utilizados y ejemplos de cómo puede afectar esa vulnerabilidad en una aplicación cualquiera.
(XSS) Cross Site Scripting
El Cross Site Script es una de las vulnerabilidades más utilizadas y consiste en un código malicioso que se repite en HTML devuelto desde un sitio web de confianza. Los scripts se ejecutan localmente en el cliente con acciones tan diferentes como robar credenciales o incluso minado de bitcoins.
¿Cuáles son las implicaciones de un XSS?
Un XSS puede..
- Dañar la imagen corporativa, modificando el contenido del sitio web
- Provocar el robo de datos de inicio de sesión de administradores.
- Robo de datos personales de clientes, empleados… etc.
Inyección SQL
La inyección SQL es una técnica utilizada para atacar a las bases de datos que mantienen las aplicaciones web. Una vez que un hacker toma el control de la base de datos puede realizar cualquier acción sobre ella: creación de nuevas tablas, robo de información contenida o, incluso, la eliminación total de la base de datos.
El daño que puede suponer una caída de la aplicación o una fuga de datos es grave. No solo por el tiempo perdido hasta restablecer el servicio, sino por el daño a la imagen corporativa y por la exposición a una posible multa por incumplimiento de la normativa europea de protección de datos (GDPR).
Herramientas para proteger aplicaciones web
Existen herramientas que nos ayudan a mitigar y remediar vulnerabilidades de nuestras aplicaciones sin haberlas descubierto y protegen nuestros entornos mediante un firewall de capa de aplicación.
La técnica de remediación de vulnerabilidades a través de los cortafuegos de aplicaciones web se denomina “Virtual Patching” y es una de las defensas más efectivas contra la mayoría de ataques web.
El funcionamiento a grandes rasgos es simple: el cortafuegos analiza el comportamiento de los usuarios y revisa en todo momento las peticiones realizadas inspeccionando todo el tráfico que entra y sale. Si el cortafuego detectara una solicitud sospechosa, bloquearía esa petición y tomaría las acciones necesarias.
El coste que supone adquirir una herramienta de esta índole es una fracción de lo que supondría auditar y mantener una aplicación web de manera constante. Sin embargo, no debemos (ni podemos) caer en el error de substituir una acción por otra. Debemos asegurar una viabilidad económica del proyecto pero no se puede substituir el desarrollo y el mantenimiento de una aplicación por una herramienta.
Una buena práctica para mantener un entorno lo más seguro posible pasa por una revisión periódica de la infraestructura, un control exhaustivo de nuevas revisiones de seguridad, una auditoría de seguridad a partir de un pentest en un entorno de laboratorio y, finalmente, por combinar todas estas acciones con una herramienta de seguridad para mantener un nivel de protección en la capa de aplicación para evitar posibles ataques maliciosos contra nuestras aplicaciones web.
Con la normativa RGPD empezando a causar estragos en muchas organizaciones, puede que este 2019 sea el año que se tome seriamente la ciberseguridad.
En Sirt somos especialistas en soluciones de seguridad Cisco y, por ello, tenemos experiencia en seguridad perimetral y cloud, así como protección de aplicaciones SaaS.
