La mejor solución para proteger las aplicaciones web - ISH Tecnologia
aplicaciones web

La mejor solución para proteger las aplicaciones web

Las aplicaciones web son programas almacenados en un servidor remoto y entregados por Internet a un cliente a través de una interfaz en un navegador.

La protección de las aplicaciones plantea retos. Y el trasfondo tecnológico explica por qué.

En los primeros tiempos de Internet, las páginas web eran estáticas. Básicamente, lo que había era un navegador que leía un html y montaba la página para que los usuarios pudieran navegar por ella. En aquellos primeros días, la interacción del usuario con el sitio era mínima y muy limitada. Y la seguridad se reducía a un cortafuegos de capa 3 o 4, que protegía al servidor web del acceso a otros puertos aparte del 80/443 (donde se produce por defecto el acceso http).

Por eso, en aquella época, la mayoría de los ataques se dirigían a explotar vulnerabilidades en los componentes del servicio que se ejecutaba en el servidor web, y no en el código del propio sitio web.

En la década de 1990, esto empezó a cambiar, ya que los servidores web aceptaban scripts del lado del servidor. Empezó a existir interacción del usuario con el sitio, lo que permitió la aparición de las primeras aplicaciones, como comercio electrónico, webmail, blogs, foros.

Y aquí está el primer punto de atención. El sitio web estático, las primeras aplicaciones súper sencillas, y las aplicaciones súper complejas de hoy en día, que ejecutan PYTHON, JAVA, HTML5, PHP, ASP, RUBY, dependen del mismo protocolo para funcionar: el bueno y viejo http.

El problema es que http no se creó con la idea de ser un protocolo que soportara toda esta complejidad. Lo que hace que la base, los cimientos de las aplicaciones web actuales, sean los mismos que hace 30 años.

Las aplicaciones web son herramientas esenciales para las empresas

Los datos y la información son el nuevo dinero. Lo que ha convertido a las aplicaciones web en los principales objetivos de los piratas informáticos. Son fácilmente accesibles a través de Internet y conectan a los usuarios con las bases de datos corporativas. Así pues, lo que separa al usuario, legítimo o malintencionado, del acceso sin restricciones a la información corporativa es la aplicación web.

Por lo tanto, no es exagerado decir que siempre habrá alguien intentando atacar una aplicación. Y como los sistemas operativos actuales tienen políticas de actualización constantes, es más fácil encontrar una puerta abierta en la aplicación que en la infraestructura.

En ese contexto, ¿qué protege mejor la aplicación?

Si nos fijamos en el modelo OSI, podemos decir que el cortafuegos tradicional no es una opción. Suele funcionar viendo únicamente información de red, por lo que no tiene ni idea de lo que ocurre en la aplicación, ya que sus decisiones se basan en el puerto, el protocolo y la dirección IP.

¿Es suficiente un cortafuegos de nueva generación? Sin duda son mejores que los tradicionales, ya que añaden más contexto a las decisiones y disponen de capacidades como IPS, filtrado web, antivirus y antimalware, que simplifican y mejoran la gestión de la seguridad. Pero siguen teniendo su foco principal por debajo de la capa 7. Muchos ataques atravesarán el NGFW sin dificultad.

Entonces, ¿quién queda?

WAF

El WAF - Web Application Firewall - protegerá las aplicaciones web contra ataques no volumétricos tanto en la capa de aplicación como en la de red.

Así que cuando hablamos de protección de aplicaciones, la mejor solución es siempre un WAF, porque está hecho para proteger específicamente esta parte del tráfico que llega para las aplicaciones web. Tanto es así que el WAF no sustituye al cortafuegos perimetral. Una empresa seguirá necesitando uno en su red.

El WAF compensará, por ejemplo, los desarrollos de aplicaciones inseguras. Supongamos que la empresa tiene 100 aplicaciones heredadas, desarrolladas cuando aún no existía una preocupación tan fuerte por la seguridad. Será mucho más fácil, eficiente y barato proteger esas aplicaciones de una vez con un WAF que intentar recodificarlas de forma segura.

WAF podrá aplicar un parche virtual a estas aplicaciones. Y como puede parchear la aplicación virtualmente, también es una herramienta excelente para protegerse de las amenazas de día cero.

Principales puntos vulnerables

Ataques de inyección, como inyección SQL, inyección URL, inyección LDAP, que son comunes y explotan fallos en la validación de los datos que el usuario puede introducir en la aplicación. El atacante intenta que la aplicación ejecute comandos o consultas no autorizadas. Un WAF sería capaz de identificar el ataque y bloquear sólo los paquetes maliciosos, sin afectar a los usuarios legítimos que estén utilizando la aplicación al mismo tiempo.

Exposición de datos sensibles, que se produce cuando la información conocida como confidencial está siendo enviada por la aplicación al usuario. WAF puede detectar y bloquear la transmisión de la información en tiempo real.

Cross site scripting. Dos tercios de todas las aplicaciones tienen esta vulnerabilidad en algún punto de su código. La aplicación utiliza un fragmento de código inseguro que desarrolla un atacante. Muy común en ataques de pishing destinados a robar credenciales de acceso, por ejemplo.

Uso de componentes vulnerables. Hoy en día, los desarrolladores utilizan diversos componentes desarrollados por terceros en las aplicaciones y no tienen ni idea del código que se está ejecutando detrás.

Un WAF podrá parchear el código de la aplicación "sobre la marcha". Puede incrustar un CAPTCHA en la aplicación de forma dinámica. Es decir, en lugar de rehacer aplicación por aplicación para insertar un CAPTCHA en los formularios de entrada de datos, su waf puede hacerlo por usted con el clic de un ratón.

O bien, WAF puede determinar si el usuario que accede a la aplicación es un bot, y tomar medidas como bloquear el acceso. También funciona con inteligencia de amenazas. Un ataque realizado en la otra punta del mundo que entre en una base de datos de inteligencia de amenazas puede bloquearse en la empresa sin que el WAF haya visto nunca ese ataque, sin necesidad de configuración previa.

Falsos positivos

Mucha gente puede pensar que una herramienta de este tipo generará una gran cantidad de falsos positivos. En realidad, es todo lo contrario: la cantidad de falsos positivos es muy pequeña. Y aún existe la posibilidad de activarlo en modo de aprendizaje, para que el WAF entienda cómo funciona la aplicación de esa empresa antes de empezar a bloquear el tráfico ajeno al funcionamiento normal y legítimo de la aplicación.

Si necesita más información, póngase en contacto con nosotros. Queremos ayudarle a proteger su negocio.

Por Leonardo Camata

Tags: CORONAVIRUS, , , , , seguro, , , empresariales, ,
Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.