Los cinco mitos más comunes sobre la seguridad web

Corriendo detrás de las APT de moda, tendemos a olvidarnos del enfoque de sentido común y la evaluación integral de riesgos.

Casi 3 terabytes de datos robados en el escándalo de la Puerta de Panamá pronto se podrá buscar en línea. Mossack Fonseca, la firma legal violada detrás de una de las filtraciones de datos más grandes de la historia, tenía numerosas vulnerabilidades de alto riesgo en sus aplicaciones web front-end, incluida su Portal de información del cliente. En realidad, pocos grupos de piratas informáticos gastarían dinero en costosos días cero y APT complicadas, cuando la información se puede robar fácilmente a través de aplicaciones web inseguras. Además, incluso si su sitio web corporativo no contiene un solo byte de datos confidenciales, sigue siendo un punto de apoyo perfecto para entrar en su red corporativa.
Hoy en día, muchas personas, incluidos los profesionales de la ciberseguridad, subestiman la importancia de la seguridad de las aplicaciones web y centran su atención más en la detección de APT, los sistemas inmunitarios empresariales y otras actividades aplicables cuando ya es «demasiado tarde» para reaccionar para prevenir la violación. Un enfoque de sentido común sugiere que antes de instalar un costoso equipo antirrobo y una alarma en una casa, el propietario primero debe cerrar las puertas y las ventanas y probablemente construir una cerca alrededor, de lo contrario, está tirando dinero por el desagüe. Echemos un vistazo a los cinco mitos más comunes que existen hoy en día sobre la seguridad de las aplicaciones web, que provocan violaciones de datos sensacionales, enormes pérdidas financieras y Despidos CISO:
La protección de las joyas de la corona corporativa es más importante que las aplicaciones web
No, no puede proteger una parte de su red e ignorar otra. La seguridad de la información debe ser integral y holística: analizará todas las amenazas, vulnerabilidades y, por lo tanto, los vectores de ataque en su integridad. Hoy en día, ningún ciberdelincuente intentará robar sus joyas de la corona directamente donde sea que se encuentren. [securely] almacenado.
Irrumpir a través de sus aplicaciones web junto con el spear phishing probablemente sea una de las formas más baratas, confiables y silenciosas de ingresar a su red corporativa y eludir su defensa en profundidad. Cuando realice una evaluación de riesgos, piense como un ciberdelincuente profesional, mantenga los costos y el tiempo invertidos [on the attack] Tan bajo como sea posible. Cuando esté mapeando los vectores de ataque y las vulnerabilidades, cuantas más personas externas puedan unirse a su sesión de lluvia de ideas, incluidas las agencias de aplicación de la ley y las víctimas de violaciones de datos de su industria, mejor.
Mis aplicaciones web son seguras: cumplo con PCI
No, incluso si ha pasado con éxito su última auditoría de cumplimiento de PCI DSS, puedenunca reemplace una evaluación de riesgos integral y enfoque de sentido común para la seguridad. Incluso con PCI DSS 3.2 que ahora requiere tener una autenticación de múltiples factores para acceder al entorno de datos del titular de la tarjeta (CDE), no significa que solo las aplicaciones web dentro del alcance del CDE deben estar debidamente protegidas. Un subdominio vulnerable, spear-phishing y un paquete de explotación de $ 10,000 pueden llevar a comprometer las máquinas de su equipo técnico, abriendo cualquier puerta dentro de la red de su empresa, incluido el alcance de CDE (si la máquina de la víctima tiene una puerta trasera, incluso 2FA puede ser fácilmente interceptado y comprometido ).
El escaneo automatizado de vulnerabilidades es suficiente
No, a diferencia de las pruebas de SSL, por ejemplo, el análisis de vulnerabilidades totalmente automatizado no es suficiente para las aplicaciones web modernas. Reciente La investigación del grupo NCC comparó varios escáneres de vulnerabilidad, e incluso los mejores tenían alrededor del 50 por ciento de falsos positivos. Investigadores del Laboratorio de Ciencias de la Computación e Inteligencia Artificial del MIT confirmó que ni los humanos ni la Inteligencia Artificial ha demostrado tener éxito en el mantenimiento de la ciberseguridad por sí mismos y ha propuesto una combinación de humanos y máquinas para lograr los mejores resultados. Es por eso que las empresas líderes en ciberseguridad que solían confiar en la automatización, ahora se asocian con empresas que desarrollan detección de vulnerabilidad híbrida tecnologías. Sí, debe automatizar todo lo que pueda, pero no puede automatizar todo.
Las pruebas de penetración son la mejor forma de probar la seguridad web
No, porque las pruebas de penetración no son escalables y no se pueden utilizar en modo continuo 24 horas al día, 7 días a la semana. Incluso si puede pagar las pruebas de penetración mensuales, nadie puede garantizar que dentro del período de 30 días ningún día cero se haga público, o que sus desarrolladores web no cometan un error peligroso en el código.
Las pruebas de penetración pueden complementar perfectamente su monitoreo continuo, pero nunca pueden reemplazarlo. Es por eso que la gente del MIT dice que el futuro pertenece a los sistemas híbridos que combinan el monitoreo continuo 24/7 aprovechando el aprendizaje automático, pero supervisados ​​y administrados por humanos.
WAF puede proteger de manera confiable la infraestructura web
No, incluso siendo un tecnología imprescindible para prevenir ataques simples y automatizados,WAF no puede evitar la explotación de todas las vulnerabilidades. La lógica de la aplicación, el control de acceso, las vulnerabilidades encadenadas, la autenticación y los problemas de cifrado de datos no son las vulnerabilidades que su WAF puede detectar y prevenir de manera confiable.
High-Tech Bridge realizó un detallado investigación sobre ModSecurity WAF para demostrar que algunas fallas complicadas, como el Control de acceso inadecuado y CSRF, se pueden reparar a través de WAF, sin embargo, tomará tanto tiempo y esfuerzos manuales que no tiene sentido usar WAF para este propósito. De lo contrario, en la época del desarrollo de software ágil y JIT, siempre debe seleccionar: o su WAF bloqueará a algunos de los clientes legítimos y perderá su dinero, o pasará por alto algunos de los ataques que permiten la entrada de piratas informáticos. sí, las soluciones RASP actualmente de moda tienen similares y problemas aún peores que los WAF.
Yan Borboën, socio de PwC Suiza, MSc, CISA, CRISC, comenta: “La ciberdefensa no es solo un problema tecnológico que debe ser resuelto por el CISO. Todos los grupos de interés de las empresas (Consejo de Administración, C-Levels) deben participar en la ciberdefensa para obtener la combinación adecuada entre tecnologías, procesos y medidas de personas. Además, en nuestro Encuesta Global Economic Crime de PwC 2016, observamos que el 63% de los encuestados no tiene un plan de respuesta a incidentes, incluso todos sabemos que en el panorama empresarial actual, los incidentes de seguridad de la información son una cuestión de «cuándo», no de «si». Esto también sería un mito que recomendaría a las empresas que aborden. Los incidentes ocurrirán en su empresa, así que esté preparado «.
Los cinco mitos mencionados anteriormente se destruyen con un enfoque de sentido común y un análisis técnico pragmático. Recuérdelos al construir su estrategia de ciberseguridad corporativa y evitará numerosos escollos y problemas más adelante.
Puede obtener más información sobre los hallazgos de High-Tech Bridge sobre este tema. aquí