Certificación Activa
Las peores vulnerabilidades son las desconocidas
En general las aplicaciones hechas a la medida se desarrollan sin utilizar estádares, marcos de referencia o buenas practicas en seguridad, y una vez implementadas su confiabilidad no es auditada. Detrás de una aplicación a medida no hay fabricantes liberando actualizaciones de seguridad, pero si hay atacantes en busca de vulnerabilidades.
El 75% de los ataques exitosos aprovechan agujeros de seguridad en aplicaciones web. Gartner.
¿Conoce cuantas vulnerabilidades tienen sus aplicaciones? La exposición de una aplicación web es enorme. Son accesible a través de Internet a millones de usuarios. Incluso aquellas en la Intranet corporativa están directamente expuestas a potenciales atacantes internos. En ambos casos, la aplicación web puede transformarse en un túnel a través de las medidas de seguridad establecidas.
Análisis profundo, auditoría integral
La Certificación Activa verifica la confiabilidad de una plataforma informática, con una auditoría que incluye una revisión profunda a las aplicaciones desarrolladas a medida o in-house. De esta manera, no solo se evalua la seguridad de los sistemas bajo la aplicación, sino que ademas se audita la seguridad de la aplicación misma. Utilizando una combinación de servicios profesionales y tecnología, Confianze trabaja sobre su plataforma con el objeto de:
- Identificar vulnerabilidades de seguridad en el diseño, programación e implementación de la aplicación.
- Identificar malas prácticas de programación o diseño de la aplicación.
- Identificar configuraciones vulnerables en los sistemas que soportan la aplicación.
El proceso de Certificación Activa se compone de tres etapas:
- Análisis de código: Se analiza el código fuente de la aplicación, con el fin de identificar debilidades en la programación o diseño que puedan provocar vulnerabilidades de seguridad.
- Pruebas de penetración: Se ejecutan pruebas de penetración, que simulan las técnicas utilizadas por un atacante experimentado.
- Auditoría Continua: Este es un proceso automatizado que permite identificar vulnerabilidades de seguridad en la plataforma.
Análisis de código: seguridad desde la fuente
Durante el análisis de código se evalúa el nivel de seguridad del c&ocute;digo fuente de la aplicación, observando la existencia o no de practicas seguras de programación. Como marco de referencia se utilizan las recomendaciones del Open Web Application Security Process, OWASP.
64% de las vulnerabilidades se producen por un error de programación. Computer Security Institute, CSI.
El análisis de código se centra en las 10 áreas de preocupación mas importantes propuestas por OWASP :
- Entrada no validada
- Control de Acceso Interrumpido
- Administración de Autenticación y Sesiónes
- Fallas de Cross Site Scripting (XSS)
- Desbordamiento de Búfer
- Fallas de Inyección
- Manejo Inadecuado de Errores
- Almacenamiento Inseguro
- Negación de Servicio
- Administración de Configuración Insegura
Además se verifica el nivel de cumplimiento con las recomendaciones de seguridad entregadas por el fabricante de la plataforma. Por ejemplo, el Sun Security Code Guideline para ambientes J2EE;o el. NET Framework Security Guideline para la plataforma .NET.
Pruebas de penetración: la visión del atacante
En esta etapa los evaluadores asumen la posición de un atacante, y aplican técnicas que emulan su comportamiento. De esta forma es posible evaluar el nivel de seguridad de la aplicación y sistemas desde la perspectiva de un atacante real. Las pruebas se realizan bajo los modelos de black box, grey box y white box de OWASP.
La prueba de penetración se realiza en dos etapas:
- Fase Pasiva: se recopila información sobre los puntos de entrada, lógica y diseño de la aplicación.
- Fase Activa: se ejecutan pruebas contra la aplicación con el fin de identificar potenciales vulnerabilidades.
Las pruebas de penetración identifican vulnerabilidades de las siguientes categorías propuestas por OWASP:
- Recopilación de información
- Lógica de negocio
- Autenticación
- Administración de sesiones
- Validación de datos
- Denegación de servicios
- Web Services
- AJAX
Auditoría Continua: evaluación y monitoreo integral
El conocimiento reunido en las etapas anteriores, es sistematizado por el equipo de Confianze, el que construye pruebas de seguridad especificamente diseñadas para la aplicación evaluada. Estas pruebas de seguridad son integradas a la Auditoría Continua, permitiendo una monitoreo integral de la seguridad de la plataforma y facilitando la gestión de vulnerabilidades. [+ Información]
Las organizaciones que implementan procesos para la gestión de vulnerabilidades, sufren un 90% menos ataques exitosos en comparación con aquellas que solo invierten en Firewalls y Sistemas para Detección de Intrusos (IDS). Gartner.
De esta manera, utilizando la Auditoría Continua es posible efectuar pruebas automatizadas de seguridad para identificar vulnerabilidades en los sistemas que soportan o comparten infraestructura con la aplicación, por ejemplo servidores web o bases de datos, y la aplicación in-house al mismo tiempo y con facilidad.
Las pruebas de seguridad incluidas por defecto con la Auditoría Continua, estan agrupadas en las siguientes categorías:
- Acceso y administración remota
- Aplicaciones Peer-to-Peer
- Bases de datos
- CGI
- Compartición y transferencia de archivos
- Contraseñas
- Correo, mensajería y noticias
- Denegación de servicios
- Dispositivos y protocolos de red
- Misceláneos
- Puertas traseras
- Servicios de dominio y directorio
- Servicios de información
- Servicios web
- Sistemas operativos
- Spyware y virus
Con cada ejecución se realizan mas de 2500 pruebas, que identifican más de 4000 vulnerabilidades. Entre los fabricantes de las más de 200 aplicaciones soportadas están:
Listado de aplicaciones soportadas