Los “otros” que habitan su sitio web

Selene Aguero

¿Tiene el sitio hackeado? Es posible que luego de mucho tiempo se entere de que sus sistemas han sido vulnerados y corren bajo el código de terceros.

CIO

Puede llegar a tal punto en que los otros (los infiltrados) estén tan cómodos en su sitio web robando información, que usted se va a sentir como el intruso. Para que no haga el mismo papel de Nicole Kidman en el filme The Others, tomes las siguientes prevenciones.

No es tarea fácil asegurar las empresas digitales de hoy en día.  Con todos los hierros en el fuego del ecosistema digital, hay mucho que puede poner en peligro la página web corporativa. Tanto los visitantes del sitio web y como los usuarios de Internet son vulnerables al malware basado en la web y es cada vez más difícil para los profesionales de la seguridad frustrar estos ataques.

Incluso con la ocurrencia diaria de infracciones, algunas organizaciones no están pensando en la seguridad, en especial aquellas empresas para las que un gran porcentaje de sus ingresos proviene directamente a través de la página web. Muchas compañías que se preocupan por la seguridad, piensan en el tema en términos de limitar a que los usuarios internos accedan a lo que podrían ser sitios potencialmente peligrosos.

Puede leer: Herramientas para revertir el efecto de un ciberataque

Preocuparse por las vulnerabilidades de los usuarios internos o el código de terceros, es discutible si la seguridad no es parte de la arquitectura de red. Jim DelGrosso, consultor senior director de Cigital, dijo que para que los arquitectos de la red tomen en cuenta la seguridad en la construcción de sus sitios web depende de la organización y la madurez de su programa de seguridad.

“En el espacio financiero, las empresas piensan en ello todo el tiempo, pero en otras áreas que no están vinculados con el gobierno estricto, no es tan frecuente. Con respecto a las compañías de mayor tamaño, definitivamente está en radar”, dijo DelGrosso.

A nivel de diseño, mantener las cosas segregadas y en defensa en profundidad, son las mejores formas para fortalecer la seguridad.

“Los controles de seguridad en capas protegen  de tal manera que solo porque llegué a través de algún sitio no significa que puedo llegar a cualquier otro lado y las empresas deberían pensar en esto por adelantado”, agregó DelGrosso. 

En lugar de hacer la seguridad en el último momento, los arquitectos de redes deben estar pensando acerca de los niveles de control que van a crear un entorno más seguro.

Chris Olson, CEO de The Media Trust, considera que la arquitectura es hackeada en todo momento sin siquiera darse cuenta.

“Cada empresa tiene que hacer el seguimiento de su sitio web, pero no lo hacen. Ellos comprueban del 10% al 20%  de código fuente que es suyo, y lo que están ignorando es el 80% a través de terceros”, comentó Olson.

Si el código que está escrito por la empresa o por terceros plantea más riesgo parece ser un tema de debate. Algunos sostienen que las bibliotecas de código abierto de autorregulación son menos propensas a contener vulnerabilidades debido a que han sido examinados por muchos pares de ojos. El código que escribe una empresa, sin embargo, es propiedad de uno mismo y más si lanza  probabilidades de generar riesgos de seguridad, ya que no ha sido probado tan a fondo como los escritos por terceros.  

“Los terceros comprueban el código, pero una vez que se pone en el sistema de gestión de contenidos, es entonces la representación en el lado del cliente y que la empresa que proporciona ese código ya no está mirando a ella. Si se ataca esa empresa, no hay control porque reside en el CMS. El predominio de la entrega de malware en la web proviene de esta”, dijo Olson.

Además: Android: la presa perfecta de los ataques

Donde se encuentran las vulnerabilidades puede no ser tan importante si los arquitectos de redes tienen la seguridad en mente al diseñar sus sitios web. Pensar en la seguridad, entonces, debe extenderse más allá de los componentes de la página web de la empresa y se extienden a las pruebas de código de terceros.

Mientras ve fácilmente estos porcentajes y está de acuerdo con estos hallazgos, Michael Borohovski, co-fundador de Tinfoil de Seguridad, cree que la gran mayoría del tiempo, las empresas están siendo explotados con el código que escribieron.

“Las grandes empresas escriben mucho más código personalizado que las pequeñas empresas, pero si usted tiene alguna combinación de la primera y tercera, es más probable que sea hackeado en Firstparty”, aseguró Borohovski.

Si bien existen brechas innegables que se han producido a causa de vulnerabilidades en el código de terceros, más a menudo que no.

“Usted tiene software obsoleto. No actualizó durante seis meses”, dijo Borohovski.

Como lo fue en la Gran Depresión…

Sabias palabras del presidente Franklin Roosevelt en su primer discurso inaugural: “La única cosa que tenemos que temer es al miedo mismo”, se aplica también a la seguridad de la empresa y la cibernética digital de hoy. Borohovski dijo muchas empresas luchan con la seguridad de red, seguridad de aplicaciones web, y terceros y la seguridad de código abierto.

“Para cada uno de estos, se quiere desarrollar una cultura de seguridad, lo que no significa una cultura del miedo o de falta de innovación. Usted innova más rápidamente porque usted está tratando de escribir más herramientas a prueba de balas. Si no tiene a sus desarrolladores pensando en la seguridad, todo lo que escriban puede ser utilizado por un atacante”, mencionó Borohovski.

La eliminación de ese temor, dijo Borohovski, es un paso hacia la prevención.

“Existe esta idea de que la seguridad es difícil. Para los ataques dirigidos por actores patrocinados por el estado, eso es cierto. Pero para la gran mayoría, sin embargo, no es verdad. Una gran cantidad de ataques se pueden prevenir mediante cualquier desarrollador con las herramientas y la formación adecuadas”, dijo.

También: ¿Cuál es el papel del CISO en la actualidad?

Si están usando software que escribieron o no escribieron, las empresas digitales corren el riesgo de tener vulnerabilidades.

“Cuando las vulnerabilidades SSL abiertas sucedieron, como Heartbleed, que afectó a casi la totalidad de Internet. Ese fue el software de 3 ª parte que ningún individuo en cualquier empresa escribió. No había pasado por ninguna prueba de seguridad rigurosa”, dijo Borohovski.

En ese ejemplo, la creencia de que muchos ojos son mejores, no era cierto. Si hubieran pasado por algunas pruebas de seguridad básica, eso se podría haber evitado.

Para cualquier empresa, lo que no quieren es encontrarse en una situación en la que no saben de dónde viene el código que se está ejecutando.

 “La cadena de dependencia es un gran problema. ¿Es esto un enorme dolor? Sí, sin lugar a dudas. Hay herramientas que le ayudarán con esto, y admitir que tiene un problema es el primer paso”, dijo Borohovski.

Una amplia gama de herramientas puede hacer frente a estos problemas, tanto en formas reactivas y proactivas.

Enfóquese en el software de terceros, como si se tratara de algo que escribió. Pruebe las vulnerabilidades tanto como lo haría con cualquier otro código que usted escribió. La tercera parte, que es de código abierto o de otra solución, son una superficie potencial de vulnerabilidades” agregó.

 

Este artículo está clasificado como: , , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR