¡Cuidado! Su app web podría vivir la pesadilla del viernes 13

Soy Digital

Cuando los clientes desean interactuar con su negocio, lo más probable es que vayan primero a la aplicación web, ya que es la cara pública de la empresa y, además, un punto de vulnerabilidad.

CIO

La mayoría de los ataques contra las aplicaciones web son sigilosos y difíciles de detectar. Eso es un problema porque, una vez que los atacantes entran, acechan las redes sin ser detectados en un promedio de 205 días, según el 2015 Verizon Data Breach Investigations Report.

Por lo general la mayoría de las organizaciones se enteran de que han sido comprometidas cuando reciben una llamada de la policía o un cliente furioso.

¿Cómo puede saber si su aplicación web ha sido hackeada? “Cuando se ve comprometida la aplicación web, que empieza a hacer cosas fuera de lo normal”, dijo Steve Durbin, director general de Información del Foro de Seguridad. La clave es obtener un conocimiento profundo de lo que constituye un comportamiento normal para su aplicación y mantener los ojos muy abiertos si detecta alguno de estos cinco puntos.

Vea: 5 consejos para evitar que la mala suerte ataque la seguridad de su empresa

Primera señal: La aplicación no está haciendo para lo que fue diseñada: La carga lenta de las páginas pueden ser resultado de los problemas temporales de conectividad o incluso por causa de un ataque DDoS, si cree que los atacantes tendrían alguna razón para lanzar uno. Pero siempre es mejor investigar algo tan común de inmediato, en lugar de esperar a que se trate de una perturbación importante.

Si la aplicación redirige a los usuarios a una página diferente, hay que averiguar por qué. Lo más recomendable es interactuar regularmente con la aplicación en el entorno de producción para analizar el comportamiento normal de modo que los comportamientos inesperados puedan ser marcados de forma inmediata para su investigación inmediata.

Segunda señal: Usted encuentra mensajes de registro inesperados: Los registros pueden ser una mina de oro de información de ataque si está configurado correctamente. Moverse a través de los registros de base de datos puede mostrar consultas inesperadas y revelar cuando es objeto de dumping de información. Si los registros de base de datos muestran múltiples errores en un corto período de tiempo, puede ser una señal de que alguien está metiéndose a la aplicación para buscar un vector de inyección SQL.

El software de servidor web puede registrar las conexiones de entrada y de salida de la red a través de los registros de FTP y HTTP sistema. Esos registros pueden recoger señales de advertencia de la actividad no autorizada o maliciosa.

Tercera señal: Usted encuentra nuevos procesos, usuarios o puestos de trabajo: Un proceso desconocido es generalmente una gran pista de su aplicación ya no está bajo su control, una vez que un atacante tiene una cuenta en el servidor, hay poco que el atacante no puede hacer.

Se debe monitorear regularmente el servidor para los usuarios que se está creando, especialmente aquellos con privilegios elevados. Esas cuentas no son típicamente creadas sobre la marcha, por lo que es digno de seguimiento siempre que se cree una cuenta. Si ciertos usuarios que no deben estar solicitando privilegios elevados o acceso root están haciendo de repente esas solicitudes, es posible que estemos presenciando un atacante que utiliza una credencial robada.

Además: Regresan los malos augurios a la banca

Cuarta señal: Los archivos han cambiado: ¿Las marcas de tiempo en los archivos de aplicación Web muestran que los archivos que cambió hace años han sido editados recientemente? Si el servidor Web no fue configurado correctamente o que la aplicación tiene una vulnerabilidad, los atacantes podrían modificar la aplicación para ejecutar su propio código malicioso.

Esto podría ser inyectado por JavaScript o un módulo reescrito. Compruebe las marcas de tiempo para asegurarse que los archivos seguros no están siendo modificados sin autorización. Si el archivo ha sido modificado, se debe comparar los archivos contra una versión anterior para averiguar lo que ha cambiado.

Herramientas como Sucuri pueden escanear la aplicación para buscar código malicioso.

Quinta señal: Usted recibe advertencias: si su aplicación se ha visto comprometida y se está propagando de forma activa el malware, es probable que otras herramientas de seguridad han recorrido en él. Google es muy rápido sobre el bloqueo de las páginas que tienen una mala reputación entre los usuarios de Chrome; otros navegadores actualizan regularmente sus listas negras también. Compruebe regularmente la aplicación de otros navegadores para ver si hay algún mensaje o busque su sitio utilizando la herramienta de navegación segura de Google.

Este artículo está clasificado como: , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR