Identificar amenazas de seguridad de aplicaciones comunes
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Describir la importancia de la creación de inventarios y de la priorización de aplicaciones y sus riesgos.
- Enumerar la información de acceso a cuentas clave que los ingenieros de seguridad de aplicaciones deben identificar.
Conocer las aplicaciones y sus riesgos
En los últimos años, el uso de aplicaciones por parte de consumidores y empresas ha aumentado sistemáticamente y se espera que este uso se intensifique con el tiempo. Desde hace unos años, el desarrollo de aplicaciones se ha simplificado y ahora se requieren menos recursos. En las grandes organizaciones, los equipos de desarrolladores dispersos pueden producir códigos de programación nuevos incluso sin que los departamentos de TI y seguridad lo sepan. Si estas unidades de negocio también pueden tomar decisiones de compra de tecnología por su propia cuenta, varias soluciones de tecnología pueden almacenar los datos de la compañía con poco control y normalización.
Asimismo, a medida que las compañías exigen tiempos de respuesta menores en sus proyectos de software, los desarrolladores deben entregar funciones de negocio a una velocidad que puede poner en riesgo la seguridad de las aplicaciones y sus datos. La necesidad de entregar funciones en menos tiempo también genera la presión de usar procesos más automatizados, incluidos los análisis de seguridad automáticos siempre que sea posible.
Estas tendencias duales indican la necesidad de que los ingenieros de seguridad de aplicaciones identifiquen las aplicaciones de su entorno y los riesgos que estas presentan antes de abordar su trabajo. Tal como una empresa de productos físicos realiza un inventario de su almacén, los ingenieros de seguridad de aplicaciones deben comenzar por realizar un inventario de las aplicaciones en su entorno. El objetivo de identificar los riesgos de una aplicación es comprender las amenazas, las vulnerabilidades y el impacto sobre el negocio que plantea cada aplicación y utilizar esta información para priorizar las protecciones asociadas. El proyecto Open Web Application Security Project (OWASP) ofrece una gran cantidad de información práctica para los ingenieros de seguridad de aplicaciones, incluidos los detalles de un enfoque sobre la clasificación de riesgos para identificar los riesgos más graves en un entorno de negocio específico.
Para identificar un riesgo de seguridad, piense en las amenazas involucradas, los métodos que se pueden usar, las vulnerabilidades que se pueden explotar y el impacto potencial sobre el negocio. Los ingenieros de seguridad de aplicaciones conocen, y ofrecen protecciones contra, diversos riesgos, algunos de los cuales se describen en la lista OWASP Top 10. En las próximas unidades, conocerá en detalle algunos de estos riesgos, incluidos los ataques de inyección, las secuencias de comandos entre sitios (XSS), los errores de configuración de la seguridad, la autenticación dañada, el control de acceso dañado, la exposición de datos confidenciales, y la escasez de registro y supervisión.
Realizar un seguimiento del acceso a aplicaciones
Al realizar el inventario de las aplicaciones y sus amenazas, vulnerabilidades, impactos y riesgos asociados, es necesario dedicar tiempo antes a pensar en los actores de amenazas y lo que estos desean. Además, los ingenieros de seguridad de aplicaciones deben pensar en la forma en que los atacantes podrían acceder a un sistema para robar información confidencial o causar daño de otro modo. Un atacante también puede explotar todo punto de entrada que un usuario legítimo o un no usuario podría utilizar. Es esencial que el ingeniero identifique y comprenda los diferentes tipos de acceso a las aplicaciones que conforman su entorno.
Los ingenieros de seguridad de aplicaciones deben realizarse las siguientes preguntas acerca del acceso a las aplicaciones.
- ¿Quién accederá a la aplicación? ¿La aplicación es para clientes, socios de negocio, empleados o proveedores externos? ¿Qué tipo de acceso necesita cada uno de estos usuarios? ¿Qué permisos o funciones se necesitarán para realizar tareas? Por ejemplo, ¿la aplicación se utilizará para realizar transacciones financieras? ¿Deberá ser interoperable para permitir el acceso a otras aplicaciones o sesiones de navegador?
- ¿Desde dónde accederán a la aplicación los usuarios? ¿Es una aplicación móvil o de escritorio? ¿Se encuentra disponible solo para usuarios internos (como los empleados en la intranet de una compañía) o disponible de modo externo (por ejemplo, desde Internet)? ¿Las aplicaciones confidenciales se segmentaron de las áreas menos confidenciales de la red?
- ¿Cuáles son las funciones administrativas con privilegios disponibles? ¿Qué funciones puede ejecutar un administrador y cómo se controlan? ¿Cómo se monitorean estas cuentas?
Al considerar cada uno de esto puntos, recuerde que los actores malintencionados pueden tomar diversas rutas hasta la aplicación con el potencial de dañar a una empresa. Los ingenieros de seguridad de aplicaciones deben evaluar cada uno de estos puntos de entrada potenciales y las subsiguientes rutas, y aplicar las protecciones adecuadas. En el próximo módulo, profundizaremos en la forma de proteger las aplicaciones comenzando por la protección del ciclo de vida de desarrollo de software.
Resumen
En este módulo, aprendió lo que es una aplicación, comprendió las habilidades que necesitan los ingenieros de seguridad de aplicaciones, y analizó la forma en que estos ingenieros identifican las aplicaciones, los riesgos, las vulnerabilidades y las amenazas específicas del entorno de su organización. También obtuvo un avance de algunas situaciones comunes de seguridad de aplicaciones. En el módulo Responsabilidades de los ingenieros de seguridad de aplicaciones, obtendrá detalles sobre cada situación y la forma en que los ingenieros de seguridad de aplicaciones siguen el ciclo de vida de desarrollo de software (SDLC) para brindar protección. ¿Le interesa obtener más información relacionada con la ciberseguridad? Consulte el Centro de aprendizaje sobre ciberseguridad en Trailhead.
