Detectar intrusiones en aplicaciones
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Explicar la importancia de implementar un monitoreo adecuado de las aplicaciones.
- Describir cómo se pueden utilizar las pruebas de adversarios para reforzar la seguridad.
Detectar intrusiones con monitoreo de aplicaciones
Como ingeniero de seguridad de aplicaciones, es probable que veas muchos menos problemas con un registro excesivo que con un registro insuficiente. El registro y el monitoreo insuficientes son una debilidad de seguridad generalizada. El registro es el proceso de recopilación y almacenamiento de datos para analizar tendencias o registrar eventos y acciones realizadas por una aplicación, un usuario u otra tecnología.
Un registro de aplicación es un archivo de eventos que una aplicación de software registra. El registro contiene información sobre errores, eventos, advertencias y alertas. Los ingenieros de seguridad de aplicaciones desempeñan un papel importante a la hora de determinar el formato y el contenido de los registros de aplicaciones.
Recopilar suficientes registros es crucial para que los profesionales de la seguridad puedan supervisar las TI de su entorno. El monitoreo de las aplicaciones permite a los ingenieros de seguridad de aplicaciones asegurarse de que la aplicación funciona correctamente. Si hay anomalías, pueden ser señal de una intrusión o un intento de intrusión por parte de un agente malicioso.
Sin un registro y un monitoreo suficientes, la actividad maliciosa de los atacantes puede pasar desapercibida para los analistas de seguridad. Esto puede permitir a los atacantes comprometer sistemas, mantener la persistencia (acceso en el sistema) e incluso pivotar para comprometer otros sistemas conectados. Todo esto permite a un atacante comprometer la confidencialidad, integridad o disponibilidad de los datos de una aplicación. Algunos estudios han descubierto que el tiempo medio que tardan las organizaciones en detectar una brecha es de más de 200 días, y estas brechas a menudo las detectan partes externas, en lugar de internas.
Los ingenieros de seguridad de aplicaciones también trabajan para integrar el registro y el monitoreo con las funciones de respuesta a incidentes para que la organización pueda actuar con rapidez cuando los analistas descubran una actividad anómala.
¿Qué más pueden hacer los ingenieros de seguridad de aplicaciones para ayudar? Los ingenieros supervisan, corrigen y previenen continuamente las vulnerabilidades de seguridad de las aplicaciones. Tratan de detectar intenciones maliciosas antes de que se produzcan daños, mediante el monitoreo de los procesos de las aplicaciones y el comportamiento de los usuarios. Para ello, primero configuran los registros para que incluyan la información adecuada y se aseguran de que estén bien integrados en toda la pila tecnológica y con la respuesta a incidentes. Se aseguran de que se registran eventos como inicios de sesión, inicios de sesión fallidos y transacciones de alto valor. Se aseguran de que las advertencias y los errores generen mensajes de registro adecuados. También se aseguran de que la parte de la organización responsable del monitoreo, normalmente el Centro de Operaciones de Seguridad (SOC), monitoree los registros en busca de actividades sospechosas. Trabajan para garantizar que los umbrales de alerta y los procesos de escalado de respuesta están en su sitio para ayudar a los analistas a identificar y responder rápidamente a las amenazas.
Usar pruebas de adversarios
Los ingenieros de seguridad de aplicaciones utilizan pruebas de adversarios para medir la capacidad de una aplicación para resistir la actividad de las ciberamenazas. Las pruebas de adversarios implican que un equipo de seguridad piense como un atacante para ayudar a identificar y mitigar los riesgos potenciales antes de que se exploten con intenciones maliciosas.
Un tipo de prueba de adversarios común en la seguridad de aplicaciones es la prueba de penetración. Las pruebas de penetración las pueden realizar un grupo independiente de profesionales de la seguridad dentro de la organización o un tercero. El equipo de pruebas de penetración profundiza para imaginar todas las posibles líneas de ataque a una aplicación y probarlas para ver si pueden realizar acciones no autorizadas o filtrar datos confidenciales.
Otro tipo común de pruebas de aplicaciones adversarias se denomina recompensa por errores. En las recompensas por errores, las organizaciones anuncian que están dispuestas a pagar una recompensa a los hackers éticos que encuentren y les informen sobre vulnerabilidades en sus aplicaciones. Las recompensas monetarias pueden ser pequeñas o grandes.
Muchas grandes compañías tienen programas de recompensas por errores e invitan a participar a hackers éticos tanto internos como externos. Los programas de recompensas por errores pueden reducir el riesgo de que se produzca un incidente de seguridad en el que un agente malicioso explote una vulnerabilidad. Si le interesa una trayectoria profesional en seguridad de aplicaciones, participar en programas de recompensas por errores puede ser una forma estupenda de aprender más sobre las habilidades necesarias en este campo y, de paso, ¡incluso de ganar algo de dinero extra!
Los ingenieros de seguridad de aplicaciones desempeñan un papel importante a la hora de responder a las conclusiones de las pruebas de penetración y los programas de recompensas por fallos. Trabajan con el equipo de desarrollo de aplicaciones y los propietarios de las empresas para resolver los fallos, mediante el asesoramiento y la aplicación de las mejores prácticas de seguridad. Ayudan a los propietarios de las aplicaciones a decidir cuándo y cómo solucionar los problemas detectados.
También revisan los registros después de que se haya identificado una prueba de penetración o un error para ver si pueden identificar las acciones del analista. En caso contrario, el ingeniero de seguridad de aplicaciones mejora la información recopilada y correlacionada en los registros y los tableros asociados para garantizar que los analistas puedan identificar y responder rápidamente a las amenazas. Para obtener más información sobre otras consideraciones para garantizar un registro suficiente, consulte el recurso Enumeración de vulnerabilidades comunes (CWE) para un registro insuficiente.
Resumen
Se han presentado las estrategias que los ingenieros de seguridad de aplicaciones utilizan para supervisar las aplicaciones en busca de signos de actividad maliciosa, asegurándose de que los registros están en su lugar y calibrados e integrados con las actividades de respuesta a incidentes. Esto pone fin al recorrido sobre la ingeniería de seguridad de aplicaciones. Ha aprendido lo que implica este papel, las habilidades que puede querer adquirir y el papel crucial que desempeñan los ingenieros en el ciclo de vida de desarrollo de aplicaciones de una organización. ¿Le interesa obtener más información relacionada con la ciberseguridad? Consulte el Centro de aprendizaje sobre ciberseguridad en Trailhead.