Configurar correctamente los componentes
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Describir la importancia de configurar correctamente los componentes.
- Describir el papel de un ingeniero de seguridad de aplicaciones en minimizar el impacto potencial de una mala configuración de seguridad.
Configurar componentes correctamente
Además de validar, desinfectar, probar y revisar el código, los ingenieros de seguridad de aplicaciones protegen el SDLC contra la configuración incorrecta de la seguridad. La configuración incorrecta de la seguridad implica no configurar, corregir y actualizar de forma segura los sistemas operativos, los marcos de codificación, las bibliotecas y las aplicaciones.
Por ejemplo, implementar un sistema operativo con una configuración predeterminada insegura, dejar cubos de almacenamiento en la nube a la vista del público o no configurar correctamente los mensajes de error, lo que expone información confidencial del sistema a los atacantes.
Esto proporciona a los atacantes acceso no autorizado a datos o funcionalidades del sistema. Los atacantes pueden explotar fácilmente la falta de configuración de seguridad, un problema de seguridad muy extendido. Los atacantes suelen conocer los fallos de seguridad no corregidos y las credenciales de cuenta predeterminadas, que pueden utilizar para obtener acceso no autorizado a los datos de una compañía y sus clientes.
Protección contra la mala configuración de la seguridad
Imagine a un cliente que acaba de comprar un nuevo teléfono inteligente. Al encenderlo por primera vez, el cliente revisa los ajustes para asegurarse de que todo está bien configurado. Puede que configure un PIN personal o una huella dactilar para iniciar sesión en el teléfono. Descarga y actualiza software nuevo para utilizar las aplicaciones más recientes. Borran las aplicaciones predeterminadas que no utilizan a menudo y cambian el idioma, la configuración de la hora y el fondo del teléfono.
Del mismo modo que un cliente revisa los ajustes para configurar su teléfono según sus preferencias personales, un ingeniero de seguridad de aplicaciones trabaja con un equipo de desarrollo para ajustar la configuración de los componentes de las aplicaciones y garantizar que funcionen correctamente y de forma segura.
Los ingenieros eliminan las cuentas y contraseñas por defecto. Trabajan con los equipos de desarrollo y operaciones para garantizar que el software utilizado por la aplicación está actualizado y debidamente corregido. Revisan si los permisos en los servicios en la nube están configurados correctamente para que los datos confidenciales no se hagan públicos accidentalmente. Desactivan o desinstalan funciones innecesarias, como puertos, servicios y páginas, ya que un atacante podría utilizar estas aperturas para acceder a la aplicación.
Al hacerlo, el ingeniero de seguridad de aplicaciones garantiza lo siguiente.
- La organización utiliza un proceso de configuración de seguridad de aplicaciones coordinado y repetible.
- Los equipos de desarrollo utilizan entornos idénticos de desarrollo, control de calidad (QA) y producción para mantener la coherencia entre el entorno en el que los desarrolladores trabajan y prueban la aplicación y el entorno en el que la implementan.
- Automatización de la verificación y las pruebas de los ajustes de configuración, para reducir los errores humanos y mejorar la velocidad y la eficacia del proceso de desarrollo.
Para obtener más información sobre las pruebas para la gestión de la configuración, consulte el recurso de OWASP, que ofrece una gran cantidad de detalles adicionales.
Resumen
Se han presentado estrategias para ayudar a endurecer la pila de aplicaciones mediante la estandarización y la seguridad de las configuraciones. Ahora es el momento de aprender más sobre otra consideración clave para un ingeniero de seguridad de aplicaciones: proteger la autenticación y el acceso a las aplicaciones.
