lunes, 24 de septiembre de 2012

La Importancia de la Seguridad en las páginas Web

Hoy en día Internet es de vital importancia para todos ya que muchos servicios residen y/o se ofrecen vía online. Por lo tanto la gestión de los riesgos que pueden afectar a estos sistemas es un aspecto muy importante a tomarse en consideración. Sin entrar en detalles técnicos, podemos resumir que el riesgo se calcula mediante una fórmula aritmética en base a la probabilidad, al impacto de una vulnerabilidad y al valor del activo afectado.

Una vulnerabilidad podemos considerarla como una debilidad presente en nuestro sistema la cual podría ser explotada por un atacante para comprometerlo. En las páginas Web podemos encontrar diferentes vulnerabilidades como por ejemplo: inyecciones SQL, Cross Site Scripting (XSS), inclusiones de ficheros locales (LFI) y remotos (RFI), Server Side Includes (SSI), etc… En Internet es posible encontrar diferentes estadísticas de distribuciones de vulnerabilidades de las páginas Web. En ellas es posibles apreciar que las inyecciones SQL y XSS siguen siendo las vulnerabilidades más frecuentes. Existen diferentes  metodologías de gestión de riesgos como MAGERIT, CRAMM, y OCTAVE.

 

Ejemplo de seguridad de la información


Para considerar un caso real y cercano a nosotros, podemos analizar los resultados obtenidos por Security Guardian, empresa especializada en la seguridad de la información que colabora con Nexica en el ámbito de la asesoría para protección y seguridad de infraestructuras. En las diferentes pruebas realizadas se ha detectado alguna vulnerabilidad en más del 90% de las pruebas realizadas y en más del 75% se ha detectado por lo menos una vulnerabilidad crítica. De las vulnerabilidades críticas detectadas aproximadamente un 23% has sido Inyecciones SQL y un 12% Cross Site Scripting (XSS).

Es posible encontrar vulnerabilidades a diferentes niveles, empezando por el nivel lógico, por lo tanto el nivel de seguridad alcanzado corresponde al mínimo de los niveles de seguridad presentes. Para estudiar la seguridad de un entorno hay que analizar no solo el producto final, también el sistema en su totalidad, como por ejemplo el modelo de negocio entero, la arquitectura, la plataforma de alojamiento y los diferentes agentes que toman al desarrollo y la entrega del servicio.

Algunos de los posibles puntos de entrada para el potencial atacante son las vulnerabilidades presentes en el servicio y aplicativo Web. No se ha explicado aun porque alguien se tomaría tantas molestias. Normalmente la motivación es lograr algún beneficio del tipo que sea: económico, de reputación… La desfiguración de páginas web, el robo de informaciones y la denegación de servicio son los objetivos más frecuentes. Si la motivación es lograr algún beneficio, el posible atacante podría ser el beneficiario, por lo tanto un potencial atacante no es sólo un hacker anónimo, puede también ser alguien muy cercano a nosotros, por ejemplo un empleado descontento, un ex empleado o hasta un competidor.

 

Ataques a la seguridad cada vez más frecuentes


En general, los ataques son cada día mas frecuentes. Es posible encontrar noticias que destacan un incremento del 44% de los ataques cibernéticos, u otras que describen que Symantec reporta un incremento del 81% de los ataques maliciosos. Si deseamos conocer una cifra aproximada de desfiguraciones, podemos ver que Zone-h ha reportado casi 1,5 millones de páginas desfiguradas en el año 2010.

Considerando algunos factores como por ejemplo la importancia de las páginas Web en nuestros negocios y hasta en nuestra sociedad, el incremento del número de ataques realizados, y la sofisticación de las herramientas automatizadas para realizar dichos ataques (que además requieren cada vez menos conocimientos técnicos y que permiten realizar ataques cada vez mas complejos), es imprescindible cuidar la seguridad de las nuestras páginas Web de forma continua y exhaustiva. Además, hay que considerar que los impactos debidos a problemas de seguridad pueden ser desastrosos pues producen pérdidas económicas, perdidas de imagen, denegaciones de servicio (no poder prestar servicio), perdidas de información, etc…. Entre los impactos anteriormente citados, la pérdida de imagen es quizás la peor ya que puede gravemente a la reputación de la empresa y puede llevar fácilmente una empresa a la quiebra.

Por último para garantizar la seguridad nuestras páginas webs es necesario analizar profundamente todo los elementos que intervienen en la cadena del negocio. Hay que pensar por ejemplo en seguridad a nivel lógico, físico (control de acceso, sistemas de firewall,...) y perimetral (firewalls, IDS, IPS,…), programar de forma segura, configurar correctamente servicios y aplicativos, preocuparse de la confidencialidad, disponibilidad e integridad de la información, aislar totalmente los datos, y realizar una monitorización continua de la seguridad. Además hay que cumplir correctamente las normativas (LOPD, SSI,…) y podría ser de ayuda para la seguridad y para el negocio cumplir con los estándares correspondientes (Ej.: ISO). Por todo ello es recomendable buscar asesoramiento continuo, así como contar con un proveedor estable y de confianza que pueda aportar años de experiencia en el mismo sector.


 info@security-guardian.com www.security-guardian.com
Web Vulnerability Scanner & Website Trust, Privacy and Security Seal