Cabecera blog ciberseguridad

Poniendo a prueba la seguridad de una web: por qué las herramientas automatizadas pueden ser insuficientes

- Ciber 4 All Team

Para muchas empresas, cada minuto que una web está caída supone cuantiosas pérdidas económicas. Las aplicaciones webs corporativas son herramientas de negocio, sobre todo en el caso de los ecommerce, y, a menudo, guardan información de gran valor en su interior, como datos de facturación de los clientes o información de negocio.

Por eso, no debe sorprendernos que desde hace mucho tiempo los actores maliciosos lleven a cabo campañas de ransomware o ataques de denegación de servicio distribuido contra esta clase de activos corporativos. La continuidad de negocio y la filtración de datos privados están en juego.

¿Qué pueden hacer las empresas para poner a prueba la seguridad de sus webs y prevenir los incidentes? Realizar auditorías de seguridad web para identificar debilidades que puedan poner en riesgo su operatividad y la información con la que trabajan diariamente.

¿Existen herramientas automatizadas para llevar a cabo auditorías de seguridad web? ¿Se puede automatizar por completo esta clase de servicio de ciberseguridad? ¿Presentan limitaciones estas herramientas? ¿Pueden tener en cuenta los flujos de información o la lógica de negocio?

1. SAST, DAST, IAST… Las herramientas automatizadas son importantes en la búsqueda continua de vulnerabilidades

Como no podía ser de otra manera la automatización es crítica en el ámbito de la ciberseguridad. Sin el desarrollo de herramientas automatizadas sería imposible que los profesionales de ciberseguridad pudiesen detectar vulnerabilidades e incidentes de seguridad de manera continua.

Así, hoy en día existe un amplio abanico de soluciones como escáneres de vulnerabilidades o herramientas que permiten llevar a cabo test esenciales a la hora de poner a prueba a una web:

  • Análisis estático del código fuente (SAST). El objetivo de este tipo de pruebas es analizar automáticamente el código fuente de una aplicación web para detectar posibles deficiencias en el mismo.
  • Prueba de seguridad de aplicaciones dinámicas (DAST). Este conjunto de pruebas sirve para buscar vulnerabilidades en las webs durante el tiempo de ejecución.
  • Prueba interactiva de seguridad de las aplicaciones (IAST). Este tipo de pruebas hibridan las dos anteriores. De tal manera que las herramientas automatizadas que se emplean para hacer IAST analizan el código fuente de una aplicación web mientras esta se ejecuta.
  • Análisis de composición de software (SCA). En este caso el objetivo es identificar componentes de código abierto empleados en las webs y buscar vulnerabilidades y deficiencias en ellos que puedan ser explotadas por actores maliciosos.

Las pruebas de seguridad que venimos de desgranar son críticas a la hora de monitorizar una web de forma continua, detectar amenazas y vulnerabilidades de forma temprana y facilitar información a los especialistas en ciberseguridad para optimizar los mecanismos de defensa de una web.

2. ¿Cómo se puede saber qué herramientas automatizas para evaluar la seguridad de las webs son óptimas?

La fundación OWASP, un referente global en la elaboración de metodologías y guías en el ámbito de la ciberseguridad, ha diseñado OWASP Benchmark, una herramienta que permite evaluar las soluciones automatizadas para hacer SAST, DAST o IAST.

Así, OWASP Benchmark es una aplicación web de código abierto que permite medir la precisión, cobertura y velocidad de las herramientas automatizadas de detección de vulnerabilidades y compararlas para decidir cuáles se adecúan mejor a las características de una web y a las necesidades y objetivos de una empresa.

¿Cómo funciona OWASP Benchmark? En esencia, se llevan a cabo una serie de pruebas automatizadas para comprobar si la solución evaluada:

  • Identifica de manera óptima una vulnerabilidad real presente en una web.
  • No es capaz de identificar una vulnerabilidad real.
  • No genera una falsa alarma por una vulnerabilidad que no es real.
  • Recoge un falso positivo, alertando sobre un problema de seguridad que no existe.

A partir de los resultados obtenidos en estos cuatro parámetros se puede obtener una puntuación para representar gráficamente los resultados del análisis. Esta herramienta se puede emplear para evaluar a decenas de soluciones SAST, DAST e IAST, tanto de código abierto como de ámbito comercial.

How can we evaluate the automated tools?

3. ¿Por qué para poner a prueba la seguridad de una web es necesario el talento humano?

Entonces, si existen múltiples herramientas automatizadas para realizar pruebas de seguridad de aplicaciones web… ¿no hace falta encargar una auditoría de seguridad web a profesionales especializados?

Las herramientas automatizadas son de gran ayuda, como señalamos antes, pero tienen sus insuficiencias y limitaciones:

  • Pueden generar falsos positivos que afecten a la operatividad diaria de las empresas y entorpezcan las labores de protección de sus activos.
  • Presentan deficiencias a la hora de detectar vulnerabilidades más complejas.
  • Les resulta extremadamente difícil encontrar vulnerabilidades desconocidas o de día cero que puedan afectar a una web o alguno de sus componentes.
  • No tienen en cuenta la lógica de negocio de las aplicaciones web que analizan a la hora de rastrear vulnerabilidades.
  • Tampoco son capaces de contemplar los flujos de información gestionada por las funcionalidades web interrelacionadas.

4. ¿Cuáles son los beneficios de realizar auditorías de seguridad web a lo largo del ciclo de vida del software?

Por todo ello, es importante que las empresas sometan a sus aplicaciones web a auditorías de seguridad periódicas diseñadas e implementadas por especialistas en ciberseguridad. Estos profesionales, además de emplear herramientas automatizadas para llevar a cabo pruebas de seguridad como SAST, DAST, IAST o SCA, ponen en marcha técnicas específicas que permiten:

  • Identificar vulnerabilidades presentes en la configuración o infraestructura de los servidores web.
  • Verificar múltiples tipos de inyecciones y de técnicas avanzadas que pueden llevar a cabo los actores maliciosos sobre los puntos de entrada.
  • Diseñar pruebas de seguridad específicas en función de los diferentes tipos de activos web y las tecnologías de una empresa: ecommerce, APIs, PSD2, CMS, CRM, etc.
  • Analizar el software y los frameworks de terceros para detectar vulnerabilidades y evitar ataques de cadena de suministro de software.
  • Realizar pruebas específicas en las que se contemplen los flujos de la información gestionada por todas las funcionalidades web que están interrelacionadas para encontrar vulnerabilidades que las herramientas automatizadas no pueden detectar.
  • Identificar vulnerabilidades que guardan una estrecha relación con la lógica de negocio de la aplicación web y que las herramientas automatizadas de pruebas de seguridad no pueden detectar.

Conclusión: las herramientas automatizadas no son suficiente por sí solas

En definitiva, las aplicaciones webs corporativas son activos de enorme valor para las empresas y una de las grandes puertas de entrada de los actores maliciosos a los sistemas de una compañía.

Por eso, es fundamental realizar auditorías de seguridad web de manera continua, combinando el uso de herramientas automatizadas DAST, SAST o IAST con el diseño de pruebas específicas para detectar vulnerabilidades complejas que afectan a toda clase de activos webs.

Conjugar tecnología de vanguardia con el conocimiento acumulado por los mejores profesionales es la mejor fórmula para encontrar y mitigar vulnerabilidades antes de que sean explotadas con éxito. Si quieres conocer más, visita la sección de nuestro servicio de auditoría de seguridad web.