Las mayores amenazas: la detección atrasada de amenazas y una respuesta lenta
Es importante reconocer que sin importar cuánta protección integremos a nuestra infraestructura, siempre tendremos sistemas vulnerables. La verdadera amenaza a la seguridad proviene al no poder detectar los ataques lo suficientemente rápido y no responder con la rapidez necesaria. En años recientes, muchas de las intrusiones de seguridad de más alto perfil, estuvieron ahí por meses antes de ser detectadas.
Entonces, ¿qué contribuye a la inseguridad de las redes e infraestructura? Un factor importante es la creciente complejidad de las redes y los ambientes de software. Las empresas, frecuentemente tienen una variedad de sistemas que adquirieron con el paso de los años, incluyendo aplicaciones construidas sobre estructuras antiguas y bibliotecas de las que ya nadie se acuerda. Algunas veces, el fabricante original de una aplicación ya no está en el negocio, y la compañía prefirió desarrollar nuevos códigos en vez de componer viejas vulnerabilidades.
“Sin importar cuánta protección integremos a nuestra infraestructura, siempre tendremos sistemas vulnerables.”
Por sí mismo, el software se ha vuelto más complejo y más dependiente de códigos de terceros. Hace 10 años, de acuerdo con estudios, el 80% de los códigos de nuevas aplicaciones eran códigos personalizados y el 20% provenía de bibliotecas. Hoy, el 20% son personalizados y el 80% son de bibliotecas. El desarrollo de las aplicaciones ha cambiado para poder incluir pruebas de seguridad durante el proceso de desarrollo, con herramientas que detecten códigos vulnerables de bibliotecas y rutinas de seguridad construidas en la etapa de prueba. Aun así, los desarrolladores cometen errores. Los usuarios también.
Mientras exista una vulnerabilidad heredada en las aplicaciones, los desarrolladores cometieran errores y los usuarios harán cosas que no deben y así los delincuentes entrarán en el sistema. La mejor protección contra estas amenazas es la detección temprana y una respuesta rápida. Las empresas cuentan con soluciones como los firewalls de última generación y honeypots para protegerse contra las amenazas conocidas y buscar actividades sospechosas que pudieran indicar amenazas previas desconocidas. Un nuevo acercamiento al desarrollo de software, que pudiera ser aún más efectivo para algunos tipos de aplicaciones, involucra nuevas herramientas que permitan a los desarrolladores construir una seguridad activa y monitoreada dentro de la misma aplicación. Si la aplicación detecta cualquier intrusión en la conducta operativa conocida, puede enviar alarmas, bloquear cualquier actividad o detener la aplicación completa. Cada aplicación debería ser construida con controles de seguridad, específicamente diseñados para protegerla contra comportamientos ilegales. La ventaja sobre las soluciones generales de seguridad es que éstas nunca saben exactamente cómo una aplicación autorizada se debería comportar.
“La mejor protección contra estas amenazas es la detección temprana y una respuesta rápida.”
Mientras nuestras se vidas en el trabajo se vuelven más dependientes del software, en nuestros hogares e incluso en nuestros autos, es esencial que tengamos una visibilidad que nos permita la rápida detección y respuesta inmediata para contener todo tipo de ataques y así desplegar la mitigación más rápido cuando las vulnerabilidades son descubiertas.
Autor: Erlend Oftedal
Parte del libro «Asegurando su infraestructura de red y aplicaciones» de Fortinet.
Erlend Oftedal ha trabajado como desarrollador de software y evaluador de seguridad por más de 10 años. Ha sido orador en varias conferencias de seguridad y también desarrolla herramientas de seguridad de código abierto. Erlend está al frente del capítulo de OWASP en Noruega.
Newsletter Semanal
Lo más relevante de ciberseguridad y tecnología.
Síguenos en las redes