Inicio M45Blog Seguridad Pruebas de seguridad integradas: lo más inteligente
11 | 03 | 2010
Menu del día
Estamos en Twitter!
  • Pildora formativa sobre "Web stress tools" - por Eduardo Pérez - 26 June 2009, 12:49 am - View »
  • En e-government 2.0 W3C y CTIC - 8 June 2009, 12:58 am - View »
Mapa Incidencias

Incidencias de Seguridad INTECO

Fuente: INTECO
Últimos comentarios
Pruebas de seguridad integradas: lo más inteligente PDF Imprimir
Escrito por Beatriz Martínez   
Miércoles, 27 de Mayo de 2009 15:37

Según los últimos estudios, las dos principales amenazas de las empresas hoy en día son las aplicaciones basadas en tipología web y los errores provocados por usuarios finales.

Las vulnerabilidades que afectan a las aplicaciones web representan casi la mitad del total de los puntos débiles observados, según estas fuentes. Muchos equipos están siendo explotados todos los días para convertir sitios web de confianza en servidores "maliciosos" que, trabajando desde la red del cliente infectado, suelen explotar vulnerabilidades en otras redes o sistemas, atacando ciertas páginas web o remitiendo masivamente mensajes de correo electrónico como, por ejemplo, estafas de phishing.

Teniendo en cuenta el gran número de vulnerabilidades que se encuentran en aplicaciones de tipología web, es de gran importancia que la seguridad se contemple en las primeras etapas del ciclo de vida de desarrollo de software y, por supuesto, que se ponga a prueba periódicamente para identificar y eliminar los defectos tan pronto como sea posible.

Durante el proceso de desarrollo, herramientas como los analizadores de código fuente contribuirán muy mucho a identificar defectos en la raíz de las aplicaciones. Sin embargo, incluso con un catálogo potente de este tipo de programas, será imposible descubrir todas las vulnerabilidades.

Por ello, la mejor práctica es adoptar un enfoque multi-nivel de pruebas, mediante el uso de programas de análisis de código estático y dinámico junto con herramientas de exploración y pruebas de penetración.

La exploración y las evaluaciones son útiles para la localización de los riesgos potenciales, detectando deficiencias en aplicaciones que solo pueden ser descubiertas en momentos en los que una vulnerabilidad sea explotada. Por ejemplo, cuando una aplicación se añade a la red, las interacciones que tiene con otros elementos de infraestructura de la red pueden llegar a causar vulnerabilidades que no serán detectadas si solo revisásemos el código fuente de forma aislada, sino solo cuando provocan algún fallo o saturación. Por ello, cada día se hace más necesaria la utilización de pruebas de penetración busquen de manera adicional los puntos débiles que quedan sin rastrear con otro tipo de test.

En un principio, muchas organizaciones se mostraron escépticas a la hora de realizar test de penetración en sus sistemas o programas. Sin embargo, su uso ha aumentado considerablemente, especialmente en el último año, y ahora son consideradas como excelentes prácticas para garantizar que las aplicaciones son seguras.

Pero además, estas pruebas de penetración tienen un beneficio adicional que va más allá de reparar los fallos no detectados, puesto que pueden ser utilizadas para probar los conocimientos en seguridad y la concienciación de los usuarios que en gran medida son quienes provocan muchos incidentes de seguridad.

Los hackers están utilizando cada vez más técnicas de ingeniería social como "phishing", es decir, intentos de fraude mediante la remisión de mensajes de correo electrónico de aspecto legítimo, en un intento de obtener información personal o financiera del usuario final. En su último Informe de Amenazas de Seguridad, Symantec observó un 66 por ciento de aumento en los equipos identificados como anfitriones de uno o más sitios web que emitían phishing.

Por tanto, las pruebas de penetración que realicen las empresas para evaluar su seguridad, deben de permitir además la creación de ataques de ingeniería social que busquen el obtener información de los usuarios a fin de examinar el grado de conocimiento que los mismos tienen sobre temas de seguridad y la manera y rapidez con la que reportan y responden a ataques de ese tipo. De esta forma, será posible determinar qué usuarios tienen menos conocimientos de seguridad y puedan quizás necesitar algún tipo de formación adicional para evitar este tipo de estafas.

Las empresas que están realizando pruebas de seguridad integrada, están en mejor posición para protegerse en contra de, como decíamos al principio de este artículo, las dos mayores amenazas para sus organizaciones: la explotación de vulnerabilidades en aplicaciones tipo Web y los errores cometidos por los usuarios finales.

Pero no se trata de una tarea puntual. Es importante tener en cuenta que este tipo de pruebas deben de repetirse a intervalos regulares o bien cuando se produzcan cambios significativos en las aplicaciones o en las redes. Los "intrusos" están sofisticando continuamente sus ataques y disponen de una gama cada vez mayor de herramientas automatizadas que permiten saltarse mañana lo que hoy era inexpugnable.

Comentarios
Añadir nuevo Buscar
Escribir comentario
Nombre:
Email:
 
Website:
Título:
Código UBB:
[b] [i] [u] [url] [quote] [code] [img] 
 
 
Por favor introduce el código anti-spam que puedes leer en la imagen.

!joomlacomment 4.0 Copyright (C) 2009 Compojoom.com . All rights reserved."
 
Elementos relacionados
Calendario eventos
«
<
March 2010
>
»
M T W T F S S
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 1 2 3 4
Compártenos!
Empresas M45
Creative Commons License
[ Aviso Legal ]