Vamos a empezar el nuevo año discutiendo la necesidad de un Firewall de Aplicaciones Web (WAF), aprovechando los marcos de seguridad y las bibliotecas para el código fuente, y un nuevo servicio llamado Bugalert que le notificará de cualquier vulnerabilidad de gravedad alta/crítica sobre la marcha.
Utilizar un WAF o no utilizarlo
La eficacia de los WAF es un tema muy debatido ya que puede ser difícil determinar la eficacia de un WAF. Los WAFs pueden ser beneficiosos siempre que se cumplan las siguientes condiciones:
- El coste de solucionar las vulnerabilidades es mayor que el de implantar un WAF; o
- La cantidad de tráfico que se bloqueará es inferior a su umbral de tolerancia.
También puede utilizar un cortafuegos para implementar mitigaciones que impidan que los bots y los scrapers lleguen a su sitio web, ofrezcan seguridad en la capa de aplicación y permitan/prohíban el listado de IPs. Una simple implementación de un WAF podría incluir el uso de un Captcha o un desafío de Javascript para reducir este tipo de bots. Puede utilizar un WAF como un proxy para permitir un tráfico específico y prohibir el resto.
Un aspecto importante de los WAFs es que no son una solución que se pueda instalar y olvidar. Requieren un cuidado muy especial desde el inicio hasta el despliegue del WAF. Se requiere un personal/equipo dedicado a mantener el WAF para optimizar su uso continuamente.
La forma ideal de abordar un WAF es tratarlo como una solución diseñada principalmente para bloquear el tráfico no deseado hacia su aplicación web.
Aprovechamiento de los marcos y bibliotecas de seguridad para un código seguro
Implementar un código seguro por su cuenta puede ser una tarea engorrosa para ejecutar correctamente. Los atacantes pueden abusar de pequeños fragmentos de su código para hacer que su aplicación sea vulnerable.
En cuanto a la capacidad de asegurar tu código, existen frameworks y librerías que te permiten centrarte en la seguridad mientras te permiten centrarte en la construcción de tu producto. En este artículo de Github se analizan diferentes métodos y factores que pueden ayudarte a evaluar lo que debes buscar al utilizar estos frameworks y librerías.
A la hora de decidir qué bibliotecas utilizar, hay que tener en cuenta estos cinco factores:
- ¿Se utiliza mucho el paquete?
- ¿Tiene el paquete una buena reputación?
- ¿Hay buenas críticas sobre la biblioteca en concreto?
- ¿Se mantiene activamente el paquete?
- ¿Tiene el paquete madurez?
- Esto es un buen indicador de que hay una hoja de ruta clara con la mayoría de las características que se están implementando de manera consistente.
- ¿Se solucionan a tiempo los problemas de seguridad del paquete?
Cuando se trata de frameworks web y se quiere seguridad en esos frameworks, es importante determinar qué tareas de seguridad (codificación de salida XSS o validación de entrada) debe manejar el framework.
Un factor importante a tener en cuenta cuando se utiliza un marco de trabajo web con alguna forma de seguridad incorporada es permitir que el marco de trabajo maneje la codificación de datos por ti. Cuando dejas que el framework maneje la codificación de datos por ti, esto mitigará las posibilidades de que un usuario pase por alto o implemente incorrectamente una medida de seguridad. Si vas a permitir un posible comportamiento inseguro, debe haber un análisis exhaustivo del comportamiento permitido y la comprensión de que no es el predeterminado.
Al incorporar librerías y frameworks, es importante actualizar las dependencias en tu código fuente. Puedes utilizar herramientas de análisis de composición de software como GitHub Dependabot para mantener tus dependencias actualizadas.
Bugalert
Después de la vulnerabilidad de log4j, un profesional de la seguridad, Matthew Sullivan, lanzó un nuevo servicio llamado Bugalert, que alerta a los profesionales de la seguridad y de la informática de cualquier vulnerabilidad alta y crítica. El único objetivo de Bugalert es notificar rápidamente los fallos graves de software por correo electrónico, teléfono o SMS.
Actualmente, Bugalert busca colaboradores para desarrollar y mejorar su programa. Para cualquiera que esté interesado en contribuir, no dude en abrir una incidencia en Github.
Comentarios