SWAT BROCHURE SEGURIDAD EN APLICACIONES WEB La seguridad en aplicaciones web ha sido hasta ahora un gran reto para las empresas, ya que hay muy pocas soluciones eficaces disponibles en el mercado. La primera opción es adquirir un escáner básico de aplicaciones web, con una funcionalidad muy limitada, indudablemente ésta opción debe ser evitada, sobre todo por las empresas con un alto valor de marca asociado a su presencia en línea. La segunda opción es la adquisición de un escáner de aplicaciones web más complejo, mismo que requiera de técnicos expertos en seguridad para obterner resultados de manera eficiente y continua. Esta opción aumenta significativamente los costos de operación de una empresa debido a que los técnicos especializados son costosos de mantener como empleados de tiempo completo. Además, también requerirán de un entrenamiento de alto nivel para poder operar e interpretar el escáner. La tercera opción es contratar una empresa de seguridad para llevar a cabo las complejas pruebas de penetración sobre las diferentes aplicaciones web corporativas, con el fin de identificar las amenazas inmediatas. Aunque esta opción es muy precisa, desgraciadamente, se considera un remedio a corto plazo, ya que nuevos métodos de ataque son descubiertos diariamente y el contenido en las aplicaciones web cambia constantemente. LA MEJOR SOLUCIÓN DE ESCANEOPARA APLICACIONES WEB SWAT (conocido por sus siglas en inglés Secure Web Application Tactics) de Outpost24 ofrece la combinación perfecta entre alta tecnología en herramientas de escaneo web y expertos en seguridad. Ésta brillante combinación proporciona la solución de escaneo para aplicaciones web más precisa y confiable del mercado. La tecnología inteligente utilizada en SWAT permite al sistema identificar nuevas amenazas, aprender sobre ellas y alterar su comportamiento, sin interferir con las operaciones diarias. SWAT ofrece resultados con cero falsos positivos, no requiere de capacitación e incluye soporte técnico especializado 7x24. Además como SWAT ofrece monitoreo continuo, garantiza que las aplicaciones web de nuestros clientes permanezcan protegidas, incluso cuando se modifique su contenido o se descubran nuevos métodos de ataque. BENEFICIOS Desafío: Los escáneres de aplicaciones web no son capaces de poner a prueba la lógica de una aplicación Desafío: Detecciones erróneas causan resultados incorrectos y vulnerabilidades no detectadas Solución: La combinación exacta entre herramientas de escaneo de alta tecnología y expertos en seguridad Solución: Análisis, verificación, pruebas manuales y eliminación de falsos positivos La realización de pruebas de escaneo para comprobar problemas relacionados con la confidencialidad, restricciones de acceso o ataques de escalamiento vertical, son muy subjetivas y difíciles de obtener. Las herramienta tradicionales no corroborar éste tipo de errores ya que el comportamiento de las aplicaciones dependen totalmente de la percepción humana. SWAT aborda éste tema por medio de sus características de aprendizaje avanzadas y los servicios de proceso y verificación, combinadas con el apoyo de expertos en seguridad, alcanzando una cobertura total para esta clase de amenazas. SWAT ofrece reportes con información previamente verificada por expertos en seguridad. Estos reportes eliminan el problema de falsos positivos y permiten a los clientes mitigar sus riesgos de forma rápida y eficiente. Desafío: Vulnerabilidades técnicas con frecuencia son difíciles de entender requiriendo el apoyo de expertos para una mayor aclaración Solución: Soporte técnico de expertos 7x24 Desafío: Los escáneres de seguridad a menudo corrompen los sitios web e interfieren con las operaciones diarias Outpost24 ofrece soporte técnico con disponiblidad 7x24. Los usuarios pueden enviar cualquier tipo de pregunta respecto a nuevas vulnerabilidades identificadas directamente en la interfaz de usuario y recibir una pronta respuesta. El soporte técnico también está disponible en español por medio de una llamada telefónica a nuestros expertos. Solución: Prácticas de escaneo seguras sobre plataformas en producción Desafío: Los sitios web cambian con frecuencia debido a la introducción de nuevas funciones y contenido Las aplicaciones web tienen una amplia gama de funcionalidades que pueden ser afectadas durante la ejecución de un escaneo de seguridad causando trastornos irreversibles. Por ejemplo, ciertos comandos sobre la base de datos pueden desencadenar acciones no deseadas. SWAT sigue las normas de seguridad más estrictas y garantiza prácticas de escaneo seguras, evitando de esta manera cualquier perturbación en la disponibilidad o integridad de la información. Solución: Monitoreo continuo SWAT es una solución inteligente con la capacidad de identificar y reaccionar ante nuevas amenazas, alterando sus patrones de comportamiento. SWAT monitorea continuamente las aplicaciones web, detectando cualquier cambio, como por ejemplo nuevas páginas o contenido. Durante el escaneo, se utilizan una carga e intensidad muy baja durante un período prolongado, asegurando de esta forma una maxima cobertura, produciendo el menor impacto. TABLA DE COMPARACIÓN TÉCNICA La base de datos Open Web Application Security Project Top 10 (OWASP TOP 10) incluye las vulnerabilidades más comúnmente encontradas y reportadas en sitios web. Ésta base de datos, agrupa hallazgos de vulnerabilidad en familias; por lo tanto, los escáneres web tradicionales afrontan sólo los subconjuntos de las diferentes familias de vulnerabilidades obteniendo resultados con hasta un 75% de falsos negativos. OWASP top 10 2013 Herramientas automáticas A1-Injection A2-Broken Authentication and Session Management Poorly supported A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References Poorly supported A5-Security Misconfiguration A6-Sensitive Data Exposure Only default types A7-Missing Functio Level Access Control Poorly supported A8-Cross-Site Request Forgery (CSRF) A9-Using Components with Known Vulnerabilities A10-Unvalidated Redirects and Forwards Low accuracy Low accuracy and coverage Pruebas de penetración SWAT FINDINGS VISTA APPLICATION VISTA La tabla de Monitoreo y Cobertura que se muestra a continuación, indica una revisión de seguridad realizada a una aplicación; su capacidad para detectar cambios en la aplicación en un periodo de tiempo establecido y su capacidad para trabajar con una aplicación dinámica. A pesar de que las pruebas de penetración son muy completas e incluyen una cobertura máxima, están muy limitados en su capacidad para mantener niveles de alta seguridad a largo plazo. Monitoreo y Cobertura Herramientas automáticas Pruebas de penetración SWAT Often 2000-8000 Dictated by time Unlimited Zero Touch Configuration Maximum links Continuous detection If implemented in the process Test new deployed content Detect changed credentials Poorly Rogue website detection Rarely Rarely Time available for a test Often 12-24 hours Often a week Smart form testing Continuous La tabla de Seguridad en Producción se refiere a los riesgos involucrados cuando un escáner o una prueba de escaneo afecta el host que está siendo escaneado. A menudo, las pruebas de penetración no son seguras a menos que sea solicitado de manera específica por el usuario y se considere como una prioridad. La seguridad en producción es indispensable para conservar la integridad de la información en aplicaciones críticas, ya que las pruebas de escaneo mal ejecutadas pueden afectar la aplicación y la experiencia de uso del usuario final. Seguridad en Producción Production safe testing Low traffic and database intensity Submit forms only when safe Prevents dangerous link use Herramientas automáticas Pruebas de penetración Medium SWAT VULNERABILITY DISCUSSION VISTA La tabla de Verificación y Orientación está relacionada con el grado de experiencia que una organización requiere para ser capaz de utilizar y beneficiarse de una solución de escaneo. La seguridad en aplicaciones web es una aptitud muy específica que a menudo es costosa de mantener dentro de una organización. Verificación y orientación Herramientas automáticas Pruebas de penetración False positives removed Proof of exploitability provided Poorly Vulnerability rating put in context Context-aware CVSS scoring Unlimited re-testing and verifications Ask experts for advice on remediation Smart vulnerability grouping Sometimes Retests rarely possible On delivery only SWAT ACERCA DE OUTPOST24 Fundada en 2001, Outpost24 es una empresa de gestión de vulnerabilidades que proporciona las mejores soluciones del mercado, ya que permite a usuarios identificar y mitigar las vulnerabilidades de su red. Outpost24 ofrece alertas de vulnerabilidad en tiempo real y elabora reportes que permiten el reconocimiento inmediato de las vulnerabilidades existentes. Con más de 40 oficinas alrededor del mundo, Outpost24 detecta más de 12 mil vulnerabilidades diariamente y analiza más de 400 millones de direcciones IP semanalmente. Más de 2000 grandes corporaciones confían en Outpost24 para proteger sus redes internas y externas. Para obtener más información, visite www.outpost24.com