En los últimos meses ha aumentado la preocupación por asegurar las aplicaciones, pero son pocos los proveedores que pueden ofrecer un mapa punta a punta del código, las dependencias y cómo encajan en el esquema de seguridad IT. Scitum se declara listo para la tarea.
Para tener seguridad aplicativa la mayoría de los expertos coincide en que no basta con un firewall de aplicaciones web (WAF por sus siglas en inglés). Las razones son varias y comienzan desde la incipiente adopción de prácticas DevOps en la mayor parte de las organizaciones, hasta la incapacidad del WAF de detectar exploits día cero, pasando por una larga lista de ataques maliciosos que pueden fácilmente darle la vuelta. Los botnets, por ejemplo, son difíciles de detectar por un WAF. Muchas amenazas serias proceden de fuentes automatizadas que generan solicitudes diseñadas para parecer tráfico legítimo. Las amenazas automatizadas están proliferando a un ritmo espeluznante, a causa de dispositivos fácilmente hackeables y a los sistemas en internet disponibles para construir botnets, mismos que pueden servir para todo: desde ataques DoS hasta violación de datos, robo de identidad o acaparamiento de recursos.
A lo anterior hay que añadir otras particularidades propias del software: los desarrolladores tienden a ser gente creativa, por lo que las aplicaciones web pueden estar cambiando prácticamente a diario. O, la típica: su organización no desarrolló la aplicación, la adquirió de un tercero, por lo que no tiene la menor idea de cómo está el código, dónde corre y cuáles son sus dependencias en relación con otros sistemas.
Ulises Castillo, fundador y presidente de Scitum, considera que el meollo del asunto reside en el ciclo de desarrollo conocido como Secure Software Developent Life Cycle, es decir, tener la seguridad de todo el ciclo, incluyendo la plataforma, el middleware, y los componentes.
“Cuando un cliente del sector banca nos dice ‘quiero asegurar esta app’ muchas veces no sabe ni dónde corre. Nosotros generamos un mapa punta a punta para encontrar las dependencias de la aplicación. No es un servicio de seguridad en sí mismo, sino uno previo para obtener seguridad. La mayoría de los proveedores no tienen esa capacidad porque no desarrollan software”, comentó en entrevista.
Dentro del ciclo de desarrollo es muy conocida la revisión de código. Una de las herramientas que, a decir de Castillo es muy útil, es Dynatrace. Por otro lado, el experto dijo que una de las razones por las que fue tan efectivo el hackeo reciente al sistema SPEI de intercambio de transacciones entre bancos, fue justo que la mayor parte de los bancos no desarrollaron ese sistema, sino lo adquirieron a un tercero. En muchos casos, la arquitectura de seguridad no prevé la integración de las aplicaciones. “Muchos bancos están haciendo revisiones de código —comentó Castillo—. Eso es bueno pero insuficiente. Es un elemento de todo el ciclo. Idealmente los desarrolladores tienen que programar de manera segura.”
Scitum provee consultoría para avanzar en materia de seguridad de aplicaciones, además de ofrecer en outsourcing un grupo de pruebas de seguridad, tanto automatizadas como revisiones manuales. “Estamos actualizando guías de desarrollo seguro, mejores prácticas, porque además de los nuevos ataques los propios equipos de desarrollo tienen rotación de personal. La gente también requiere mucha capacitación”, advirtió Castillo.
Nuevas tendencias: SOAR y UEBA
En materia de monitoreo y detección de amenazas avanzadas, Castillo refirió que hoy se requieren diferentes herramientas que ayuden a detectar el ataque en distintas fases. En el SOC es necesario contar con analistas más preparados para entender qué sucede y practicar ciber cacería de amenazas. “No conozco ninguna organización que haga cacería. Esta práctica no depende de alarmas sino de indicadores de compromiso y, sobre todo, funciona con base en la habilidad de detección del analista y sus conocimientos de la red y sus recursos. Hemos ido evolucionando porque esta es una tarea permanente”, comentó Castillo.
Para auxiliar en dicha labor es cada vez más importante la analítica del comportamiento, o UEBA (User and Entitiy Behavior Analytics), útil para rastreo de conversaciones y detección de patrones, que también se acompaña de machine learning y estadística bayesiana. Estas prácticas se pueden operar de forma independiente o integradas a la automatización de la detección y respuesta (SOAR, Security Orchestration Automation and Response) para tener el panorama completo. “Aquí reside la sofisticación de los SOC modernos, ya que las herramientas requieren de configuración. Así como el SIEM era lo más importante, ahora es un elemento que alimenta al SOAR. Es decir, las fuentes de inteligencia de amenazas alimentan al SOAR, una herramienta de workflow muy sofisticada que tiene reglas de detección automática. Sin embargo, alguien tuvo que programarla y actualizarla. Si el engine (o un analista) detecta una amenaza, la idea es disparar una respuesta automáticamente, como cambiar la configuración de un router. Para ello se requiere gente más preparada, porque si automatizas un error puedes tumbar la red”, explicó Castillo, quien tiene más de 20 años de experiencia.
Subcontratar este tipo de servicios es complicado. A decir de Castillo, muchas organizaciones no están dispuestas a dejar en manos de un tercero el bloqueo de cuentas o el cambio de configuraciones de un router o de un firewall. De manera que es importante desarrollar internamente esa parte del SOC en las grandes empresas. Es común es que se compartan actividades con el proveedor de SOC externo.
Otra tendencia actual es regular el acceso a la nube a través de un CASB (Cloud Access Security Broker). Un CASB coloca una capa intermedia para ver quién entra y qué puede hacer en los servicios de infraestructura o de software (IaaS y SaaS). Scitum también provee ese servicio. “Somos 650 personas y no nos damos abasto. Estamos conectados con Digital Crimes Unit de MS, con Cisco Talos, con Interpol Americas, y en México con CERT MX y con CERT UNAM, entre otros. El panorama de las ciber amenazas se va a complicar todavía más”, concluyó Castillo, no sin antes lanzar un suspiro.
*Fotografía por Fernando Canseco