El 100% de las organizaciones reciben ataques a través de sus aplicaciones web.
Por: Manuel L. Daza
Los ataques a aplicaciones web son la principal amenaza de seguridad y la más dañina que tienen que afrontar las organizaciones hoy en día. Por poner algunas cifras, más del 80% de las vulnerabilidades descubiertas corresponden a la web, algo que encaja muy bien con que casi el 75% de los ciberataques tengan como objetivo aplicaciones web. Algunos informes apuntan a que en la mayoría de los casos, los desarrolladores de código están demasiado ocupados (o presionados por acabar pronto) como para abordar más a fondo la seguridad de sus aplicaciones.
En resumen, casi el 94% de los datos que se han visto comprometidos, han sido el blanco de hackeos que explotaban amenazas externas.
Algunas brechas de seguridad más grandes de la historia han sido causadas por ataques tipo SQL Injection o Cross-Site Scripting (XSS), incluyendo los mayores robos de números de tarjetas de crédito, cometidos entre 2005 y 2010. En 2007, T.J. Maxx (una cadena de grandes almacenes norteamericana) sufrió un ataque SQL injection, en el que se vieron comprometidos 45 millones de tarjetas de crédito... esa vulnerabilidad les supuso un coste de más de 256 millones de dólares.
¿Por qué atacan webs? Las aplicaciones web son un objetivo muy apetecible porque suelen almacenar datos valiosos, como información personalmente identificable (PII), números de tarjetas de crédito u otros datos financieros. Información que tiene una salida muy rápida y lucrativa en el mercado negro del cibercrimen.
Teniendo en cuenta que tanto empresas como clientes realizamos un uso cada vez mayor de la web, es preciso tener muy en cuenta las medidas de seguridad de nuestra red. Aún así, estudios independientes realizados por el Instituto Ponemon de Michigan (uno de los principales centros de investigación en materia de políticas de seguridad, protección de datos y privacidad a nivel mundial) revelan que "el 100% de las organizaciones han sufrido ataques recientes a través de su web", y aunque la mayoría de las veces pasan desapercibidos, su coste para las empresas puede llegar a ser hasta 100 veces superior al causado por malware, troyanos, gusanos y otros virus.
Partiendo de estas premisas, cuando Imperva nos propuso probar su servicio WAF (Firewall de Aplicaciones Web) Incapsula, que funciona como SaaS, aceptamos su propuesta para comprobar si Baquía también era igualmente objetivo de esos ataques.
La sorpresa no tardó en llegar. Nosotros recibíamos mucho spam en los comentarios (usando botnets), que pudimos resolver (aparentemente) implementando la petición de CAPTCHAS antes de poder publicarlos. En los primeros 10 días con el servicio activo, hemos recibido la friolera de 16.000 ataques, como podéis ver en el siguiente gráfico.
Afortunadamente un porcentaje muy pequeño de esos ataques (alrededor del 0,1%) han sido SQL Injection o Cross-Site Scripting, y más del 86% continúan siendo intentos de spamear nuestros artículos. Gracias a los CAPTCHAS hemos evitado esos molestos comentarios, pero ¿tenían alguna otra implicación?
Evidentemente sí: tener a nuestro servidor recibiendo semejante cantidad de peticiones continuamente, hace que esté más ocupado y por lo tanto dé un peor servicio al tráfico legítimo.
Por otra parte, además de protegernos frente a las amenazas conocidas (SQL Injection, XSS, DDoS, defacement, web scraping...) y desconocidas gracias a su parcheo virtual, Incapsula almacena las páginas solicitadas en su caché, lo que se traduce en una reducción de los tiempos de carga.
Es decir, sumando la reducción de carga del servidor por no tener que responder las peticiones de bots y el cacheo de las páginas más solicitadas, hablamos de mejoras de entre el 30% y el 50% en la carga del servidor.
Sin duda, los primeros días de prueba, nos han aportado datos suficientes como para estar muy interesados en este servicio. Os iremos contando las mejoras que percibimos y lo que vamos aprendiendo sobre protección vía SaaS.
fuente: Baquía
Diplomado en "Gestión del Conocimiento" de la ONU
- PUEDES LEERNOS EN FACEBOOK
- Siguenos en twitter: @rogofe47Chile
HTTP://consultajuridica.blogspot.com
http://el-observatorio-politico.blogspot.com
http://lobbyingchile.blogspot.com
http://calentamientoglobalchile.blogspot.com
http://respsoem2.blogspot.com
CEL: 93934521
Santiago- Chile
Soliciten nuestros cursos de capacitación y consultoría en GERENCIA ADMINISTRACION PUBLICA -LIDERAZGO - GESTION DEL CONOCIMIENTO - RESPONSABILIDAD SOCIAL EMPRESARIAL – LOBBY – COACHING EMPRESARIAL-ENERGIAS RENOVABLES , asesorías a nivel nacional e internacional y están disponibles para OTEC Y OTIC en Chile