Se supone que las aplicaciones proporcionan experiencias positivas a los clientes. Para diferenciarse de sus competidores, los minoristas se apoyan ahora también en las aplicaciones. Sin embargo, estas soluciones de software rara vez se integran en el concepto de seguridad informática de las empresas.
Según un estudio de NTT, más de la mitad de los ciberataques detectados en todo el mundo tienen lugar actualmente en el ámbito de las aplicaciones. Sin embargo, sólo el seis por ciento de los presupuestos de seguridad de las empresas se destinan a su protección. NTT explica cómo las empresas pueden mejorar la seguridad de las aplicaciones.
"Un programa holístico de pruebas de seguridad de las aplicaciones es una importante técnica preventiva y proactiva que puede ayudar a reducir el perfil general de amenazas de una organización", cree Craig Hinkley, director general de la división de Seguridad de Aplicaciones de NTT.
Riesgos ABC
En primer lugar, NTT ha identificado tres categorías de riesgo que pueden recordarse con el acrónimo "ABC":
- Asamblea: Se combinan los componentes que forman la base de las aplicaciones, como los paquetes del sistema operativo, los frameworks y las bibliotecas.
Construir: Las funciones se implementan sin seguridad por diseño ni controles de seguridad apropiados.
- Configurar: Las aplicaciones se despliegan para habilitar nuevas funcionalidades sin asegurar los valores predeterminados ni evolucionar las configuraciones de desarrollo anteriores.
Craig Hinkley, NTT
DAST, SAST, SCA
También se pueden utilizar tres métodos para mejorar la seguridad de las aplicaciones en las categorías de riesgo. Las pruebas dinámicas de seguridad de aplicaciones (DAST) simulan un ataque de hackers. Una herramienta común es un escáner de vulnerabilidad. Examina la interfaz de usuario enviando ataques manipulados al servidor para determinar el funcionamiento del servidor backend y descubrir vulnerabilidades. Según los expertos de NTT, el DAST es más eficaz cuando combina las pruebas automáticas con las manuales.
El código fuente de una aplicación puede examinarse mediante las pruebas estáticas de seguridad de aplicaciones (SAST). El análisis automático detecta los errores de aplicación y puede dividirse en tres tipos. Los denominados "escáneres de código" -comparación de patrones, análisis semántico y simulación en tiempo de ejecución- ofrecen diferentes servicios.
El análisis de composición de software (SCA) comprueba la pila tecnológica. Se trata de detectar las vulnerabilidades conocidas públicamente y los riesgos de las licencias y solucionarlos mediante un parche o una ruta de actualización.