La disponibilidad es una distracción y estamos cayendo en ella

En un mundo perfectamente equilibrado, la disponibilidad y la seguridad serían iguales. Seguramente los usuarios de aplicações están tan preocupados por la seguridad de sus datos como por el acceso a ellos.

Como todos sabemos, este no es un mundo perfectamente equilibrado. Los usuarios tienen la misma probabilidad (o quizás más) de eliminar una aplicación y abandonar una marca, debido a problemas de disponibilidad y rendimiento, que debido a una violación de datos.

Oh, todavía arman un alboroto por una infracción. Pero generalmente le cuesta dólares a la empresa en lugar de usuarios dedicados.

Esa dicotomía se refleja en las prioridades que nos informaron los profesionales de seguridad en el Informe de protección de aplicação 2018 de F5 Labs . Entre los CISO, la principal preocupación no es —como se podría sospechar a partir de su título— la seguridad. En una investigación anterior centrada en los CISO, " El rol evolutivo de los CISO y su importancia para el negocio ", la mayoría de los CISO afirmaron que su principal preocupación es la disponibilidad y que prevenir el tiempo de inactividad de las aplicação es la misión principal de sus organizaciones.

Esto también se reflejó en nuestro próximo informe sobre el estado de la automatización de la red. Cuando se preguntó qué métricas se utilizan para medir el éxito de forma individual y en equipo, el "tiempo de actividad de la red" encabezó la lista para el 59% de los profesionales de seguridad, seguido del "tiempo de actividad de la aplicação " en un cercano segundo lugar con casi la mitad (49%) de los encuestados de seguridad.

El término disponibilidad implica rendimiento. La velocidad se considera un componente de la disponibilidad y la seguridad suele quedar relegada a un segundo plano cuando se trata de detectar los ataques que producen resultados. Debido a que la inspección de datos fundamental para detectar códigos y datos maliciosos es costosa e introduce latencia, su práctica a menudo se considera contraproducente.

El enfoque en la disponibilidad es una ventaja para los atacantes. Conscientes de que sus objetivos priorizan la disponibilidad, el informe de F5 Labs señala que " los atacantes también están programando los ataques DDoS como distracciones para encubrir el robo de datos y los ataques de fraude que se llevan a cabo simultáneamente mientras los administradores están distraídos ". Esta técnica, conocida como "cortina de humo", no es nada nuevo. Como señalamos en 2017 , las organizaciones se ven cada vez más afectadas por ataques DDoS volumétricos para ocultar las verdaderas intenciones de los atacantes.

Y los consumidores están pagando por ello.

La disponibilidad como diversión

Cada vez más, los atacantes utilizan nuestra prioridad en la disponibilidad como distracción. Esto es preocupante porque los atacantes están intensificando sus tácticas y empleando todas las herramientas a su disposición para encontrar una ruta a través de las redes, la infraestructura y las aplicações hasta el tesoro que se encuentra más allá de sus puertas: los datos. El problema es que los atacantes no sólo utilizan usuarios y sistemas que se interponen entre ellos y su objetivo. Hoy en día también utilizan los propios datos.

En el Informe de protección de aplicação 2018 de F5 Labs, los investigadores analizaron datos de violaciones y ataques de una variedad de fuentes. Los resultados no fueron sorprendentes, pero sí inquietantes.

En el primer trimestre de 2018, el 70% de los registros de violaciones analizados apuntaron a ataques de inyección web como su causa raíz. Eso no es sorprendente si has estado siguiendo esto. Durante la última década, el 23% de todos los registros de violaciones indican que el vector de ataque inicial fue la inyección SQL. Es tan omnipresente que fue catalogado como el número uno en el Top 10 de OWASP en 2017.

De hecho, casi la mitad (46%) de los ataques contra aplicaciones web basadas en PHP se basaban en inyecciones. Los profesionales de seguridad deben tener en cuenta que PHP está en todas partes. Builtwith.com , que rastrea las tecnologías utilizadas para crear las aplicaciones que componen Internet, señala que el 43% del millón de sitios web más importantes están creados con PHP. Estados Unidos alberga casi dieciocho millones de sitios de este tipo, y casi la mitad (47%) de los diez mil principales utilizan ese idioma.

Se trata de un campo amplio en el que los atacantes pueden elegir (y de hecho lo hacen) sus objetivos. De las más de 21.000 redes únicas sobre las que se realizaron ataques según el informe, el 58% tuvo como objetivo sitios basados en PHP.

Los datos son un objetivo creciente (y rentable)

Para evitar señalar con el dedo el lenguaje utilizado, es importante tener en cuenta que los investigadores de F5 Labs también advierten que hay que estar atentos a los ataques de deserialización. Estos ataques no son específicos del lenguaje y se centran en los datos en sí. Del informe:

"La serialización ocurre cuando las aplicaciones convierten sus datos a un formato (generalmente binario) para su transporte, generalmente de servidor a navegador web, de navegador web a servidor o de máquina a máquina a través de API".

Al incorporar comandos o alterar parámetros en el flujo de datos, los ataques suelen pasar sin filtrar directamente a la aplicação. Las aplicação(o componentes de aplicação ) que no filtran o desinfectan los datos pueden ser víctimas de vulnerabilidades, como fue el caso de Apache Struts. Los ataques de deserialización se consideran una amenaza tan grande que OWASP los agregó a su lista de los 10 principales el año pasado. Dado que 148 millones de estadounidenses y 15,2 millones de ciudadanos del Reino Unido se vieron afectados por una vulnerabilidad de este tipo, los ataques de deserialización merecen mayor atención de la que reciben gracias a su uso relativamente pequeño en la práctica.

Lo revelador de estas dos amenazas es que siguen un tema común: tampoco se puede confiar en los datos. Ya sea que se modifiquen intencionalmente o se aprovechen de solicitudes legítimas, los ataques están cada vez más ocultos en el flujo de datos.

Pero para no centrarnos demasiado en la aplicación y sus datos, no ignoremos que el resto de la pila es igualmente vulnerable y es probable que sea el objetivo de un ataque. La continua dependencia de cifrados débiles, como los ya retirados SSL y TLS 1.0, es una fuente de frustración. Estos métodos se han retirado porque están plagados de inseguridades y hacen que sea más fácil para los ataques explotarlos en busca de acceso.

Como señala el informe, " Nuevas vulnerabilidades del protocolo TLS se publican aproximadamente dos veces al año. Sin embargo, con la excepción de Heartbleed, la mayoría de las vulnerabilidades del protocolo TLS mencionadas son académicas y rara vez se utilizan en una violación real. Uno de los Sistemas de Salud Comunitarios (CHS) más involucrados en 2014. CHS perdió casi cinco millones de números de seguridad social cuando un atacante utilizó la vulnerabilidad Heartbleed .

Amenaza baja, riesgo alto. Nadie quiere ser ese caso raro, pero tarde o temprano, alguien lo es.

La seguridad y la disponibilidad deberían tener el mismo lugar en la mesa

La realidad es que estamos entrando en una era en la que no basta con no confiar en nadie. Tenemos que profundizar más en la pila para buscar ataques diseñados para deshabilitar y eludir las protecciones implementadas para salvaguardar las aplicaciones y los datos. Debemos considerar la protección de aplicação como un continuo que evalúa constantemente el estado de toda la pila de aplicação , desde la red hasta la infraestructura y los servicios. Eso significa valorar la seguridad de nuestros datos tanto como la velocidad con la que los entregamos.

Debemos recordar la Regla de Seguridad Cero: Nunca confíes en la entrada del usuario. Y también debemos recordar que la entrada del usuario incluye datos. Esto significa intensificar la seguridad para incluir la inspección de los datos entrantes y encontrar formas de compensar los posibles impactos en el rendimiento y la disponibilidad.

Significa reconocer que la disponibilidad a veces es sólo una distracción y que no podemos permitirnos caer en ella. La seguridad merece —y necesita— un lugar en la misma mesa que la disponibilidad y el rendimiento. La prioridad de un CISO debe ser la seguridad, no la disponibilidad.

Porque si el CISO no va a defender la seguridad, ¿quién lo hará?
 

Puede encontrar más información y análisis en el Informe de protección de aplicação 2018 de F5 Labs , incluida orientación útil sobre los ataques y las protecciones que existen en toda la pila de aplicação .