No existe ninguna aplicación que no sea crítica cuando se trata de seguridad.
En la batalla de las Termópilas , según cuenta la historia, Leónidas y su banda de trescientos espartanos fueron derrotados no por el esperado ataque frontal. No, fue porque los persas se escabulleron y los flanquearon gracias a un estrecho camino de cabras que les dio un punto de apoyo detrás de la línea espartana que defendía las Puertas Calientes*.
Fue un error estratégico, tal vez, no proteger la ruta de ataque menos obvia de un sendero de cabras. La visión retrospectiva es 20/20 y con ella ahora podemos ver que no proteger cada punto de entrada potencial puede resultar devastador.
Entonces, ¿hemos aprendido de la historia o estamos condenados a repetirla?
Basándonos en los resultados de nuestra encuesta sobre el estado de la entrega de aplicação 2018, estamos haciendo todo lo posible para repetirla.
Lo que muestra este gráfico es que el 2% de las organizaciones utilizan un WAF para proteger… nada. Ninguna de sus aplicações está protegida por la tecnología. Por el contrario, el 13% de las organizaciones protegen todas sus aplicaciones (100%) con un WAF.
En algún punto intermedio se encuentra la mayor parte de las organizaciones: un 34 % protege una cuarta parte o menos (1-24 %) de sus aplicações. Es probable que esas aplicaciones sean similares a Hot Gates. Son los más visibles, los que promocionas y publicitas. Son ellos los que ven más tráfico y son, lógicamente, la ruta de ataque más probable.
El resto son caminos de cabras. Senderos estrechos y cubiertos de vegetación que conducen al centro de datos, que rara vez se utilizan y tienen menos probabilidades de ser atacados. O al menos eso esperas.
Como industria, tendemos a hablar en términos de aplicações“críticas”. Estas son las aplicaciones que las empresas necesitan para funcionar cada minuto de cada día. Ese es su CRM, su SFA, su tienda en línea, las API que usan sus socios para enviarle negocios. Éstos son de los que hablamos con reverencia. Debe protegerlos de ataques, escalarlos para satisfacer la demanda y mejorar su rendimiento para que incluso los consumidores más exigentes estén encantados con su atención a la experiencia del usuario.
Tenemos tendencia a ignorar las aplicações“no críticas”. A veces incluso los trasladamos a una nube pública en algún lugar sin tener en cuenta la configuración de los puntos de control de seguridad que necesitan para mantener seguros los datos y las credenciales.
Hoy digo que, así como ese camino de cabras resultó ser un punto de entrada tan crítico a las defensas de los espartanos, también lo son todas esas 'otras' aplicações. Si se conectan a Internet (y por el hecho de conectarse a una red, probablemente lo hagan), son un punto de entrada potencial para los atacantes. Si aprovechan las mismas plataformas y protocolos que sus aplicaciones "críticas" (y probablemente lo hagan), entonces son un riesgo para todas las aplicação porque comparten las mismas vulnerabilidades.
Basta con un solo y estrecho camino hacia la red a través de cualquier aplicação para poner en riesgo a toda la organización (el negocio). Obtener un punto de apoyo en una aplicação o servidor abre una gran cantidad de caminos para que los atacantes exploren. Desde las credenciales hasta las conexiones, un único punto de ataque dentro del centro de datos (ya sea en la nube pública o en las instalaciones locales) es una amenaza mayor de lo que nos gusta considerar.
No hay razón para ignorar las aplicações "no críticas" cuando se trata de seguridad y, de hecho, hay cientos, quizás miles, de buenas razones para prestarles atención y brindarles la protección que ofrece un WAF. Credenciales de empleados. Datos personales. Rutas hacia otras aplicações y servicios más jugosos.
No existe ninguna aplicación que no sea crítica cuando se trata de seguridad.
No ignores los caminos de las cabras en favor de las Puertas Calientes.
*Sí, los persas probablemente habrían ganado de todas formas, pero ahora nunca lo sabremos, ¿verdad?