La gran mayoría de sistemas web expuestos al tráfico de Internet, grandes o pequeños, reciben constantes ataques a diario. Gran parte de estos ataques son automáticos y a gran escala. Debido al bajo nivel de sofisticación de estos ataques, un nivel básico de protección puede ser suficiente para aplicaciones que no tengan altos requerimientos de seguridad. Sin embargo, en el caso de la infraestructura web crítica, como es el sector bancario, los servicios esenciales como agua y energía, transporte, sanidad o incluso la distribución y logística, los ataques automáticos vienen acompañados de campañas de ataques mucho más sofisticados dirigidos a un sistema en particular.
Debido al valor estratégico y económico de la infraestructura web crítica, los atacantes incluyen grupos altamente especializados y con recursos. Los sistemas críticos atraen incluso a organizaciones financiadas por estados-nación con motivaciones geopolíticas.
Según la edición de 2021 del informe de Verizon Data Breach Investigations Report, el sector público lidera el ranking de industrias en términos de número de incidentes. El total reportado de incidentes en entidades públicas ascendió a 3.336 incidentes, 885 de los cuales resultaron en filtración y pérdida de datos personales. El punto de entrada más común de estos ataques es la capa de aplicaciones, algo que también observamos en el resto de sectores.
Incluso con los grandes recursos invertidos por los equipos que gestionan sistemas críticos, es prácticamente imposible desarrollar un sistema 100% inmune a este tipo de ataques. La gran presión por publicar nuevas versiones y actualizaciones constantes, la falta de expertos de ciberseguridad y la continua evolución de los vectores de ataque hace que los equipos de desarrollo y calidad no tengan tiempo suficiente para mitigar incluso aquellas vulnerabilidades ya conocidas. Por lo tanto, es necesario que los sistemas de infraestructura web crítica dispongan de múltiples capas de protección automática frente a ataques que se adapten a un desarrollo ágil y, al mismo tiempo, maximicen el nivel de protección frente a ataques conocidos y desconocidos.
RASP: la mejor protección
Como respuesta a la sofisticación de aplicaciones y ataques, la industria de seguridad ha propuesto la tecnología RASP (Runtime Application Self Protection), un nuevo enfoque en la seguridad de aplicaciones.
La idea fundamental detrás de la tecnología RASP consiste en integrar la protección en las propias aplicaciones, y que de esta manera el sistema de defensa tenga visibilidad completa de la aplicación en su entorno de ejecución: es decir, mientras está en funcionamiento y recibiendo ataques.
La tecnología RASP se basa en la idea de instrumentar (es decir, añadir sensores internos) la aplicación protegida. Gracias a estos sensores de seguridad, el agente RASP analiza el comportamiento de la aplicación con cada petición y, en tiempo real, decide si la petición puede causar problemas al sistema. Como consecuencia de un análisis de seguridad más completo y con más contexto, la precisión de la protección aumenta. Por ejemplo, ataques avanzados, incluso aquellos relacionados con la autenticación, autorización y el control de acceso (OWASP Top 10 A01:2021 Broken Access Control) pueden ser protegidos por un RASP debido al enfoque integrado en la aplicación.
Segundo, la protección RASP se integra en la infraestructura de la aplicación y es prácticamente transparente al modelo de despliegue. En consecuencia, los despliegues en entornos de cloud dinámicos son inmediatos y no requieren configuración y mantenimiento. Por último, una vez configurada, una plataforma RASP es muy estable y sencilla de administrar. No requiere gestión directa, lo que abarata la operación, y simplifica las necesidades organizativas de los equipos de explotación, incluso cuando las aplicaciones añaden funcionalidad o nuevos tipos de ataque son identificados.
En comparación con el enfoque perimetral WAF, que es el modelo de protección líder en la actualidad, el enfoque de protección RASP integrado dentro de la aplicación permite la implementación de técnicas avanzadas de protección. Estas técnicas no son aplicables desde enfoques meramente perimetrales basados en elementos de red en frente de las aplicaciones porque no tienen el contexto completo de la ejecución. Por último, el enfoque perimetral WAF no se adapta bien a despliegues en cloud o a situaciones donde simplemente no se puede establecer un perímetro de red adecuado.
Monitorización continua
Frenar y bloquear ataques a las aplicaciones es, sin duda, la prioridad número uno de un sistema RASP. Sin embargo, la monitorización continua de las aplicaciones en producción es otra de las grandes ventajas de un sistema RASP. La visibilidad de un RASP permite la monitorización de aspectos críticos de la ejecución de las aplicaciones como la fuga de datos (OWASP Top 10 A02:2021), el descubrimiento de funcionalidad expuesta por la aplicación, también conocido como API Discovery, y la propia evolución de las vulnerabilidades expuestas en producción, tanto en el código propio como en las dependencias y el código externo.
Hdiv Protection (RASP)
Hdiv Security automatiza la seguridad de aplicaciones durante todo el ciclo de vida del software. La plataforma unificada de Hdiv Security incluye Hdiv Detection (IAST), una solución para la detección de vulnerabilidades de seguridad en aplicaciones web y API y Hdiv Protection (RASP) que proporciona protección a las aplicaciones web y API, bloqueando y monitorizando todo ataque a las mismas.
