CIS Control #18: Seguridad del software de aplicación

Administre el ciclo de vida de la seguridad de todo el software desarrollado y adquirido internamente para prevenir, detectar y corregir las debilidades de seguridad.

Los ataques a menudo aprovechan las vulnerabilidades que se encuentran en el software de aplicación basado en la web y de otro tipo. Las vulnerabilidades pueden estar presentes por muchas razones, incluidos errores de codificación, errores lógicos, requisitos incompletos y fallas al probar condiciones inusuales o inesperadas. Los atacantes están en sintonía con el flujo constante de divulgaciones de vulnerabilidades porque, cuando no se reparan, cada una de ellas representa una oportunidad para violar un sistema mediante la inyección de exploits específicos.

Recomendaciones:

  • Para todo el software de aplicación comercial, verifique que la versión que está utilizando todavía sea compatible con el proveedor. Si no es así, actualice a la versión más actual e instale todos los parches relevantes y las recomendaciones de seguridad de los proveedores.
  • Proteja las aplicaciones web mediante la implementación de firewalls de aplicaciones web (WAF) que inspeccionan todo el tráfico en busca de ataques comunes, incluidos los scripts entre sitios, la inyección de SQL, la inyección de comandos y los ataques transversales de directorio. Para las aplicaciones que no están basadas en la web, se deben implementar firewalls de aplicaciones específicas si dichas herramientas están disponibles para el tipo de aplicación dado.
  • Para el software desarrollado internamente, asegúrese de que se realice y documente la verificación explícita de errores para todas las entradas, incluido el tamaño, el tipo de datos y los rangos o formatos aceptables.

Herramientas que pueden ayudar

  1. Veracode

Con Veracode las organizaciones pueden administrar todo su programa de seguridad de aplicaciones en una sola plataforma, ofreciendo una forma holística y escalable de administrar el riesgo de seguridad en toda su cartera de aplicaciones. Proporcionando visibilidad sobre el estado de la aplicación en todos los tipos de pruebas comunes en una sola vista (SAST, DAST, SCA). Con esto Veracode ayuda a las organizaciones a superar los desafíos de DevSecOps con una combinación única de análisis de aplicaciones automatizado en proceso y experiencia para desarrolladores y profesionales de seguridad, todo entregado a través de una plataforma escalable SaaS.

  1. Sophos

Con su módulo de WAF (firewall de aplicaciones web), Sophos intercepta el tráfico a sus servidores para protegerlos de intentos de manipulación y piratería. Protege sus aplicaciones web contra más de 350 patrones de ataque, incluida la SQL injection, cross-site scripting y directory traversal.

También escaneamos todos los archivos entrantes y su contenido con nuestros agentes antivirus duales para mantener el contenido infectado fuera de la red.

  1. Security scorecard

Security scorecard permite detectar problemas en sus aplicaciones web, tales como:

  • High, Medium and Low Severity Content Management System vulnerabilities identified
  • Content Security Policy (CSP) Missing
  • Cookie Missing ‘Secure’ Attribute
  • Session Cookie Missing ‘HttpOnly’ Attribute
  • Website does not implement X-Content-Type-Options Best Practices, X-Frame-Options Best Practices, HSTS Best Practices
  • Content Security Policy Contains ‘unsafe-*’ Directive and Broad Directives
  • Object Storage Bucket with Risky ACL
  • Server with Expired Certificate Contacted