Reducción del coste y la

Anuncio
WHITE PAPER:
Reducción del coste y la complejidad de la
gestión de las vulnerabilidades de la Web
Libro blanco
Reducción del coste y la complejidad de la
gestión de las vulnerabilidades de la Web
White paper: Reducción del coste y la complejidad de la gestión de vulnerabilidades de la Web
Reducción del coste y la complejidad de la
gestión de las vulnerabilidades de la Web
Contenido
Necesidad de evaluaciones simplificadas de vulnerabilidades de la Web. . . . 3
Las vulnerabilidades sin parches ponen en peligro la seguridad
de su sitio web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
6253 vulnerabilidades nuevas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Aumento del 93% en ataques web. . . . . . . . . . . . . . . . . . . . . . . . . . 3
Las soluciones tradicionales son costosas y complejas. . . . . . . . . . . . . . . 4
Simplificación de la detección de vulnerabilidades de la Web:
un enfoque gestionado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Resumen de la evaluación de vulnerabilidad de los sitios web. . . . . . . . . . La evaluación de vulnerabilidades de sitios web en comparación con
el análisis contra programas maliciosos. . . . . . . . . . . . . . . . . . . . . . . Configuración del servicio de evaluación de vulnerabilidades. . . . . . . . . . .
Análisis en busca de vulnerabilidades. . . . . . . . . . . . . . . . . . . . . . . . Revisión de informes de evaluación de vulnerabilidades. . . . . . . . . . . . . .
4
4
4
5
5
7
Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Software de actividades ilegales (crimeware) . . . . . . . . . . . . . . . . . . . Scripts entre sitios (XSS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Robo de identidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Inyección SQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vulnerabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8
8
8
8
8
2
White paper: Reducción del coste y la complejidad de la gestión de vulnerabilidades de la Web
Necesidad de evaluaciones simplificadas de vulnerabilidades de la Web
En junio de 2010, un grupo de piratas informáticos obtuvo las direcciones de correo
electrónico de más de 120.000 clientes de iPad de Apple1, incluidos funcionarios
superiores del sector gubernamental, financiero, tecnológico, militar y de los
medios de comunicación2, utilizando una vulnerabilidad en un sitio web de AT&T.
Lamentablemente, estos casos son muy comunes. El volumen de ataques basados
en Web aumentó un 93% en 2010, lo que deja expuestas a una media de 230.000
identidades en cada fallo de seguridad de datos causado por ataques de piratas
informáticos3 durante el año.
En un estudio reciente4 realizado por Ponemon Institute, el 90% de los encuestados
indicó que había sufrido dos o más fallos en los últimos 12 meses, y casi dos tercios
respondió que había sufrido varias fallos durante el mismo período. Estos fallos
pueden resultar increíblemente caros. Los estudios demuestran que el coste medio por
incidente relacionado con un fallo de datos en los Estados Unidos es de 7,2 millones
de dólares, y la resolución de uno de los fallos más graves puede costar 35,3 millones
de dólares5. Los fallos de seguridad que involucran información personal también
pueden afectar a la confianza del cliente: más de la mitad de los usuarios de Internet
evitan realizar compras online6 porque temen que les roben su información financiera.
Debido a los altos riesgos, las organizaciones deben concentrarse en sus iniciativas de
seguridad para impedir estos y otro tipo de fallos.
Las vulnerabilidades sin parches ponen en peligro la seguridad de su sitio web.
6.253 vulnerabilidades nuevas
Symantec registró más vulnerabilidades en 2010 que en cualquier otro año anterior
desde que comenzó a realizar este informe. Además, el número de proveedores nuevos
afectados por las vulnerabilidades ascendió a 1.914, lo que representa un aumento del
161% respecto al año anterior.
Aumento del 93% en los ataques web
La creciente proliferación de kits de herramientas de ataques web desencadenó un
aumento del 93% en el volumen de ataques basados en Web en 2010, en comparación
con el volumen observado en 2009. Aparentemente, las URLs abreviadas también han
tenido parte en ello. Durante un periodo de observación de tres meses en 2010, el 65%
de las URLs maliciosas observadas en redes sociales fueron URLs abreviadas.
Existen innumerables métodos que los piratas informáticos y los cibercriminales
utilizan para poner en peligro la integridad, disponibilidad y confidencialidad de la
información o los servicios. Muchos ataques utilizan fallos comunes en el software del
equipo que origina debilidades en la seguridad general del equipo o de la red; otros
aprovechan vulnerabilidades creadas por configuraciones inadecuadas de la seguridad
o del equipo. Literalmente, existen decenas de miles de vulnerabilidades conocidas,
y Symantec registró 6.253 vulnerabilidades nuevas en 20107 ; mucho más que en
cualquier año anterior registrado.
La mayor parte del tiempo, los desarrolladores de software trabajan de forma rápida
para reparar las vulnerabilidades cuando se descubren, y publican actualizaciones de
software y parches de seguridad. Sin embargo, las organizaciones no siempre cuentan
con el personal o los recursos necesarios para anticiparse a los piratas informáticos,
que continuamente buscan la forma más sencilla de infiltrarse en la mayor cantidad de
sitios web para recopilar información confidencial o implantar código malicioso
CNET News: “AT&T Hacker Indicted, Report Says” (Pirata informático de AT&T acusado, según informe), 7 de julio de 2011,
http://news.cnet.com/8301-1035_3-20077699-94/at-t-ipad-hacker-indicted-report-says/.
CNET News: “AT&T Web Site Exposes Data of 114,000 iPad Users” (Sitio web de AT&T expone datos de 114.000 usuarios de iPad),
10 de junio de 2010, http://news.cnet.com/8301-27080_3-20007309-245.html.
3
Symantec: Informe sobre las amenazas para la seguridad en Internet, Vol. 16, marzo de 2011, http://www.symantec.com/
business/threatreport/.
4
Ponemon Institute: “Perceptions About Network Security” (Percepciones sobre la seguridad de la red), junio de 2011,
http://www.juniper.net/us/en/local/pdf/additional-resources/ponemon-perceptions-network-security.pdf.
5
Ponemon Institute y Symantec: “Estudio anual 2010: coste de una fuga de datos en los EE. UU.”, marzo de 2011, http://bit.ly/fwlC6j.
6
Javelin Strategy and Research: “2011 Identity Fraud Survey Report.” March 2011 - https://www.javelinstrategy.com/brochure/192
7
Symantec: Informe sobre las amenazas para la seguridad en Internet, Vol. 16, marzo de 2011, http://www.symantec.com/es/es/
business/threatreport /.
1
2
3
White paper: Reducción del coste y la complejidad de la gestión de vulnerabilidades de la Web
Los ataques más peligrosos son los que se pueden automatizar, como inyecciones de
código SQL, que los piratas informáticos utilizan para obtener acceso a su base de
datos, y secuencias de comandos entre sitios, que permiten a los piratas añadir código
a su sitio web para ejecutar tareas. Estos métodos pueden proporcionar a los atacantes
el control de la aplicación web y acceso sencillo a los servidores, las bases de datos y
otros recursos de TI. Una vez que los atacantes tienen acceso a estos recursos, pueden
poner en peligro los números de la tarjeta de crédito del cliente y otra información
privada.
Symantec registró más de 3000 millones de ataques de programas maliciosos en 2010,
y el volumen de ataques basados en Web aumentó casi un 90% desde 2009. Una parte
de este aumento se puede atribuir al crecimiento de los scripts automatizados y los
“kits de herramientas” de ataques web. En general, estos kits se componen de código
malicioso escrito previamente para aprovechar las vulnerabilidades, y facilitan el
lanzamiento de ataques masivos para el robo de identidad y otros fines.
Las soluciones tradicionales son costosas y complejas
Debido al crecimiento del riesgo de ataques basados en Web y las fugas de datos, la
administración de vulnerabilidades sigue siendo una tarea difícil. Muchas soluciones
tradicionales están diseñadas para grandes organizaciones empresariales que deben
cumplir requisitos de cumplimiento estrictos, como los estándares de seguridad de
datos del sector de tarjetas de pago (PCI). Estas soluciones están altamente preparadas
para detectar un número limitado de amenazas, y pueden generar volúmenes de datos
innecesarios sobre vulnerabilidades de prioridad baja, lo que puede obstaculizar las
medidas de seguridad esenciales que se deben tomar de inmediato.
No es extraño que casi la mitad de las organizaciones encuestadas por Ponemon
Institute señalen la complejidad y el acceso limitado a los recursos de TI como los
desafíos más importantes para la implementación de soluciones de seguridad de red, y
el 76% apoye la optimización o simplificación de las operaciones de seguridad de red.
Simplificación de la detección de vulnerabilidades de la Web: un enfoque
gestionado
Para anticiparse a los piratas informáticos, las organizaciones necesitan una solución
ágil que les ayude a identificar rápida y fácilmente las vulnerabilidades más críticas de
sus sitios web. Symantec™ ofrece una evaluación de vulnerabilidades basada en la nube
que resulta sencilla y puede ayudarle a identificar y solucionar rápidamente los puntos
más vulnerables de su sitio web.
Resumen de la evaluación de vulnerabilidades de sitios web
La evaluación de vulnerabilidades de Symantec le ayuda a identificar rápidamente
los puntos más vulnerables de su sitio web. De forma gratuita con la compra de
certificados SSL Symantec™ Premium, Pro y Extended Validation (EV), esta evaluación
complementa la protección existente con lo siguiente:
• Un análisis automático semanal de las vulnerabilidades existentes en páginas web
públicas, aplicaciones basadas en Web, software de servidor y puertos de red.
• Un informe procesable que identifica las vulnerabilidades críticas que deben
investigarse inmediatamente y los elementos que presentan un riesgo menor.
• Una opción para volver a analizar su sitio web y ayudar a confirmar que las
vulnerabilidades se hayan corregido.
La evaluación de vulnerabilidad
de los sitios web en comparación
con el análisis contra programas
maliciosos
La evaluación de vulnerabilidades
de sitios web analiza los puntos de
entrada de los fallos de seguridad
e informa sobre dichos puntos. El
análisis contra programas maliciosos
intenta encontrar software dañino
que ya se encuentre en su sitio y en su
red. Si tiene un programa malicioso
en su sitio, es probable que ya se
haya infringido un punto de entrada.
Al reparar las vulnerabilidades
de su sitio, ayuda a impedir fallos
potenciales, incluidos programas
maliciosos.
4
White paper: Reducción del coste y la complejidad de la gestión de vulnerabilidades de la Web
Cuando se utiliza en combinación con su certificado SSL de Symantec™ y un análisis
diario de sitios web contra programas maliciosos, la evaluación de vulnerabilidades le
ayuda a proteger su sitio web y a sus clientes.
Configuración del servicio de evaluación de vulnerabilidades
Ya sea un cliente actual, en proceso de renovación o nuevo, puede habilitar el servicio
de evaluación de vulnerabilidades de forma opcional mediante la consola de gestión de
Managed PKI para SSL, Symantec™ Trust Center o Symantec Trust Center Enterprise*.
Este servicio se iniciará desde el mismo nombre de dominio completo (FQDN) que se
utiliza como nombre común del certificado SSL asociado. Si protege varios dominios
con certificados SSL, puede activar las evaluaciones de vulnerabilidades para cada uno
a través de su consola de gestión.
*La configuración y las opciones de alerta pueden variar según la consola de gestión
utilizada
Análisis en busca de vulnerabilidades
La evaluación de vulnerabilidades de examina los puntos de entrada que se utilizan
con más frecuencia para ataques comunes. Una vez activado, el primer análisis de
vulnerabilidades comenzará antes de que transcurran 24 horas. Luego, analizará el
sitio de forma automática cada semana y puede solicitar una repetición del análisis
cuando desee.
El análisis de vulnerabilidades examina todos los puertos de red utilizados con mayor
frecuencia (en total, más de 1.000). El análisis detecta los tipos de vulnerabilidades más
frecuentes, incluidos software desactualizado o sin parches, secuencias de comandos
entre sitios (XSS), inyecciones de código SQL y “puertas traseras”, y se actualiza con
frecuencia a medida que se descubren nuevas vulnerabilidades.
5
White paper: Reducción del coste y la complejidad de la gestión de vulnerabilidades de la Web
Tabla 1. Detalles de actividades de análisis de evaluación de vulnerabilidades
Área
Ejemplos de elementos analizados
Nivel de red
Sondeo de puerto básico y análisis de datos para
identificar de manera no intrusiva las potenciales
vulnerabilidades.
Servidor Apache HTTP (y complementos populares)
Software del servidor
web
Microsoft IIS
Tomcat
JBoss
Sendmail
Software SMTP
Postfix
Microsoft Exchange Server
Servicios Telnet
Servicios SSH
Servicios FTP
Sistemas Unix
OpenSSH
Software SSH.com
Daemons FTP populares
Microsoft ASP .NET, Adobe JRun, Adobe ColdFusion,
Perl, PHP, ColdFusion, ASP/ASP .NET, J2EE/JSP
Sistemas CMS populares (WordPress, Django, Joomla,
Drupal, etc.)
Estructuras web
Aplicaciones de comercio electrónico (CubeCart,
ColdFusion Shopping Cart, KonaKart, etc.)
Software de gestión web (phpMyAdmin)
Software de foro
Aplicaciones de seguimiento de estadísticas y anuncios
Vulnerabilidades de
aplicaciones web
Problemas potenciales
de uso de certificados
SSL
Vulnerabilidad reflexiva de secuencia de comandos
entre sitios
Vulnerabilidad de inyección de código SQL básica
Certificado SSL no fiable (firmado por una AC
desconocida)
Comprobación de certificado autofirmado
Incompatibilidad de nombre común de certificado
Codificación poco segura utilizada
Certificados vencidos o revocados
Transmisión de datos
sin cifrar
Páginas de inicio de sesión con envíos de formularios
de objetivos distintos de SSL
Si un análisis detecta vulnerabilidades, y usted toma medidas para solucionar el
problema, tiene la opción de solicitar una repetición del análisis a fin de verificar que la
vulnerabilidad tenga un parche.
6
White paper: Reducción del coste y la complejidad de la gestión de vulnerabilidades de la Web
Revisión de informes de evaluación de vulnerabilidades
Cuando el análisis de vulnerabilidades se haya completado, puede obtener un informe
completo de las vulnerabilidades del sitio web en formato PDF en la consola de gestión
de Managed PKI para SSL, Symantec Trust Center o Symantec Trust Center Enterprise.
Si el análisis detecta vulnerabilidades críticas, también activará una alerta en la
consola.
Cada informe contiene datos útiles para que los empleados de TI investiguen problemas
y los comuniquen claramente a la administración. El informe destaca vulnerabilidades
críticas y proporciona información sobre cada riesgo, incluyendo la gravedad, la
amenaza asociada y el impacto potencial. Este informe también describe las medidas
correctivas que deberá tomar para reparar cada problema.
Conclusión
Los piratas informáticos y los cibercriminales perfeccionan constantemente sus
ataques y sus objetivos; por lo tanto, necesita herramientas ágiles para anticiparse
a ellos. Mediante el uso de la evaluación de vulnerabilidades automatizada para
identificar las debilidades y tomar medidas correctivas, puede reducir el riesgo de que
los piratas informáticos encuentren su sitio y le ataquen.
Las evaluaciones de vulnerabilidades de Symantec ayudan a reducir el coste y la
complejidad de la gestión de vulnerabilidades con análisis automatizados, informes
procesables y una arquitectura basada en la nube que no requiere mantenimiento
ni instalación de software. Esta solución es un buen punto de partida para las
organizaciones que desean una evaluación rápida del alcance de las vulnerabilidades
de su sitio web. Las evaluaciones de vulnerabilidades de sitios web también son ideales
para las organizaciones que ya utilizan una solución de cumplimiento de análisis
de vulnerabilidades, como para el PCI, y necesitan una solución complementaria
para comprobar los resultados de sus análisis y proporcionar una capa adicional de
seguridad. Cuando se utiliza en combinación con su certificado SSL de Symantec
y un análisis diario de sitios web contra programas maliciosos, las evaluaciones de
vulnerabilidades le ayudan a proteger su sitio web y a sus clientes.
7
White paper: Reducción del coste y la complejidad de la gestión de vulnerabilidades de la Web
Glosario
Software de actividades ilegales (crimeware)
El software de actividades ilegales es software que se utiliza para cometer un acto
delictivo. Del mismo modo que el término "cibercrimen", el término "software de
actividades ilegales" abarca una amplia gama de diferentes tipos de software malicioso
o potencialmente malicioso.
Scripts entre sitios (XSS)
Ataques que permiten a los intrusos inyectar scripts no autorizados que pueden eludir
las barreras de seguridad del navegador.
Robo de identidad
El robo de identidad es el acto de robar y asumir la identidad de otra persona para
cometer fraude u otros delitos.
Inyección de código SQL
Ataque basado en Web que permite a los atacantes externos enviar comandos SQL no
autorizados mediante un código sin protección a parte de un sitio que está conectado
a Internet. Estos comandos SQL no autorizados proporcionan acceso a la información
confidencial de una base de datos, del mismo modo que lo harían los equipos host de la
organización.
Vulnerabilidad
Una vulnerabilidad (en sentido general) es un estado de un equipo informático (o grupo
de sistemas) que permite a un atacante ejecutar comandos como si fuera otro usuario,
acceder a datos infringiendo las restricciones de acceso especificadas para esos datos,
hacerse pasar por otra entidad o lanzar un ataque de negación de servicio.
8
White paper: Reducción del coste y la complejidad de la gestión de las vulnerabilidades de la Web
Más información
Las evaluaciones de vulnerabilidades de Symantec se incluyen sin coste adicional con
su compra de cualquier certificado SSL Symantec Premium, Pro y Extended Validation
(EV). Además, Symantec ha identificado a los líderes del sector que pueden trabajar
con usted para eliminar sus vulnerabilidades y ayudarle a mantener su sitio y su
red funcionando de forma óptima. Estos especialistas recomendados varían entre
consultores y proveedores de software, y todos están especializados en la reparación
de vulnerabilidades.
Más información
Visite nuestro sitio web
www.symantec.es/ssl-certificates
Para obtener más información acerca de los certificados SSL de Symantec, llame a nuestro
número gratuito 900 93 1298, o escribanos a: [email protected]
Para hablar con un especialista en productos
Para comunicarse con un especialista de productos llame al 900 93 1298
Acerca de Symantec
Symantec es un líder mundial en soluciones de seguridad, almacenamiento y gestión
de sistemas, que ayudan a consumidores y organizaciones a proteger y gestionar su
información. Nuestros servicios y software protegen contra más riesgos, en más puntos
y de forma más completa y eficaz, ofreciendo tranquilidad sin importar el lugar donde
se utilice o almacene la información.
Symantec Spain S.L.
Parque Empresarial La Finca – Somosaguas,
Paseo del Club Deportivo, Edificio 13, oficina D1, 28223, Pozuelo de Alarcón, Madrid,
España
© 2013 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, el logotipo de la marca de comprobación y el logotipo Norton Secured son marcas comerciales o marcas
comerciales registradas en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.
Descargar