Pasos para realizar una auditoría de seguridad web
Las auditorías de seguridad web, al igual que cualquier proyecto, requieren que estés preparado para abordarlo de la manera más eficaz y con el mínimo perjuicio para la empresa.
Por lo tanto, vamos a comentar los puntos más importantes que normalmente vas a tener que abordar a lo largo de la contratación de la auditoría web.
- Entorno de trabajo
- Usuarios de prueba
- Web Application Firewall
- Proveedor
Entorno de trabajo
Es frecuente y recomendable que las empresas cuenten con un entorno de preproducción, en el cual, prueban y testean nuevos desarrollos y cambios antes de subirlos a producción y el entorno de producción real al que se conectan los usuarios.
Para realizar la auditoría de seguridad se realizaría de forma preferente en el entorno de producción debido a que es la versión definitiva que va a sufrir los ciberataques. En cambio, el entorno de preproducción puede tener desde diferencias sutiles hasta grandes cambios que pueden afectar a los resultados de la auditoría dando una falsa sensación de seguridad o mostrando vulnerabilidades que en realidad no existen.
Esta opción sería ideal. No obstante, la realización de pruebas puede provocar en casos aislados una caída del sistema o introducir información errónea en la base de datos.
Teniendo esto en cuenta, junto con el profesional que realizará la auditoría se debe evaluar el mejor entorno donde realizar las pruebas.
Usuarios de prueba
Las auditorías de caja negra emularán la actividad de un cibercriminal con la mínima información posible y con los mínimos privilegios posibles.
Las auditorías de caja gris nos permitirán realizar pruebas emulando ser un usuario de la aplicación, ya sea porque el atacante se ha podido registrar como cliente o porque ha obtenido credenciales de acceso de otro usuario.
Independientemente de cual sea la situación, como empresa deberás aportar uno o varios usuarios de prueba para poder abordar este tipo de auditoria. Si los usuarios son proporcionados por un proveedor o por tu equipo IT se deberá solicitar con antelación incluso para evaluar el esfuerzo que costará realizar las pruebas por el equipo auditor.
Web Application Firewall (WAF)
La existencia de WAF (¿Qué es un WAF?) en la aplicación web suele ser un motivo de discordancia entre clientes y auditores. El motivo por el que surge está diferencia de opiniones es porque se recomienda no bloquear con el WAF al equipo auditor durante las pruebas, aunque se detecten ataques. Tras esta afirmación, te voy a contestar a algunas de las cuestiones más frecuentes que he encontrado.
Si deshabilito el WAF y me protegía de ciertos ataques no estás realizando un ataque real.
Efectivamente, no se está realizando un ataque real, se están analizando problemas de seguridad existentes y el WAF debería ser una capa adicional de seguridad para la web, no el parche de un agujero.
Pero entonces, si el WAF me puede tapar los agujeros de seguridad, ¿Para qué voy a realizar una auditoría?
El WAF puede salvarte de ciertos ataques, pero no es una protección infalible. Un atacante puede valerse de diferentes métodos para evadirlo y explotar la vulnerabilidad subyacente.
Entonces, si es posible evadir la protección del WAF, ¿Por qué no se evade en la auditoría?
El objetivo de la auditoría no es intentar evadir mecanismos de seguridad, sino identificar vulnerabilidades. Durante las pruebas, se realizan infinidad de ataques tanto automatizados como manuales para identificarlas y si el auditor es bloqueado temporalmente o definitivamente no podrá realizar todas las pruebas necesarias.
Hay que tener en cuenta, que la auditoría se realiza en un lapso de tiempo determinado y si se pierde tiempo esperando a que se desbloquee, es tiempo perdido en realizar otras pruebas.
Sin embargo, un atacante sin límite de tiempo, podrá estar probando hasta dar con la vulnerabilidad y la forma de evadir el WAF.
Entonces, ¿Para qué tengo el WAF?
El WAF es un mecanismo de protección que va aumentar la seguridad de tu sitio web. Metafóricamente, es como añadir una cerradura adicional a la puerta de tu casa. Si cuentas con la base de la aplicación libre de vulnerabilidades y un buen WAF, la probabilidad de que se materialice un ciberataque es baja.
Proveedor
La elección del proveedor de los servicios de auditoría de seguridad web es decisiva para obtener unos resultados útiles. Te recomiendo que contrates un proveedor cuyos auditores de seguridad tengan certificaciones profesionales que requieran habilidades prácticas para obtenerlas y sean reconocidas en el sector.
En Alfa5, especialistas en ciberseguridad en Zaragoza, nuestros profesionales están certificados profesionalmente y cuentan con la experiencia para entregarte los mejores resultados.