4 consejos para preparar una auditoría de seguridad web

Pasos para realizar una auditoría de seguridad web

Las auditorías de seguridad web, al igual que cualquier proyecto, requieren que estés preparado para abordarlo de la manera más eficaz y con el mínimo perjuicio para la empresa.

Por lo tanto, vamos a comentar los puntos más importantes que normalmente vas a tener que abordar a lo largo de la contratación de la auditoría web.

Entorno de trabajo
Usuarios de prueba
Web Application Firewall
Proveedor

Entorno de trabajo

Es frecuente y recomendable que las empresas cuenten con un entorno de preproducción, en el cual, prueban y testean nuevos desarrollos y cambios antes de subirlos a producción y el entorno de producción real al que se conectan los usuarios.

Para realizar la auditoría de seguridad se realizaría de forma preferente en el entorno de producción debido a que es la versión definitiva que va a sufrir los ciberataques. En cambio, el entorno de preproducción puede tener desde diferencias sutiles hasta grandes cambios que pueden afectar a los resultados de la auditoría dando una falsa sensación de seguridad o mostrando vulnerabilidades que en realidad no existen.

Esta opción sería ideal. No obstante, la realización de pruebas puede provocar en casos aislados una caída del sistema o introducir información errónea en la base de datos.

Teniendo esto en cuenta, junto con el profesional que realizará la auditoría se debe evaluar el mejor entorno donde realizar las pruebas.

Usuarios de prueba

Las auditorías de caja negra emularán la actividad de un cibercriminal con la mínima información posible y con los mínimos privilegios posibles.

Las auditorías de caja gris nos permitirán realizar pruebas emulando ser un usuario de la aplicación, ya sea porque el atacante se ha podido registrar como cliente o porque ha obtenido credenciales de acceso de otro usuario.

Independientemente de cual sea la situación, como empresa deberás aportar uno o varios usuarios de prueba para poder abordar este tipo de auditoria. Si los usuarios son proporcionados por un proveedor o por tu equipo IT se deberá solicitar con antelación incluso para evaluar el esfuerzo que costará realizar las pruebas por el equipo auditor.

Web Application Firewall (WAF)

La existencia de WAF (¿Qué es un WAF?) en la aplicación web suele ser un motivo de discordancia entre clientes y auditores. El motivo por el que surge está diferencia de opiniones es porque se recomienda no bloquear con el WAF al equipo auditor durante las pruebas, aunque se detecten ataques. Tras esta afirmación, te voy a contestar a algunas de las cuestiones más frecuentes que he encontrado.

Si deshabilito el WAF y me protegía de ciertos ataques no estás realizando un ataque real.

Efectivamente, no se está realizando un ataque real, se están analizando problemas de seguridad existentes y el WAF debería ser una capa adicional de seguridad para la web, no el parche de un agujero.

Pero entonces, si el WAF me puede tapar los agujeros de seguridad, ¿Para qué voy a realizar una auditoría?

El WAF puede salvarte de ciertos ataques, pero no es una protección infalible. Un atacante puede valerse de diferentes métodos para evadirlo y explotar la vulnerabilidad subyacente.

Entonces, si es posible evadir la protección del WAF, ¿Por qué no se evade en la auditoría?

El objetivo de la auditoría no es intentar evadir mecanismos de seguridad, sino identificar vulnerabilidades. Durante las pruebas, se realizan infinidad de ataques tanto automatizados como manuales para identificarlas y si el auditor es bloqueado temporalmente o definitivamente no podrá realizar todas las pruebas necesarias.

Hay que tener en cuenta, que la auditoría se realiza en un lapso de tiempo determinado y si se pierde tiempo esperando a que se desbloquee, es tiempo perdido en realizar otras pruebas.

Sin embargo, un atacante sin límite de tiempo, podrá estar probando hasta dar con la vulnerabilidad y la forma de evadir el WAF.

Entonces, ¿Para qué tengo el WAF?

El WAF es un mecanismo de protección que va aumentar la seguridad de tu sitio web. Metafóricamente, es como añadir una cerradura adicional a la puerta de tu casa. Si cuentas con la base de la aplicación libre de vulnerabilidades y un buen WAF, la probabilidad de que se materialice un ciberataque es baja.

Proveedor

La elección del proveedor de los servicios de auditoría de seguridad web es decisiva para obtener unos resultados útiles. Te recomiendo que contrates un proveedor cuyos auditores de seguridad tengan certificaciones profesionales que requieran habilidades prácticas para obtenerlas y sean reconocidas en el sector.

En Alfa5, especialistas en ciberseguridad en Zaragoza, nuestros profesionales están certificados profesionalmente y cuentan con la experiencia para entregarte los mejores resultados.

Entradas recientes

Cuéntanos tu situación

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.