¿Cumple su IA con la normativa? Regístrese hoy

Empresa

Por qué me uní a Salt Security

October 31, 2019

Adam FisherAdam Fisher

Imagina que una noche estás en ICQ y ves a este tipo entrando en tu sala de chat. Al poco tiempo, los dos empezáis a discutir como un par de colegialas y el "tipo" dice que te va a "quemar", así que le desafías a que lo intente.

De repente, tu super genial equipo con Windows 95 se bloquea, dejándote con la pantalla azul de la muerte. "¡¿Qué demonios?!" sale de tus labios quemados.

Image result for blue screen of death windows 95

Entonces, ¿qué le pasó a tu ordenador? ¿Se bloqueó tu equipo por culpa de ese otro "lamer"? ¿Cómo provocó esa pantalla azul? Aunque la BSoD era una imagen demasiado común, el momento era demasiado perfecto para pensar que no había sido él.

Image result for winnukev95

Esta fue mi primera experiencia con la Ciberseguridad. Tener poder sobre alguien al otro lado del mundo, todo ello cómodamente sentado detrás de un teclado, era emocionante. Quise saber más, y así entré en el maravilloso mundo de la Ciberseguridad y nunca miré atrás.

Desde mis inicios, la Ciberseguridad ha crecido bastante. He visto muchas facetas, desde soluciones de autenticación Unix y Active Directory, hasta la gestión de proyectos de Gestión Global de Identidades para empresas de la lista Fortune 100, y pasar noches en vela con clientes bajo ataques avanzados a aplicaciones por parte de estados-nación.

Cómo he visto evolucionar el mercado

A lo largo de la historia, la seguridad se basaba en el muro en el límite de tu castillo y en lo grande que pudieras construirlo. Cuanto más alto y ancho era el muro, más seguro estabas. Sin embargo, había una puerta para que otros pudieran visitarte y hacer negocios. Así, los atacantes se centraban en las puertas porque ahí estaban los puntos débiles. Los tiempos cambiaron y, en los inicios del mundo de la tecnología, la clave era el tamaño de tu firewall perimetral para proteger tu negocio.

Y ahora las aplicaciones han creado los agujeros en tu firewall. Tan pronto como se despliega un firewall perimetral, se abren los puertos 80 y 443. Hoy en día, no solo tus empleados y socios preferentes necesitan acceso a las aplicaciones, sino que los clientes también necesitan acceso a tus aplicaciones y datos, y sus navegadores deben tener permiso para entrar.

Con cada vez más aplicaciones y más datos compartiéndose, necesitábamos una forma de inspeccionar a los visitantes que entraban por nuestro perímetro para asegurarnos de que estábamos a salvo. Esto llevó a la aparición de los Web Application Firewalls (WAFs), una especie de nuevo guardián que examina más a fondo el tráfico web y busca contenido malicioso antes de permitir su paso.

A medida que las aplicaciones web se hicieron más frecuentes, el WAF se convirtió en un componente necesario de tu pila de seguridad. Sin este guardián, sería cuestión de minutos que una aplicación desprotegida fuera descubierta y atacada.

Los WAFs se han vuelto muy buenos utilizando firmas para identificar y detener tipos de ataques conocidos como la inyección SQL (SQLi), el cross-site scripting (XSS) y la falsificación de solicitudes entre sitios (CSRF). Además, la mayoría de los WAFs ahora ofrecen políticas de limitación de velocidad (Rate Limiting) para mantener tus aplicaciones protegidas de ataques de denegación de servicio distribuido (DDoS).

Sin embargo, en el interminable juego del gato y el ratón, a medida que las soluciones han evolucionado para proteger nuestras aplicaciones, los atacantes también han evolucionado para eludirlas y encontrar nuevas formas de entrar en tu entorno. Hoy en día, un atacante moderadamente sofisticado puede evitar la detección con facilidad. Pueden usar proxies y redes de bots para atacar desde países específicos y múltiples direcciones IP para ocultar su presencia.

La diferencia más significativa hoy es que las aplicaciones ya no son las mismas. En el pasado, cada página en la que hacías clic o cada actualización de página recargaba la página desde el servidor web. Todo el trabajo pesado y la mayoría de las vulnerabilidades que los atacantes atacarían estaban en el centro de datos. Hoy, con millones de visitantes y cientos de millones de solicitudes (sin mencionar nuestra decreciente capacidad de atención), los desarrolladores de aplicaciones necesitan una forma de presentar los datos más rápido sin tener que volver al centro de datos para obtener la página completa en cada solicitud.

Para resolver estos nuevos requisitos, los desarrolladores de aplicaciones han recurrido a frameworks modernos de JavaScript para frontend como React, y ahora las aplicaciones se construyen como una aplicación de una sola página (SPA). Con las SPAs, solo cargas el código de la aplicación (HTML, CSS, JavaScript) una vez, y cuando interactúas con la aplicación, JavaScript intercepta los eventos del navegador, y en lugar de hacer una nueva solicitud al servidor, el cliente solicita JSON. Esto permite que la página que ve el usuario permanezca intacta mientras solo los datos necesarios se recuperan y actualizan en el navegador.

El hecho de que siga usando un navegador para visitar un sitio web no significa que el sitio responda con HTML heredado. Con este cambio, las vulnerabilidades y el enfoque de los atacantes también se han desplazado.

Por qué Salt Security

A medida que he trabajado con diversas industrias y clientes, he notado una tendencia. Las aplicaciones se volvieron más impulsadas por API, y las plataformas móviles se desarrollaron primero antes que el navegador. Esto llevó a algunas brechas de seguridad enormes en la pila de seguridad de aplicaciones tradicional. Brechas que los WAFs no hicieron mucho por tapar.

Los WAF dependen de la clasificación de clientes para reducir los falsos positivos. Esto requiere la inyección de cookies y javascript para leer la telemetría del navegador. Los CAPTCHA fueron un último recurso en muchos casos para prevenir ataques a aplicaciones, lo que proporciona una experiencia negativa para sus usuarios.

Image result for worst CAPTCHA

El uso extendido de las API en las aplicaciones impide el uso de estas características de seguridad críticas, y mis clientes experimentaron un aumento en los ataques y una mayor dificultad para detectar tráfico malicioso.

Me di cuenta de que se necesitaba una nueva forma de seguridad de aplicaciones específicamente para resolver el problema de las API. Los WAF y las firmas no pueden identificar ataques a API porque esas API son únicas para cada organización y cada aplicación. Un conjunto estándar de firmas y políticas no funcionará de un cliente a otro. Las API en el centro de las aplicaciones actuales son tan complejas y únicas como los entornos a los que se conectan, y los atacantes se aprovechan de esto buscando vulnerabilidades en la lógica única de cada API.

Al mirar más allá del WAF, llegué a Salt Security, la única solución de seguridad de API patentada que adopta un enfoque de seguridad basado en el comportamiento para proteger las aplicaciones web modernas. Salt utiliza luego la elaboración de perfiles de aplicaciones para proporcionar una comprensión clara de cómo los usuarios interactúan con sus API y cómo se comportan normalmente esos usuarios. Salt añade luego la Clasificación de Datos para determinar el riesgo general del comportamiento de ese usuario y correlaciona esa actividad en una única alerta. Algo bastante potente.

Más específicamente, esto significa que Salt Security comprende la lógica única de cada API a un nivel granular para identificar comportamientos potencialmente maliciosos y detener ataques. Aún mejor, no requiere configuración ni el mantenimiento (es decir, actualizaciones) que podría asociar con sus soluciones de seguridad actuales.

Las aplicaciones web modernas requieren una solución de seguridad moderna. Es hora de que añada un poco de Salt a su pila de seguridad y proteja su empresa. Estoy muy emocionado de ser parte del equipo de Salt Security y espero con ansias hablar más sobre nuestro enfoque para proteger las aplicaciones modernas.

Si desea ver la Plataforma de Protección de API de Salt Security en acción, contáctenos para una demostración personalizada hoy mismo!

Blog de seguridad de Salt

Suscríbase al boletín de Salt para obtener los últimos recursos y publicaciones del blog.

Nuestras últimas publicaciones