La mayoría de las empresas ya son conscientes de que un filtro de spam y un programa antivirus no alcanza para protegerse del panorama en constante evolución de las amenazas de ciberseguridad. Sin embargo, saber lo que implica una postura de seguridad integral es mucho menos obvio. La seguridad web completa protege el servidor, la red y el sistema de correo electrónico es un conjunto completo de herramientas para protegerse contra infecciones de malware, violaciones de datos e interrupciones del servicio. Incluye tecnologías avanzadas como un firewall de aplicaciones web e implica pasos proactivos como el análisis de vulnerabilidades.

Pero, ¿qué hacer cuando algo sale mal? Un clic en el correo electrónico incorrecto que conduce a malware o una vulnerabilidad de complemento que conduce a una página web pirateada significa que las medidas preventivas no son suficientes. Para minimizar el daño causado por una brecha de seguridad, se debe adoptar una postura de seguridad web proactiva con anticipación, incluidos los servicios y herramientas para la mitigación, y un plan de recuperación ante desastres.

Una parte importante, pero a menudo pasada por alto, de la protección integral de la ciberseguridad es un servicio de remediación. Nunca hay tiempo durante un incidente de ciberseguridad para buscar una herramienta de eliminación de malware efectiva, por ejemplo.

La preparación organizativa es otra parte importante de una postura de ciberseguridad completa y proactiva. Eso significa tener las herramientas adecuadas, pero también mantener un umbral mínimo de conciencia de amenazas. Para ayudarlo con esa conciencia, considere la siguiente lista de los cinco principales problemas de seguridad web más comunes que enfrentan las empresas y cómo solucionarlos.

1. Código de inyección

Los hackers a veces pueden explotar vulnerabilidades en aplicaciones para insertar código malicioso. A menudo, la vulnerabilidad se encuentra en un campo de entrada de texto de los usuarios, como un nombre de usuario, donde se ingresa una declaración SQL, que se ejecuta en la base de datos, en lo que se conoce como un ataque de inyección SQL. Otros tipos de ataques de inyección de código incluyen inyección de shell, ataques de comando del sistema operativo, inyección de script y ataques de evaluación dinámica.

Los ataques de este tipo pueden llevar a credenciales robadas, datos destruidos o incluso a la pérdida de control sobre el servidor. También son sorprendentemente comunes, ya que la Fundación OWASP (Open Web Application Security Project) clasifica la inyección de código en primer lugar en sus 10 principales riesgos de seguridad de aplicaciones.

Hay dos formas de evitar la inyección de código: evitar el código vulnerable y filtrar la entrada. Las aplicaciones pueden protegerse contra el código vulnerable al mantener los datos separados de los comandos y las consultas, como al usar una API segura con consultas parametrizadas. Las empresas también deben usar la validación de entrada y observar el principio de privilegio mínimo, aplicando controles como la función LÍMITE SQL para reducir el daño de un ataque exitoso. Un Firewall de aplicación web (WAF) que actualiza una base de datos de amenazas en tiempo real es la única forma efectiva de filtrar la entrada de la aplicación para proteger contra la inyección de código.

2. Violación de datos

El costo de las violaciones de datos está bien documentado. A menudo son causadas por credenciales comprometidas, pero el rango de otras causas comunes incluye configuraciones erróneas de software, hardware perdido o malware (más sobre esto más adelante). El Índice de nivel de incumplimiento indica que hubo 944 violaciones de datos conocidas en el primer semestre de 2018 y casi 2,000 en 2017.

La prevención de violación de datos requiere una serie de buenas prácticas. El tráfico y las transacciones del sitio se deben cifrar con SSL, los permisos se deben establecer cuidadosamente para cada grupo de usuarios y los servidores se deben escanear. Los empleados deben recibir capacitación sobre cómo evitar ser atrapados por ataques de suplantación de identidad (phishing) y cómo practicar una buena higiene de contraseñas. El principio del privilegio mínimo es también digno de mención aquí.

En el caso de que su empresa descubra una posible violación de datos, puede enfrentar requisitos legales o de cumplimiento para notificar a los clientes o a las autoridades reguladoras. Los requisitos y estrategias de divulgación deben determinarse con anticipación para que la mayor cantidad de recursos de la organización pueda dedicarse a garantizar que no se roben más datos, así como a reparar el daño causado. Una vez que se haya bloqueado el vector de ataque, se debe realizar una investigación exhaustiva de incidentes y se debe escanear la red para asegurarse de que se hayan identificado y cerrado todas las vulnerabilidades.

3. Infección de malware

La mayoría de las empresas son conscientes de la amenaza a la seguridad que presenta el malware, pero muchas personas no saben que el correo electrónico no deseado sigue siendo el principal vector de los ataques de malware. Según el informe sobre el estado de la ciberseguridad en pequeñas y medianas empresas (SMB) de Ponemon Institute de 2017, el 36 por ciento de las pymes experimentaron ataques de malware ese año.

Debido a que el malware proviene de una variedad de fuentes, se necesitan varias herramientas diferentes para prevenir la infección. Un sistema robusto de escaneo y filtrado de correo electrónico es necesario, al igual que el malware y los análisis de vulnerabilidad. Al igual que las violaciones, que a menudo son causadas por una infección de malware, la educación de los empleados es vital para mantener a las empresas a salvo del malware.

Cualquier dispositivo o sistema infectado con malware debe limpiarse minuciosamente, lo que significa identificar las partes ocultas del código y eliminar todos los archivos infectados antes de que se repliquen. Esto es prácticamente imposible a mano, por lo que requiere una herramienta automatizada eficaz.

4. Ataque distribuido de denegación de servicio

Un ataque de denegación de servicio distribuido (DDoS, Distributed Denial of Service, DDoS) generalmente involucra a un grupo de computadoras que un pirata informático utiliza para atacar el tráfico.

Un informe de NETSCAPE Arbor sugirió que hubo 7.5 millones de ataques DDoS en 2017, por lo que si bien muchos proveedores de servicios de IT se enfocan en ellos, aún son más frecuentes de lo que muchas personas creen. Uno de los aspectos más preocupantes de los ataques DDoS para las empresas es que, sin siquiera ser objetivo, la empresa puede verse afectada simplemente por el uso del mismo servidor, el proveedor de servicios o incluso la infraestructura de red.

Si su empresa se ve envuelta en un ataque DDoS, ponga en práctica su plan de recuperación de desastres y comuníquese con los empleados y clientes sobre la interrupción. Una herramienta de seguridad como un WAF se usa para cerrar el puerto o el protocolo que se está saturando, en un proceso que probablemente tendrá que repetirse a medida que los atacantes ajustan sus tácticas.

En última instancia, el servicio se restaura mejor con una red de distribución de contenido (CDN) como CloudFlare, que puede absorber un impacto enorme al identificar y luego filtrar el tráfico malicioso. Asegúrese de buscar también la protección contra DDoS con monitoreo en tiempo real para la mitigación integral de los ataques.

5. Maliciosos internos

Esta última amenaza es incómoda de pensar, pero lo suficientemente común como para requerir una seria consideración, ya que el informe de CERT sobre el estado de los delitos cibernéticos de los EE. UU. De 2017 muestra que uno de cada cinco ataques son cometidos por personas internas.

Prevenir el daño de los ataques internos es, en gran medida, limitar la cantidad de acceso que tiene un interno malicioso. Esto significa establecer políticas de control de acceso lógico para implementar el principio de privilegio mínimo (pero usted ya tiene eso cubierto, ¿no?) Y monitorear la red con registros de auditoría y transacciones.

Si se detecta un ataque interno malicioso, los privilegios de acceso del interno se deben revocar inmediatamente. Una vez hecho esto, se debe contactar a la policía para evitar que esa persona realice acciones adicionales que podrían dañar el negocio, como la venta de datos robados.

Conclusión

Parte del desafío para la ciberseguridad empresarial es mantener y utilizar el conjunto completo de herramientas necesarias para mantenerse al día con el cambiante panorama de amenazas. A medida que evolucionan las redes de bots de IoT, el cifrado de malware y otras amenazas emergentes, es cada vez menos realista que las organizaciones se mantengan al tanto de todas. Sin embargo, estar preparado sigue siendo sumamente importante para mantener las operaciones comerciales y la productividad. Al seleccionar un servicio integral y proactivo de seguridad y remediación, y planificar con anticipación, puede estar razonablemente seguro de que su negocio enfrentará cualquier desafío de seguridad que pueda enfrentar.