CIS Control 16: Seguridad del software de aplicación

Los entornos de TI modernos suelen incluir una amplia gama de aplicaciones: software desarrollado internamente, plataformas de software alojado, herramientas de código abierto y soluciones compradas. Debido a que estas aplicaciones acceden a sistemas sensibles, datos y otros activos de TI, los ciberdelincuentes están ansiosos por explotarlas durante los ataques.

CIS Control 16 ofrece controles de seguridad de software de aplicaciones para fortalecer la postura de seguridad de su organización. Esta publicación de blog explica cómo la implementación de estos controles CIS puede ayudarle a reducir el riesgo de errores de codificación, autenticación débil, diseño inseguro, infraestructura insegura y otras vulnerabilidades que los atacantes utilizan para acceder a datos sensibles y sistemas.

Tenga en cuenta que antes de la CIS Controles de Seguridad Críticos Versión 8, el tema de cómo asegurar las aplicaciones estaba cubierto por el CIS Control 18.

16.1. Establecer y mantener un proceso de desarrollo de aplicaciones seguro

El primer paso es establecer un proceso de desarrollo de aplicaciones seguro que aborde prácticas de codificación segura, estándares y procedimientos de diseño de aplicaciones seguras, y la seguridad del código de terceros. Asegúrese también de proporcionar formación sobre este proceso a todos los involucrados en el ciclo de vida de la aplicación, incluyendo a los equipos de desarrollo y los grupos de implementación. El objetivo es crear una cultura de conciencia de ciberseguridad en la que todos comprendan sus prácticas de seguridad y trabajen activamente para minimizar su exposición al riesgo.

Este enfoque también mejorará el cumplimiento de su organización con las regulaciones de la industria, mandatos legales y requisitos de gobernanza interna.

16.2. Establecer y mantener un proceso para aceptar y abordar las vulnerabilidades del software

También necesita un proceso de gestión de vulnerabilidades robusto para aceptar y abordar las vulnerabilidades del software. Realice evaluaciones de riesgo regulares para descubrir brechas en la seguridad de su red y cree procesos que faciliten a los miembros del equipo la presentación de problemas de seguridad siempre que se descubran, incluyendo durante la respuesta a incidentes.

Asegúrese de asignar un rol responsable de manejar los informes de vulnerabilidad y monitorear el proceso de remediación, y considere invertir en un sistema de seguimiento de vulnerabilidades.

16.3. Realice un análisis de causa raíz en las vulnerabilidades de seguridad

Para mitigar una vulnerabilidad de seguridad, es esencial comprender los problemas subyacentes mediante un análisis de causa raíz. Además de ayudarte a abordar vulnerabilidades específicas, el análisis de causa raíz también te ayuda a definir líneas base de configuración segura que fortalecen tu postura de seguridad y cumplimiento.

16.4. Establecer y gestionar un inventario de componentes de software de terceros

Cree un inventario de componentes de software de terceros, incluyendo aquellos que su equipo utiliza durante el desarrollo y cualquier otro previsto para uso futuro. Considere y documente los riesgos que estos componentes de software representan para sus aplicaciones, y mantenga su inventario debidamente gestionado identificando y registrando cualquier cambio o actualización.

16.5. Utilice componentes de software de terceros actualizados y confiables

Utilice software y bibliotecas establecidos y probados siempre que sea posible. Busque fuentes confiables para estos componentes y evalúe el software en busca de vulnerabilidades antes de usarlo.

Asegúrese de que todos los componentes de software de terceros cuenten con soporte continuo de los desarrolladores; deshabilite o elimine aquellos que no lo tengan. Utilizar activos de software que continúan recibiendo actualizaciones de seguridad ayuda a minimizar su exposición al riesgo. Asegúrese de usar solo fuentes confiables y verificadas para estas actualizaciones. Por supuesto, necesita asegurarse de instalar las actualizaciones de manera oportuna para mantener la integridad de sus sistemas y dispositivos.

16.6. Establecer y mantener un sistema y proceso de clasificación de severidad para las vulnerabilidades de las aplicaciones

Calificar la gravedad de las vulnerabilidades de las aplicaciones te ayuda a priorizar la remediación de riesgos. Consejo profesional: Al diseñar tu sistema de calificación, asegúrate de incluir qué tan crítica es la aplicación y la vulnerabilidad para tus procesos de negocio. También considera establecer un nivel mínimo de aceptabilidad de seguridad para tus aplicaciones.

16.7. Utilice plantillas de configuración de endurecimiento estándar para la infraestructura de aplicaciones

Utilizar plantillas recomendadas por la industria para configurar sus servidores, bases de datos y componentes SaaS y PaaS le ayuda a asegurar configuraciones seguras que mitigan vulnerabilidades y mejoran la higiene cibernética.

16.8. Separe los sistemas de producción y no producción

Cree y mantenga entornos separados para sus sistemas de producción y los sistemas no productivos utilizados para desarrollo y pruebas. Monitoree toda interacción con sus entornos de producción para evitar que el personal no autorizado acceda a ellos.

Además del monitoreo de actividades, proteja sus entornos de TI con una gestión efectiva de cuentas. Otorgue a las cuentas de usuario únicamente los permisos que necesitan y minimice los privilegios administrativos. Se pueden implementar medidas adicionales de protección de datos en entornos de Microsoft Active Directory utilizando Group Policy.

16.9. Capacitar a los desarrolladores en conceptos de seguridad de aplicaciones y codificación segura

Tus desarrolladores necesitan capacitación en escritura de código seguro. Las sesiones de capacitación son más efectivas cuando se adaptan a los entornos y responsabilidades específicos del grupo. La capacitación debe incluir prácticas estándar de seguridad de aplicaciones y principios generales de seguridad, y buscar aumentar la conciencia sobre la seguridad. El SANS Institute es un excelente recurso para aprender sobre seguridad de la información y ciberseguridad.

Invertir en escribir código seguro puede ahorrarle dinero al reducir el esfuerzo necesario para la detección y remediación de vulnerabilidades.

16.10. Aplique principios de diseño seguro en arquitecturas de aplicaciones

Los principios de diseño seguro incluyen la pauta de “nunca confiar en la entrada del usuario”, lo que implica validar todas las operaciones del usuario y la comprobación explícita de errores.

El diseño seguro también implica minimizar la superficie de ataque de la infraestructura de su aplicación. Por ejemplo, sus equipos pueden eliminar programas innecesarios, renombrar o eliminar cuentas predeterminadas y desactivar servicios y puertos no protegidos.

16.11. Aproveche módulos o servicios comprobados para componentes de seguridad de aplicaciones

Los módulos o servicios evaluados para componentes de seguridad de aplicaciones están disponibles para Identity Management, cifrado, auditoría y registro. Utilizarlos puede reducir los errores de implementación y diseño y minimizar la carga de trabajo de los desarrolladores.

Por ejemplo, el uso de sistemas operativos modernos ayuda a garantizar una identificación, autenticación y autorización efectivas de aplicaciones, así como la creación de registros de auditoría seguros. Utilizar solo algoritmos de cifrado estándar que han sido ampliamente revisados reduce el riesgo de fallos que pueden comprometer sus sistemas.

16.12. Implementar controles de seguridad a nivel de código

Utilice herramientas de análisis estático y dinámico para ayudar a asegurar que sus desarrolladores sigan prácticas de codificación seguras probando errores. Investigue las herramientas disponibles para encontrar aquellas que funcionarán efectivamente para su código.

16.13. Realizar pruebas de penetración de aplicaciones

Las pruebas de penetración pueden ayudarlo a descubrir vulnerabilidades en sus aplicaciones que pueden pasarse por alto durante las revisiones de código y el escaneo automático de código. El objetivo de las pruebas en este componente en CIS CSC 16 es identificar debilidades, incluyendo brechas de seguridad en internet, y evaluar la resiliencia de la ciberseguridad del entorno de su aplicación y los mecanismos de defensa.

Tenga en cuenta que la eficacia de las pruebas de penetración depende de las habilidades del evaluador.

16.14. Realizar modelado de amenazas

En la modelación de amenazas, desarrolladores especialmente capacitados evalúan el diseño de una aplicación con un enfoque en los riesgos de seguridad en cada nivel de acceso o punto de entrada, antes de comenzar la codificación. Mapear tus aplicaciones, arquitecturas e infraestructuras de manera estructurada te ayuda a comprender mejor las debilidades para que puedas mejorar tus defensas cibernéticas y proteger tus datos contra el acceso no autorizado, el robo o la destrucción.