Qué hemos presentado en el Security Day 2016 (III): Virtual Patching con Vamps, Faast & Fortinet

jueves, 16 de junio de 2016

Muchas organizaciones realizan revisiones puntuales de seguridad, obteniendo como resultado más probable un informe con evidencias que demuestren que ha sido posible acceder a los sistemas de información y se aporte unas recomendaciones sobre como mitigar las vulnerabilidades detectadas. Este informe parece el fin mismo del proceso, limitándose únicamente a la detección de vulnerabilidades, y no en la corrección de las mismas y que en muchas ocasiones solo se actúa sobre las que tienen un nivel de severidad.



Se actúa de esta forma fundamentalmente debido al coste que supone la propia gestión de la corrección de las vulnerabilidades: verificar la vulnerabilidad, abrir solicitudes de soporte a las áreas responsables, esperar el cierre de la solicitud y comprobar que la vulnerabilidad no es explotable. De este modo, ciertas debilidades de severidad baja, no son prioritarias en el proceso de corrección y en ocasiones no están siendo mitigadas. Si bien estas debilidades no suponen unos riesgos elevados por si solas, la combinación de varias podría poner en riesgo la organización.

Con el objetivo de poder reducir el tiempo de exposición de las debilidades detectadas, se puede emplear una estrategia de Virtual Patching como la que incorpora el servicio Vamps.

Virtual Patching, no es un término específico de aplicaciones web, y puede ser aplicado a otros protocolos sin embargo actualmente se utiliza de manera más general como un término para Web Application Firewalls (WAF), fundamentalmente por ser este tipo de aplicaciones las que generalmente se encuentran expuestas en Internet y suponen uno de los principales vectores de ataque.


Como paso inicial de esta estrategia de Virtual Patching, se ubica delante de nuestras aplicaciones web un sistema WAF, el cual es capaz de analizar las peticiones que reciben las aplicaciones e interceptar el tráfico malicioso, bloqueando los intentos de la explotación de vulnerabilidades y debilidades. De este modo se consigue reducir el tiempo de exposición de las vulnerabilidades ya que mientras que el código fuente o la configuración de la aplicación no han sido modificados, la mitigación de la vulnerabilidad está siendo realizada y no es explotable.

Los sistemas WAF son muy efectivos en el bloqueo de ataques Web como SQL-Injection o Cross-Site Scripting, aunque puede que existan “corner cases” en los que el WAF no aplique una protección o que para ciertas debilidades no disponga de una protección por defecto. Una práctica recomendable es lanzar un proceso Pentesting Persistente para la identificación de vulnerabilidades de forma continuada en el tiempo y comprobar si vulnerabilidades previamente reportadas ya no son explotables.

En este proceso, las nuevas vulnerabilidades descubiertas, se verifican por un equipo experto que descarta posibles falsos positivos que pudieran bloquear tráfico legítimo.

Una vez se dispone del conjunto de vulnerabilidades descubiertas, se gestiona la corrección de las mismas y que generalmente conlleva bastante esfuerzo, al tener que enviar a las diferentes áreas responsables y esperar a la aplicación del parche.


Sin embargo, para lograr una mitigación ágil, lo mas sencillo es seleccionar un conjunto de vulnerabilidades y enviarlas a un sistema WAF, en el que se combinan los patrones de ataque de las vulnerabilidades encontradas con el perfil de protección, aumentando la efectividad de protección frente a los ataques identificados.

Por último, y no menos importante, es necesario volver a lanzar un análisis de seguridad para asegurar que la protección WAF es consistente y protege frente a los patrones de ataque identificados. Con el Pentesting Persistente al ser continuo, la protección del WAF es evaluada tan pronto se aplica la política, logrando una reducción drástica del tiempo de exposición de las vulnerabilidades y debilidades detectadas.

Próximamente iremos publicando el resto de la serie. ya podeis ver los en vídeo en el canal de YouTube del Security Day 2016 todas las veces que queráis. Si además, quieres o necesitas más información sobre alguno de nuestros productos no dudes en ponerte en contacto con nosotros vía el formulario de la web de ElevenPaths.

Os esperamos de nuevo en nuestro evento anual de innovación y seguridad. No te pierdas la cuarta edición del Security Innovation Day, que celebraremos el próximo 6 de octubre en el Auditorio Central de Telefónica. Apúntate esa fecha en el calendario, ¡no te lo puedes perder!

*También te puede interesar:
Security Day 2016_Security Evolution
ElevenPaths anunciamos nuestras nuevas alianzas estratégicas en nuestro III Security Day
ElevenPaths announced its new strategic alliances in the third Security Day
Qué hemos presentado en el Security Day 2016 (I)
Qué hemos presentado en el Security Day 2016 (II): “Unidos somos más fuertes”
Qué hemos presentado en el Security Day 2016 (III): Virtual Patching con Vamps, Faast & Fortinet
Qué hemos presentado en el Security Day 2016 (IV): MetaShield Protector para Outlook Online en Office 365
Qué hemos presentado en el Security Day 2016 (V): SandaS
Qué hemos presentado en el Security Day 2016 (VI): SandaS GRC

Víctor Mundilla

1 comentario:

  1. Con el objetivo de poder reducir el tiempo de exposición de las debilidades detectadas, se puede emplear una estrategia de Virtual Patching como la que incorpora el servicio Vamps.

    sua nha dep | tam chong am khoi | da hoa cuong | unionshirts | gearlaunch | teespring | teechip | sunfrogshirts | snorgtees | bonfire funds | promopays | shirt elephant | diversethreads | viralstyle | teezily

    ResponderEliminar