stringtranslate.com

Seguridad de la aplicación

La seguridad de aplicaciones ( AppSec , por sus siglas en inglés ) incluye todas las tareas que introducen un ciclo de vida de desarrollo de software seguro a los equipos de desarrollo. Su objetivo final es mejorar las prácticas de seguridad y, a través de eso, encontrar, solucionar y, preferiblemente, prevenir problemas de seguridad dentro de las aplicaciones. Abarca todo el ciclo de vida de la aplicación, desde el análisis de requisitos, el diseño, la implementación, la verificación y el mantenimiento. [1]

La seguridad de aplicaciones web es una rama de la seguridad de la información que se ocupa específicamente de la seguridad de sitios web , aplicaciones web y servicios web . En un nivel alto, la seguridad de aplicaciones web se basa en los principios de seguridad de aplicaciones, pero los aplica específicamente a Internet y los sistemas web . [2] [3] La seguridad de aplicaciones también se concentra en las aplicaciones móviles y su seguridad, que incluye aplicaciones iOS y Android.

Las herramientas de seguridad de aplicaciones web son herramientas especializadas para trabajar con tráfico HTTP, por ejemplo, firewalls de aplicaciones web .

Aproches

Los distintos enfoques permiten detectar distintos subconjuntos de vulnerabilidades de seguridad que se esconden en una aplicación y son más eficaces en distintos momentos del ciclo de vida del software. Cada uno de ellos implica diferentes compensaciones en términos de tiempo, esfuerzo, coste y vulnerabilidades detectadas.

Amenazas a la seguridad

El proyecto Open Worldwide Application Security Project ( OWASP ) ofrece recursos gratuitos y abiertos. Está dirigido por una organización sin fines de lucro llamada The OWASP Foundation. El OWASP Top 10 - 2017 es el resultado de una investigación reciente basada en datos exhaustivos recopilados de más de 40 organizaciones asociadas. Estos datos revelaron aproximadamente 2,3 millones de vulnerabilidades en más de 50 000 aplicaciones. [4] Según el OWASP Top 10 - 2021, los diez riesgos de seguridad de aplicaciones web más críticos incluyen: [5]

  1. Control de acceso roto
  2. Fallas criptográficas
  3. Inyección
  4. Diseño inseguro
  5. Mala configuración de seguridad
  6. Componentes vulnerables y obsoletos
  7. Fallas de identificación y autenticación
  8. Fallas de integridad de software y datos
  9. Fallas de registro y monitoreo de seguridad*
  10. Falsificación de solicitud del lado del servidor (SSRF)*

Controles de seguridad

Los 10 mejores controles proactivos de OWASP 2024 es una lista de técnicas de seguridad que todo arquitecto y desarrollador de software debe conocer y tener en cuenta.

La lista actual contiene:

  1. Implementar el control de acceso
  2. Utilice la criptografía de la manera adecuada
  3. Validar todas las entradas y manejar excepciones
  4. Abordar la seguridad desde el principio
  5. Configuraciones seguras por defecto
  6. Mantenga sus componentes seguros
  7. Implementar la identidad digital
  8. Aproveche las funciones de seguridad del navegador
  9. Implementar el registro y monitoreo de seguridad
  10. Detener la falsificación de solicitudes del lado del servidor

Herramientas para pruebas de seguridad

Las técnicas de pruebas de seguridad buscan vulnerabilidades o agujeros de seguridad en las aplicaciones. Estas vulnerabilidades dejan las aplicaciones expuestas a la explotación . Lo ideal es que las pruebas de seguridad se implementen a lo largo de todo el ciclo de vida del desarrollo de software (SDLC) para que las vulnerabilidades se puedan abordar de manera oportuna y exhaustiva.

Existen muchos tipos de herramientas automatizadas para identificar vulnerabilidades en aplicaciones. Las categorías de herramientas más comunes que se utilizan para identificar vulnerabilidades en aplicaciones incluyen:

Normas y regulaciones de seguridad

Véase también

Referencias

  1. ^ Happe, Andreas (3 de junio de 2021). "¿Qué es AppSec?". snikt.net .
  2. ^ "Descripción general de la seguridad de las aplicaciones web". 23 de octubre de 2015.
  3. ^ Shuaibu, Bala Musa; Norwawi, Norita Md; Selamat, Mohd Hasan; Al-Alwani, Abdulkareem (17 de enero de 2013). "Revisión sistemática del modelo de desarrollo de seguridad de aplicaciones web". Revisión de inteligencia artificial . 43 (2): 259–276. doi :10.1007/s10462-012-9375-6. ISSN  0269-2821. S2CID  15221613.
  4. ^ Korolov, Maria (27 de abril de 2017). "El último Top 10 de OWASP analiza las API y las aplicaciones web: la nueva lista Top 10 de OWASP ya está disponible y, si bien la mayor parte sigue siendo la misma, hay nuevas incorporaciones que se centran en las aplicaciones web y las API". CSO . ProQuest  1892694046.
  5. ^ "OWASP Top 10 - 2021: Los diez riesgos de seguridad de aplicaciones web más críticos". Proyecto de seguridad de aplicaciones web abiertas . 2021. Consultado el 11 de enero de 2022 .
  6. ^ "Escáneres de vulnerabilidad de aplicaciones web". NIST.
  7. ^ "Pelusa". OWASP.
  8. ^ Williams, Jeff (2 de julio de 2015). "Entiendo SAST y DAST, pero ¿qué es un IAST y por qué es importante?". Contrast Security . Consultado el 10 de abril de 2018 .
  9. ^ Velasco, Roberto (7 de mayo de 2020). "¿Qué es IAST? Todo sobre pruebas de seguridad de aplicaciones interactivas". Hdiv Security . Consultado el 7 de mayo de 2020 .
  10. ^ Abezgauz, Irene (17 de febrero de 2014). «Introducción a las pruebas de seguridad de aplicaciones interactivas». Quotium. Archivado desde el original el 3 de abril de 2018. Consultado el 25 de enero de 2018 .
  11. ^ Rohr, Matthias (26 de noviembre de 2015). "IAST: un nuevo enfoque para las pruebas de seguridad ágiles". Secodis.
  12. ^ "Estándar de verificación de seguridad de aplicaciones OWASP".