Como Sony es la última víctima importante de piratería informática, las grandes organizaciones están presenciando una vez más cómo las violaciones de datos causan graves daños a millones de personas. La prevalencia de la piratería en los medios de comunicación plantea la pregunta: ¿qué hay para el 2015??

En un contexto de ataques XSS más frecuentes y peligrosos, el código de terceros y los complementos que siguen siendo el talón de Aquiles de las aplicaciones web, y los crecientes ataques encadenados, las organizaciones buscarán nuevas formas de proteger sus propiedades en línea.

Desafortunadamente, es bastante difícil hacer predicciones de seguridad de la información, y aún más difícil verificarlas después, solo podemos juzgar la efectividad de la seguridad de la información por el número de incidentes de seguridad pública, ya que la mayoría de las violaciones de datos permanecen sin ser detectadas.

Sin embargo, en este artículo vamos a hacer algunas predicciones de seguridad web basadas en la rentabilidad del sentido común (relación beneficio / costo) para hackers ...

1. Las aplicaciones web vulnerables seguirán siendo la forma más fácil de comprometer a las empresas.

Cuando casi cualquier empresa tiene una o incluso varias aplicaciones web vulnerables, los hackers no se molestarán en lanzar ataques APT complejos y costosos con ataques de día cero. Las compañías continúan subestimando seriamente los riesgos relacionados con sus aplicaciones web y su sitio web. Una pequeña vulnerabilidad, como XSS, puede llevar al compromiso de toda la red local, correos electrónicos y bases de datos de una empresa.

2. XSS se convertirá en un vector de ataques más frecuente y peligroso.

Es muy difícil detectar vulnerabilidades de riesgo alto o crítico en productos web conocidos (por ejemplo, Joomla, WordPress, SharePoint, etc.). Sin embargo, las vulnerabilidades de riesgo bajo y medio, como XSS, todavía aparecerán regularmente. La explotación sofisticada de un XSS puede dar los mismos resultados que una vulnerabilidad de inyección SQL, por lo que los piratas informáticos confiarán en los ataques XSS cada vez más para lograr sus objetivos.

3. El código de terceros y los complementos seguirán siendo el talón de Aquiles de las aplicaciones web.

Si bien el código central de los conocidos sistemas de CMS y otros productos web son bastante seguros hoy en día, el código de terceros, como varios complementos o extensiones, sigue siendo vulnerable incluso ante vulnerabilidades de alto riesgo. La gente tiende a olvidar que un complemento obsoleto o un script de votación de sitios web de terceros pone en peligro toda la aplicación web. Obviamente los hackers no perderán tales oportunidades..

4. Los ataques encadenados y los ataques a través de sitios web de terceros crecerán.

Hoy en día es bastante difícil encontrar una vulnerabilidad crítica en un sitio web conocido. Es mucho más rápido y, por lo tanto, más barato para los piratas informáticos encontrar varias vulnerabilidades de riesgo medio y utilizar una combinación de éstas para obtener acceso completo al sitio web..

Otra tendencia es atacar un sitio web de buena reputación que la víctima visita regularmente. Por ejemplo, cuando se busca un ejecutivo de nivel C, los piratas informáticos pueden comprometer varios sitios web o periódicos financieros de alto perfil e insertar un paquete de explotación que se activará solo para una combinación específica de IP, usuario-agente y cookie de autenticación que pertenezca a la víctima. . Tales ataques son muy difíciles de detectar, ya que solo la víctima puede notar el ataque.

5. Las contraseñas débiles y su reutilización seguirán siendo un problema muy serio

Muchas personas siguen utilizando las mismas contraseñas o similares para todas sus cuentas. Los hackers no pueden perder estas oportunidades y explotar activamente esta debilidad humana. El primer paso del ataque es identificar todos los sitios web o blogs donde la víctima está registrada o tiene una cuenta. El segundo paso es seleccionar el sitio web más débil de la lista y comprometerlo. Las técnicas de cifrado de contraseñas que se usan comúnmente en las aplicaciones web actuales están lejos de ser resistentes, y se puede obtener una contraseña en texto sin formato rápidamente.

Incluso si la víctima usa una contraseña muy segura y está correctamente cifrada en la base de datos. los piratas informáticos solo harán un troyano de la aplicación web para interceptar la contraseña en texto sin formato durante el inicio de sesión. El último paso es probar la contraseña de todas las cuentas y recursos de la víctima.

6. Los errores de lógica de aplicación serán más frecuentes y críticos.

Los ejemplos con AliExpress y Delta Airlines destacan el impacto de las vulnerabilidades de la lógica de la aplicación que son casi indetectables por las soluciones automatizadas. Los desarrolladores web se han dado cuenta de las fallas y el código de las inyecciones de XSS y SQL mucho mejor que antes, sin embargo, se olvidan de las vulnerabilidades de la lógica de la aplicación que pueden ser incluso más peligrosas que las inyecciones de SQL o RCE..

7. Las herramientas y soluciones de seguridad automatizadas ya no serán eficientes

Los firewalls de aplicaciones web, los escáneres de vulnerabilidad web o los servicios de detección de malware ya no serán eficientes si se usan por separado o sin control humano. Tanto las vulnerabilidades web como los ataques web son cada vez más sofisticados y complejos de detectar, y casi siempre es necesaria la intervención humana para detectar adecuadamente todas las vulnerabilidades..

Ya no es suficiente parchar el 90% o incluso el 99% de las vulnerabilidades: los piratas informáticos detectarán la última vulnerabilidad y la utilizarán para comprometer todo el sitio web. Como solución al aumento de nuevas amenazas, High-Tech Bridge lanzó ImmuniWeb el año pasado, un híbrido único que combina de manera eficiente la evaluación de seguridad automatizada con las pruebas de penetración manual..

  • Ilia Kolochenko es CEO de High-Tech Bridge y arquitecta jefe de ImmuniWeb