Según el último Informe Global sobre Amenazas de CrowdStrike, las intrusiones en la nube han aumentado un 75 % en el último año y el 75 % de los ataques para lograr un acceso inicial estaban libres de malware. En este contexto de aumento de amenazas de ciberseguridad y ante la escasez de perfiles las empresas pueden verse en la necesidad de hacer un informe de análisis de vulnerabilidades de apps y proyectos TIC sin ser auditor.
Pero ¿cuándo realizar el informe de seguridad?, ¿qué fases tiene el proceso?, ¿qué herramientas puedo utilizar?, ¿qué apartados debería incluir un informe de seguridad?… son algunas dudas que surgen y que desde la tecnológica Paradigma Digital tratan de aclarar en el ebook “informe de seguridad”.
“El momento más interesante para realizar este tipo de informes es justo al terminar el despliegue del proyecto y antes de ponerlo en producción”, advierte Alba García de Paradigma Digital, que recuerda que para comprender y mitigar los riesgos particulares de seguridad asociados al desarrollo de una aplicación o proyecto tecnológico es clave contar con al menos cuatro aspectos o fases en este proceso:
1. Disponer de un inventario de los componentes del proyecto a analizar: endpoints, infraestructura y servicios que conforman la plataforma a evaluar.
2. Ejecución de las herramientas de análisis de vulnerabilidades
3. Revisión de los informes generados por las herramientas de análisis
4. Redacción del informe de seguridad con las conclusiones obtenidas
La fase de revisión y análisis de los informes generados por las herramientas es una de las más importantes en este proceso según García “las herramientas de análisis generan muchísima información y es necesario un análisis y estudio posterior de esta información para filtrar, estudiar y revisar las vulnerabilidades que dichas herramientas reportan.”
Cuatro herramientas de análisis de vulnerabilidades
Entre las herramientas gratuitas para el análisis de vulnerabilidades los expertos de Paradigma recomiendan las siguientes:
1. Kics: permite el análisis de código de la infraestructura desplegada usando: Terraform, ficheros de configuración de K8s, Dockerfiles o Docker-compose, ficheros de CloudFormation (AWS) y playbooks o roles de Ansible. Kics se centra en la búsqueda de vulnerabilidades de seguridad, problemas de conformidad y errores de configuración de la infraestructura del código.
2. MobSF: facilita la evaluación de seguridad, análisis de malware y pruebas de pen-testing de aplicaciones móviles (Android/iOS/Windows) de manera automatizada.
3. OpenVAS: ofrece un escaneo de vulnerabilidades de la infraestructura de las soluciones evaluadas. Entre sus capacidades se incluyen: pruebas autenticadas y no autenticadas, uso de protocolos industriales y de Internet de alto y bajo nivel y ajuste de rendimiento para exploraciones a gran escala, entre otros.
4. ZAP: proporciona pruebas de pentesting de manera gratuita. Está diseñada para probar aplicaciones web y es flexible y extensible. Actúa como un “proxy man-in-the-middle”, situándose entre el navegador de la persona que realiza la prueba y la aplicación web, de modo que puede interceptar e inspeccionar los mensajes enviados entre el navegador y la aplicación web, modificar el contenido si es necesario y reenviar esos paquetes al destino.
Además del uso de estas herramientas para la auditoría, Alba García de Paradigma Digital destaca los tres elementos mínimos que debería incluir un informe de seguridad:
1. Describir brevemente el proyecto o aplicación y explicar qué tipo de análisis se han realizado: análisis del código de la infraestructura, del código de la aplicación, de la infraestructura y de la web.
2. Herramientas usadas para los distintos análisis y explicar brevemente qué herramientas se han usado y por qué se han escogido.
3. Conclusiones después del análisis: el número de vulnerabilidades reportadas, la mitigación de vulnerabilidades, por qué y cómo se han corregido, y la propuesta de mitigación del resto de vulnerabilidades.