Como detectarlo
¿Cuenta su aplicación con el apropiado fortalecimiento en seguridad a través de todas las capas que la componen? Incluyendo:
- ¿Tiene algún software sin actualizar? Esto incluye el SO, Servidor Web/Aplicación, DBMS, aplicaciones, y todas las librerías de código.
- ¿Están habilitadas o instaladas alguna característica innecesaria (p. ej. puertos, servicios, páginas, cuentas, privilegios)?
- ¿Están las cuentas por defecto y sus contraseñas aún habilitadas y sin cambiar?
- ¿Su manejo de errores revela rastros de las capas de aplicación u otros mensajes de error demasiado informativos a los usuarios?
- ¿Están las configuraciones de seguridad en su framework de desarrollo (p. ej. Struts, Spring, ASP.NET) y librerías sin configurar a valores seguros?
Como prevenirlos
Las recomendaciones primarias son el establecimiento de todo lo siguiente:
- Un proceso rápido, fácil y repetible de fortalecimiento para obtener un entorno apropiadamente asegurado. Los entornos de Desarrollo, QA y Producción deben ser configurados idénticamente (con diferentes contraseñas usadas en cada entorno). Este proceso puede ser automático para minimizar el esfuerzo de configurar un nuevo entorno seguro.
- Un proceso para mantener y desplegar las nuevas actualizaciones y parches de software de una manera oportuna para cada entorno. Debe incluir también todas las librerías de código.
- Una fuerte arquitectura de aplicación que proporcione una separación segura y efectiva entre los componentes.
- Considere ejecutar escaneos y realizar auditorías periódicamente para ayudar a detectar fallos de configuración o parches omitidos.
No hay comentarios:
Publicar un comentario