Xpert Integrated Systems, compañía multinacional focalizada en servicios y soluciones en las áreas de Continuidad, Disponibilidad y Seguridad de Redes y Sistemas, presenta su nuevo y exclusivo servicio dirigido a asegurar las Aplicaciones Web. 

La gran experiencia y especialización del equipo profesional de Xpert, desde su Centro de Operaciones único, situado en Herzlyia (Israel) y desde sus Laboratorios de Seguridad de Madrid y Barcelona (España), afirma que más del 97% de los sites operativos analizados tienen sustanciales puntos débiles a nivel de aplicación web, convirtiéndola en el objetivo más vulnerable para un ataque, puesto que los hackers saben que una aplicación web es la puerta de entrada directa para acceder a información confidencial de una empresa. Esta conclusión es fruto de las numerosas auditorías y estudios que Xpert ha estado realizando durante años, con el fin de identificar las vulnerabilidades de los sites. 

El Centro de Operaciones y los Laboratorios de Seguridad de Xpert además confirman que las medidas tradicionales de seguridad, aunque son necesarias, solo cubren el entorno de red sin garantizar la seguridad de las aplicaciones web. Y así, en sus auditorías identifican 10 tipos principales de ataques comunes: Manipulación de campos ocultos, Alteración de “cookies”, Puertas traseras y opciones de depuración, Desbordamiento de “buffers”, Ejecución silenciosa de código, Vulnerabilidades conocidas y desconocidas, Errores en la configuración de productos de terceros, “Cross site scripting”, Malformación de URLs y de campos de entrada, y Navegación forzada. 

Estas conclusiones y la experiencia de años dentro del campo de la Seguridad de Aplicaciones Web ha llevado a Xpert a desarrollar un Servicio único y exclusivo dirigido a asegurar dichas aplicaciones web. 

El primer paso de este servicio, Análisis, Estudio y Detección de Vulnerabilidades Web, engloba una serie de pruebas y procesos diseñados por los consultores de Xpert basándose en la metodología OSSTMM (Open Source Security Testing Methodology Manual) y cumplen los requisitos específicos por ISO 17799 para Auditorías y Test de Seguridad de la Información. 

Xpert realiza dos tipos de Auditorías: Auditorías de Caja Negra y Auditorías de Caja Blanca. Las primeras se realizan de manera remota por Internet, y las segundas suelen estar asociadas a procesos de consultoría y/o auditorías internas. Para obtener mejores resultados se pueden combinar ambas modalidades. Con este objetivo Xpert lleva a cabo un estudio pormenorizado de las diferentes capas que componen la aplicación web, y posteriormente mide la resistencia de cada una de ellas ante ataques específicamente diseñados con el fin de encontrar las vulnerabilidades reales de los sitios web en internet. 

El último paso es Definir Soluciones de Protección de Aplicaciones Web, lo cual realiza Xpert bajo el modelo de Seguridad Positiva que aplica en el cortafuegos de aplicación web.

Este Modelo de Seguridad Positiva define, en primer lugar, una política de seguridad centrada en lo que SI está permitido. Esta política se define en el cortafuegos de aplicación web según la máxima: “todo lo que explícitamente no está permitido en mi aplicación web estará por defecto prohibido”. Por lo que los cortafuegos de Aplicación Web actúa por interposición, es decir, analizan el tráfico HTML que se intercambian el servidor web y el navegador del cliente y sólo permiten pasar el tráfico que se ajusta a la política de seguridad previamente definida. 

Para el desarrollo de este servicio Xpert cuenta con las soluciones del fabricante Sanctum. Para evitar ataques a la web, Sanctum ha desarrollado dos líneas de producto completamente diferenciadas entre sí: AppScan, para el análisis completo de seguridad, y AppShield, que es un firewall de aplicaciones web.