Conjunto de herramientas de seguridad en línea imprescindibles que creemos que pueden marcar una diferencia real en su programa de ciberseguridad y mejorar su planificación presupuestaria para 2021.

En septiembre, Gartner publicó una lista de las «Nueve principales tendencias de seguridad y riesgo para 2020», poniendo un fuerte énfasis en la creciente complejidad y el tamaño del panorama de amenazas moderno.

La visibilidad incompleta de las superficies de ataque externas condujo al aumento dramático de infracciones desastrosas y filtraciones de datos durante 2020, lo que comprometió la PII y otros datos confidenciales de millones de víctimas. Estos incidentes se debieron a intrusiones sofisticadas por parte de actores maliciosos de estados-nación y grupos de piratería APT, errores humanos y configuraciones erróneas generalizadas que expusieron almacenamiento en la nube sin protección o bases de datos con datos confidenciales en Internet.

Los analistas de seguridad de Gartner recomiendan automatizar tareas y procesos de seguridad laboriosos, en medio de la actual escasez de habilidades en ciberseguridad, y abordar rápidamente los riesgos emergentes de seguridad de la nube y los contenedores.

Gartner también recomienda prestar especial atención a los requisitos regulatorios y de privacidad para evitar multas severas y otras sanciones y comenzar a implementar un modelo de confianza cero dentro de su organización, independientemente de su tamaño.

Si bien la pandemia en espiral ha tenido un impacto devastador en muchas organizaciones y empresas de todo el mundo, la mayoría de las empresas intentaron o trasladaron caóticamente sus procesos comerciales al espacio digital no afectado. Sin embargo, la mayoría de los presupuestos de seguridad cibernética también se vieron afectados como un efecto colateral de la recesión económica general. Como era de esperar, la reducción de los presupuestos exacerbó la estresante transformación digital por un gran desprecio por los ingredientes de seguridad y privacidad del proceso sutil.

No obstante, se prevé que el gasto en seguridad cibernética se recupere y aumente nuevamente en 2021, lo que brindará alivio a los CISO hastiados y a sus agotados equipos de seguridad de TI. Mientras tanto, nos gustaría familiarizarlo con un increíble conjunto de herramientas de seguridad gratuitas que creemos que pueden marcar una diferencia palpable para su programa de seguridad cibernética y la planificación presupuestaria de 2021.

La semana pasada, la empresa de seguridad de aplicaciones ImmuniWeb anunció una importante actualización de su Community Edition disponible gratuitamente. Proporciona 4 pruebas de seguridad gratuitas que cubren ampliamente muchas prioridades de seguridad y privacidad mencionadas por Gartner y también ofrece algunas capacidades sólidas para monitorear incidentes de seguridad y amenazas cibernéticas externas dirigidas a su empresa.

Ya hemos escrito sobre ImmuniWeb entre los proveedores de ciberseguridad más innovadores justo después de la Conferencia RSA 2020. Desde entonces, la empresa parece haber hecho un progreso impresionante en muchas direcciones y áreas de seguridad de la información que monitoreamos. Decidimos probar ImmuniWeb Community Edition y recomendamos probarlo ahora si no está familiarizado con él:

Prueba de cumplimiento y seguridad del sitio web

Para algunos casos de uso específicos, esta prueba de seguridad de sitios web bien puede reemplazar un escáner de vulnerabilidad web comercial. Sorprendentemente, la prueba gratuita no es intrusiva y es segura para la producción: no bloqueará accidentalmente su antiguo servidor web o aplicación web heredada mientras envía una carga útil de explotación de desbordamiento de búfer o RCE.

ImmuniWeb dice que su módulo de análisis de composición de software (SCA) tiene una extensa base de datos de software web diversificado, que abarca desde WordPress y Drupal de código abierto hasta productos web patentados y comerciales de Microsoft y Oracle. Según se informa, el módulo SCA incluye más de 300 CMS y marcos web, 160 000 de sus complementos y extensiones, y 8900 bibliotecas de JavaScript. Si bien su base de datos de vulnerabilidades integrada cubre más de 12,000 vulnerabilidades CVE:

Además de las vulnerabilidades de las aplicaciones web y las actualizaciones de software faltantes, la prueba gratuita verifica si la configuración de su sitio web cumple con los requisitos específicos de GDPR y PCI DSS:

En una prueba, obtiene simultáneamente una imagen inclusiva sobre cómo fortalecer la seguridad de su sitio web, mejorar la resiliencia del servidor web y mejorar los requisitos de cumplimiento y privacidad aplicables.

Prueba de exposición a la web oscura y detección de phishing

Parece ser una herramienta gratuita invaluable para los analistas de amenazas y los equipos azules que buscan aumentar la visibilidad de los incidentes de seguridad en curso, incluidas las discusiones de Dark Web y las ofertas de venta de datos robados que implican a su organización o a sus proveedores clave.

Por razones legales y de privacidad, la prueba gratuita no revelará todos los detalles de los incidentes, como contraseñas de texto sin formato robadas o copias completas de las bases de datos comprometidas. Pero una descripción suficientemente detallada y medible está disponible para respaldar y mejorar su proceso de toma de decisiones antes de invertir en soluciones de monitoreo de Dark Web:

Además de la instantánea completa de la Dark Web, obtiene una descripción general bastante buena de las filtraciones de Pastebin, las campañas de phishing en curso, la ocupación ilegal de dominios (ciberocupación y error tipográfico) e incluso cuentas falsas en las redes sociales que usurpan su identidad:

Sin duda, le recomendamos que utilice esta práctica herramienta gratuita para su programa de gestión de riesgos de terceros (TPRM) a fin de puntuar a sus vendedores y proveedores externos que tienen acceso privilegiado a sus datos confidenciales.

Prueba de seguridad y privacidad de aplicaciones móviles

Esta prueba de seguridad móvil gratuita ahora permite la descarga de aplicaciones móviles directamente desde diferentes tiendas de aplicaciones públicas además de Google Play, e incluso incluye a Cydia, por lo que los usuarios de dispositivos iOS con jailbreak también pueden probar sus aplicaciones móviles por cuestiones de privacidad y seguridad:

La prueba móvil realiza un escaneo de aplicaciones móviles tanto dinámico (DAST) como estático (SAST), arrojando luz sobre un amplio espectro de vulnerabilidades y debilidades móviles. El escaneo cubre los 10 principales riesgos móviles de OWASP y también algunos problemas de seguridad específicos mencionados en el proyecto Guía de prueba de seguridad móvil (MSTG) de OWASP:

Se presta especial atención a la privacidad de la aplicación móvil: verá una lista inclusiva de los permisos solicitados por la aplicación probada y los servidores y servidores web externos donde la aplicación móvil envía sus datos. Su módulo integrado de análisis de composición de software (SCA) ilumina las bibliotecas nativas y de terceros utilizadas en la aplicación móvil.

Es importante destacar que, debido a su naturaleza no intrusiva, el escáner móvil gratuito no cubre las pruebas de terminales móviles, como las API o los servicios web, que siempre deben incluirse en su programa de pruebas de seguridad móvil.

Prueba de seguridad y cumplimiento de SSL

A diferencia de muchos servicios de la competencia, esta prueba de seguridad SSL gratuita permite probar no solo el omnipresente HTTPS, sino también cualquier implementación del cifrado TLS, incluidos los servidores de correo electrónico y SSL VPN:

Para los servidores de correo electrónico, la prueba también verifica si SPF, DMARC y DKIM están correctamente configurados, que son, de hecho, las mejores prácticas más comunes para la seguridad del correo electrónico en la actualidad.

Además de esto, la prueba realizará automáticamente un autodescubrimiento rápido de subdominios a tiempo, recordando a todos que no solo el sitio web principal «www» requiere atención.

La prueba pasa meticulosamente por todas las vulnerabilidades criptográficas o de implementación de SSL / TLS conocidas actualmente, incluidas Heartbleed, ROBOT, BEAST, POODLE y una docena de otras fallas que pueden permitir la interceptación o el descifrado de sus datos en tránsito.

Otro beneficio importante es asignar su configuración TLS a los requisitos específicos de PCI DSS, NIST e HIPAA, para que pueda verificar si su nivel de cifrado cumple correctamente con los requisitos reglamentarios para evitar sanciones por incumplimiento:

Todas las pruebas se pueden actualizar y, si crea una cuenta gratuita, se pueden descargar como un documento PDF para que pueda compartirlo internamente o con sus clientes, demostrando que se preocupa por la seguridad de sus datos.

Un HTTPS debidamente fortalecido y un sitio web seguro son una ventaja competitiva persuasiva para el negocio del comercio electrónico, especialmente después de historias de piratería espeluznantes sobre campañas de piratería masiva del Black Friday que vacían las billeteras de compradores en línea involuntarios.

Mientras probamos ImmuniWeb Community Edition, apreciamos especialmente la capacidad de respuesta de su soporte técnico: detectamos un par de errores menores en una de las pruebas que se solucionaron tan pronto como a la mañana siguiente.

En el correo electrónico que nos envió, ImmuniWeb dijo que escuchó atentamente a su creciente audiencia y que desea mejorar continuamente la Community Edition en función de los comentarios y sugerencias recibidos. Simplemente puede enviarles un mensaje directamente mediante una interfaz web, convirtiéndose en parte de la increíble comunidad que ahora ejecuta más de 100,000 pruebas diarias.

Se puede acceder a las pruebas gratuitas de ImmuniWeb Community Edition por API oa través de la interfaz web.

Para las organizaciones que buscan ejecutar una gran cantidad de pruebas por día o para los proveedores de seguridad cibernética que buscan aprovechar las capacidades técnicas de ImmuniWeb Community Edition con fines comerciales, también hay una API premium disponible para comprar en línea.

Creemos que el equipo de ImmuniWeb está haciendo cosas geniales e increíbles que nos gustan. Esperamos ver su crecimiento y desarrollo en 2021: está a punto de ser prometedor.