viernes, noviembre 09, 2007

Core Security suma funcionalidades de testeo de intrusión para aplicaciones web

CORE IMPACT v7.5 se convierte en el primer producto en integrar el testeo de servidores, sistemas de escritorios, de usuarios y aplicaciones web contra amenazas reales a la seguridad de la información

Core Security Technologies
anunció la incorporación de funcionalidades de testeo de intrusión para aplicaciones web a CORE IMPACT -el producto más exhaustivo para evaluar la seguridad a nivel corporativo-. Con esta inclusión a sus capacidades de testeo de redes y usuarios, CORE IMPACT v7.5 ahora permitirá evaluar la postura de seguridad de las organizaciones contra los tres principales métodos de ataques que ponen en riesgo la información en la actualidad:
Intrusión de las defensas de las redes mediante exploits diseñados para explotar vulnerabilidades en los servicios y sistemas operativos de servidores, así como en aplicaciones cliente que corren en sistemas de escritorios
Engaño a empleados, contratados y otros usuarios a través de ataques de ingeniería social por e-mail, tales como phishing y spear phishing
Manipulación de las aplicaciones web para acceder a información vía SQL injection y técnicas de inclusión remota de archivos
“Mientras las vulnerabilidades de las aplicaciones web se vuelven más extendidas, los cibercriminales están tomando mayor ventaja de la confianza que las organizaciones vuelcan en e-commerce, ERP y otras aplicaciones web”, dijo Charles Kolodgy, research director, for Secure Content and Threat Management research de IDC. “Los atacantes no segmentan sus vectores, sino que combinan todas las debilidades que pueden encontrar en un determinado ataque. Las empresas deben testear de manera apropiada, y hacerlo siguiendo una metodología segura, repetible y consistente”.

Balanceando la metodología automática de Rapid Penetration Test, los usuarios pueden ir un paso más allá del escaneo de vulnerabilidades para identificar e interactuar con aplicaciones web en riesgo. Las funcionalidades de testeo de intrusión para estas aplicaciones de IMPACT permiten:

Identificar debilidades en aplicaciones web, servidores web, browsers web y bases de datos asociadas
Generar dinámicamente exploits que puedan probar la existencia de debilidades en la seguridad
Demostrar las consecuencias potenciales de un ataque exitoso
Asistir en la atención de eventos de seguridad y prevenir incidentes relacionados con datos.

La interfase unificada del producto provee una metodología consistente para la replicación de intentos de ataques que proliferan entre estos vectores. Por ejemplo, IMPACT puede replicar un ataque que compromete inicialmente un servidor web o una estación de trabajo de un usuario, y luego propagarse a sistemas de redes de backend.

“Con la suma de las capacidades de testeo de vulnerabilidades de aplicaciones web a CORE IMPACT, Core Security continúa proporcionándonos modos sencillos y seguros de testear la seguridad de nuestro ambiente contra los últimos ataques”, afirmó Nikk Gilbert, Security Director, Alstom Transport. “Con estas nuevas funcionalidades sumadas a las ya existentes, IMPACT nos evita tener que usar herramientas stand-alone y dispares para cada sección de nuestra infraestructura de IT. Es bueno saber que ahora podemos contar con un vendor establecido y confiable que nos ayude a enfrentar nuestros desafíos en esta área también”.

Ir más allá del escaneo para identificar amenazas reales de sistemas web, de redes y de los usuarios

El atenuar las vulnerabilidades de las aplicaciones web típicamente requiere que los desarrollares revisen el código, por lo que es crítico que el testeo de la seguridad de éstas señale amenazas reales y eliminen falsos positivos. IMPACT identifica vulnerabilidades potenciales y las valida con exploits generados dinámicamente, que permiten a los usuarios replicar acciones de un atacante real contra aplicaciones web personalizadas.

“Si bien las aplicaciones web pueden parecer estar aisladas, están finalmente asociadas a sistemas e información que las organizaciones deben proteger”, expresó Paul Paget, CEO de Core Security Technologies. “En consecuencia, una aplicación web comprometida abre la puerta a otros recursos de red e información, agravando de este modo el daño causado por la falla inicial. La integración del testeo de este tipo de aplicaciones a las capacidades de testing de red y spear phishing suma un vector de ataque mayor que nuestros clientes estaban demandando”.

El Test Rápido de Intrusión para Aplicaciones Web
El Rapid Penetration Test (RPT) para aplicaciones web de CORE IMPACT reduce el tiempo y las habilidades requeridas para testear de manera efectiva la seguridad de estas aplicaciones

El RPT trae velocidad y eficacia a todo el proceso de testeo de la seguridad, permitiendo a los clientes identificar de modo certero y seguro debilidades, demostrar las posibles consecuencias de un ataque y conseguir la información necesaria para prevenir incidentes.

Este nuevo proceso de RPT mantiene la consistencia y metodología que ya hicieron de las funcionalidades de IMPACT en redes y usuarios un éxito. Mediante una serie de sencillos wizards, el RPT guía en cada paso del proceso de testeo, comenzando por la etapa de Recolección de Información. Durante esta fase, IMPACT avanza a través de páginas web e identifica páginas para testear.

IMPACT v7.5 actualmente testea aplicaciones web contra dos tipos de ataques: SQL Injection y Remote File Inclusion (RFI). Por cada uno, el producto primero analiza qué páginas, identificadas durante el proceso de Recolección de Información, pueden ser vulnerables a ataques. Basado en estos resultados, IMPACT dinámicamente crea estos tipos de ataques para probar si las vulnerabilidades plantean amenazas reales.

Core ha extendido el concepto de Agentes y Consolas Shell de Comandos para permitir un nivel de simplicidad y facilidad en el uso para el testeo de la seguridad de las aplicaciones web. Sobre la verificación exitosa de vulnerabilidades que existen en aquellas y son explotables, los nuevos agentes de SQL Injection y RFI en Core IMPACT y las consolas de comandos pueden ser utilizadas para implementar el tradicional Agente de Network del producto en los servidores que hostean la aplicación web o sus bases de datos.

Esto permite a los profesionales de la seguridad aprovechar el servidor como un “puesto de avanzada” desde donde ejecutar pruebas automatizadas de penetración de redes contra otros sistemas en la red, como podría hacer un atacante. Comprender cómo las vulnerabilidades –en las diferentes capas de la red y explotadas mediante diferentes vectores de ataques– pueden ser combinadas para construir trayectorias de ataques en una organización, es invaluable para concebir efectivos mecanismos de mitigación.

Mediante sus funcionalidades de reporte, IMPACT proporciona a los responsables de seguridad, desarrolladores web y administradores de bases de datos, información crítica sobre debilidades de seguridad establecidas, revelando posibles reparaciones y ayudando a priorizar los esfuerzos de remediación. IMPACT mantiene los registros de auditoría de todas las pruebas de penetración realizadas a aplicaciones web, servidores y bases de datos accesadas, y todas las acciones tomadas durante el testeo. Como todos los reportes de IMPACT, pueden ser exportados a HTML, JPG y Microsoft Word para personalización y distribución.

IMPACT no instala ni corre ningún código en servidores web comprometidos durante el test de intrusión en aplicaciones web. Este proceso es, por lo tanto, auto-contenido y seguro para los sistemas de producción

CORE IMPACT v7.5 se encontrará disponible desde el 9 de noviembre.

Acerca de Core Security Technologies
Core Security Technologies desarrolla soluciones estratégicas que ayudan a las organizaciones alrededor del mundo, preocupadas por la seguridad informática, a desarrollar y mantener un proceso proactivo para asegurar su infraestructura de IT. El producto insignia de la compañía, CORE IMPACT, es el producto más exhaustivo para realizar pruebas corporativas de cumplimiento de seguridad. IMPACT evalúa servidores, sistemas de escritorios, de usuarios y aplicaciones web identificando qué recursos están expuestos. Esto permite a las organizaciones determinar si sus inversiones actuales en seguridad están detectando y previniendo ataques.

Core Security Technologies potencia su solución de tecnología líder con servicios de consultoría en seguridad “World Class”, incluyendo tests de intrusión y auditoría de seguridad de software. Core Security Technologies tiene su centro de investigación y desarrollo en Buenos Aires, Argentina, y su oficina comercial en Boston, MA Estados Unidos.

Más info: (011) 5556-2673 / www.coresecurity.com

No hay comentarios.: