SIEM y las aplicaciones heredadas

Cómo cerrar las brechas de visibilidad

0
51

A medida que las empresas mejoran en el análisis de los datos de registro para detectar posibles amenazas a la seguridad, las aplicaciones heredadas crean puntos ciegos que pueden ser difíciles de abordar. «Los modernos sistema de gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés) han evolucionado más allá de sus propios conjuntos de funciones heredadas y se han convertido en plataformas avanzadas de detección de amenazas y respuesta», afirma Gabriel Gumbs, director de innovación de Spirion, una empresa de seguridad de datos.

Los datos de registro disponibles de las aplicaciones heredadas no siempre se traducen bien a estas plataformas, añade. Por ejemplo, una aplicación heredada podría ser capaz de reportar quién tiene acceso al sistema, señala, pero no a qué tienen acceso dentro de esos sistemas. «Esa es una brecha de visibilidad que requiere que se cierre», anota.

El problema se agrava cuando las aplicaciones heredadas deben ser supervisadas en busca de amenazas. Por ejemplo, pueden haber sido construidas cuando los requisitos de seguridad eran muy diferentes de los que tenemos hoy en día, o antes de que las mejores prácticas fueran ampliamente utilizadas.

También pueden incluir vulnerabilidades conocidas, requerir una infraestructura obsoleta e insegura, o tener acceso a datos sensibles o sistemas críticos. «Tomemos, por ejemplo, el sector energético», comenta David Mound, ingeniero principal de ciberseguridad de Furnace Ignite, una empresa de nueva creación con sede en el Reino Unido que facilita la recopilación de datos de aplicaciones heredadas y su introducción en los SIEM. «Tienen infraestructura SCADA, cosas que han existido durante años».

Una receta para sorpresas no deseadas
Las empresas a veces no quieren tocar las aplicaciones que se están ejecutando, señala. No es solo el sector energético. «En general, cuando estoy haciendo consultoría, la mayoría de las empresas parecen tener algunas aplicaciones heredadas», anota Mound. «Planilla de pago, o algo así, que ha permanecido intacta durante años».

Con demasiada frecuencia, las aplicaciones heredadas no ofrecen el tipo de supervisión que las empresas necesitan. Pueden producir datos de rendimiento, por ejemplo, pero no detalles precisos sobre qué usuarios accedieron a qué datos, o no tienen el contexto que los investigadores de seguridad necesitarían para descubrir qué ocurrió. Si producen registros, pueden estar en algún formato propietario y difícil de usar.

«Especialmente en el caso de las aplicaciones heredadas desarrolladas internamente, hay claras lagunas de visibilidad», afirma Jeremy Batterman, director global de inteligencia y detección de amenazas de Trustwave, una empresa de ciberseguridad.

Esa es una preocupación importante cuando ocurren eventos de ciberseguridad y necesitan ser investigados, anota. «En los casos de respuesta a incidentes en los que he trabajado, a menudo, es una aplicación única la que causa el problema», añade.

Además, la falta de registro puede exacerbar otros problemas de seguridad con una aplicación heredada. Por ejemplo, en un caso, una empresa tenía una aplicación heredada que estaba conectada tanto a Internet como a su red interna, en lugar de estar ubicada dentro de una DMZ.

«Tampoco se dieron cuenta de que estaban usando una versión antigua de JBoss y Apache que eran triviales para que el atacante llegara a un acuerdo», comenta. «Una vez que fue comprometida, no había visibilidad, y los atacantes fueron capaces de moverse a través de la red».

Durante sus investigaciones de incidentes, Batterman comenta que a menudo pregunta a las compañías por qué mantuvieron la aplicación heredada. «Generalmente, es dinero», indica. «Y más a menudo aun es la respuesta de que ‘funciona, así que por qué cambiarlo'». Según una encuesta de Accenture de los líderes federales de TI, el 37% señala que las aplicaciones heredadas obstaculizan su capacidad de protegerse contra las amenazas cibernéticas, y el 85% indica que el futuro de su agencia se ve amenazado a menos que actualicen su tecnología.

Para descubrir cuántas aplicaciones heredadas se encuentran en su entorno, las empresas deben buscarlas como parte de su evaluación de amenazas y vulnerabilidades, anota Ron Schlecht, socio gerente de BTB Security, una empresa consultora de ciberseguridad. A veces, las empresas son muy conscientes de sus inseguras aplicaciones heredadas porque están tratando de deshacerse de ellas, agrega.

Las aplicaciones heredadas a veces pasan desapercibidas. «En la mayoría de los casos, las aplicaciones son utilizadas con muy poca frecuencia, o por departamentos más pequeños», comenta Schlect. «Como no ha habido ningún problema, la gente sigue usándolas».

A veces, una aplicación ya ha sido reemplazada, pero la versión anterior sigue funcionando. «Eso tiende a ser una sorpresa», indica. «A veces es solo que se olvidaron de apagarla. Otras veces, todavía quieren poder acceder a datos históricos antiguos en la aplicación».

De cualquier manera, estas aplicaciones y servidores están por ahí, indica Schlect. «Cada vez que tiene eso en el ambiente, hay una posibilidad de que alguien lo use mal». Es particularmente peligroso si una aplicación se está ejecutando con privilegios administrativos, o tiene funciones que podrían utilizarse para escalar el acceso. Si la aplicación se encuentra en un servidor antiguo, también puede haber vulnerabilidades en su entorno.

Modernización de las aplicaciones heredadas
El primer paso, según Schlecht, es verificar si el proveedor original puede ayudar a obtener datos de log del sistema existente a su SIEM. «Tal vez el proveedor podría proporcionar una API o al menos alguna documentación», anota. «Si no, podría haber esfuerzos de desarrollo a medida para tratar de sacar los registros de esa aplicación».

Otra estrategia es modernizar toda la aplicación, no solo la funcionalidad de registro. De esta manera, la empresa puede satisfacer no solo sus necesidades de ciberseguridad, sino también las de cumplimiento, escalabilidad y otros requisitos empresariales. Según un informe de Gartner, por cada dólar invertido en innovación empresarial digital hasta el 2020, se invierte al menos tres veces más en la modernización de aplicaciones heredadas. La inversión vale la pena. Además de los riesgos de seguridad, es posible que las aplicaciones heredadas no satisfagan las necesidades empresariales actuales y no puedan seguir el ritmo del cambio tecnológico, sean difíciles de escalar, puedan crear riesgos de cumplimiento y su mantenimiento pueda resultar demasiado costoso.

Según otro informe de Gartner, hay siete formas principales de modernizar una aplicación heredada:

  • Encapsularla y ponerla a disposición como un servicio
  • Realojarla
  • Moverla a una nueva plataforma de ejecución
  • Reforzar el código
  • Investigar la aplicación
  • Reconstruir o reescribir desde cero

Reemplazar la aplicación, teniendo en cuenta los nuevos requisitos y necesidades.

Estrategias de mitigación
Cuando una aplicación heredada no puede ser modernizada o reemplazada, las empresas pueden adoptar estrategias de mitigación para ayudar a resolver algunos de los problemas de visibilidad. Por ejemplo, si una aplicación tiene una base de datos back-end, podría ser posible obtener información de acceso y uso de la propia base de datos, señala Batterman de Trustwave. Si hay tráfico entrando y saliendo de una aplicación, se podría usar un sensor de red para capturar paquetes de datos, añade.

Cualquiera que sea la estrategia de mitigación, las empresas también deberían poner protecciones adicionales alrededor de sus aplicaciones heredadas, anota Batterman. «Tal vez podríamos construir un sistema más cerrado, o tener solo una pequeña porción disponible como servicio», agrega. «Y hay cosas arquitectónicas que se pueden hacer para evitar que esté en primera línea».

Por ejemplo, muchas empresas, enfrentadas al problema de tener que mantener una aplicación antigua e insegura, podrían convertirla en una sandbox y la colocarla en un entorno virtual o en la nube, indica Schlecht de BTB. De esta manera, si se compromete, habrá un impacto mínimo en el resto de la organización.

Maria Korolov, CSOonline.com