Las intrusiones en la nube han crecido un 75 % el último año, aunque el 75 % de los ataques para lograr un acceso inicial estaban libres de malware, tal y como destaca el último informe de CrowdStrike. Un panorama que, ante la escasez de perfiles de ciberseguridad en las organizaciones, va a llevar a hacer informes de análisis de vulnerabilidades sin ser auditor. Ante las dudas que puedan surgir, Paradigma Digital ha lanzado el ebook “Informe de seguridad”.
Desde Paradigma Digital aconsejan llevar a cabo este tipo de informes al terminar el despliegue del proyecto y antes de ponerlo en producción, aunque Alba García, desde Paradigma Digital, señala que para comprender y mitigar los riesgos particulares de seguridad asociados al desarrollo de una aplicación o proyecto tecnológico debemos contar con un inventario de los componentes del proyecto a analizar, la ejecución de las herramientas de análisis de vulnerabilidades, la revisión de los informes generados por las herramientas de análisis y la redacción del informe de seguridad con las conclusiones obtenidas.
Para Alba García la fase de revisión y análisis de los informes generados por las herramientas es una de las más importantes en este proceso. En su opinión las herramientas de análisis generan una gran cantidad de información, por lo que es necesario un análisis y estudio posterior de la misma para filtrar, estudiar y revisar las vulnerabilidades que estas herramientas reportan.
A la hora de llevar a cabo el análisis de vulnerabilidades, desde la compañía recomiendan cuatro herramientas gratuitas: Kics, que se centra en la búsqueda de vulnerabilidades de seguridad, problemas de conformidad y errores de configuración de la infraestructura del código.
MobSF, que facilita la evaluación de seguridad, análisis de malware y pruebas de pen-testing de aplicaciones móviles de manera automatizada.
OpenVAS: ofrece un escaneo de vulnerabilidades de la infraestructura de las soluciones evaluadas. Por último ZAP proporciona pruebas de pentesting de manera gratuita. Esta está diseñada para probar aplicaciones web. Es flexible y extensible.
Además Alba García recuerda tres elementos que hay que incluir: describir brevemente el proyecto o aplicación, explicando el tipo de análisis realizado. Herramientas usadas para los distintos análisis, describiendo las herramientas usadas y la razón por la que se han escogido. Para finalizar las conclusiones tras el análisis: el número de vulnerabilidades reportadas, la mitigación de vulnerabilidades, por qué y cómo se han corregido, y la propuesta de mitigación del resto de vulnerabilidades.