Las empresas no son conscientes de las amenazas asociadas a sus aplicaciones Web, según Forrester
Las empresas pueden sin querer exponerse a sí mismas a ataques de nivel de aplicación. Siguen aplicando técnicas de defensa tradicionales, como cortafuegos de red convencionales, sin comprender que con ellos sus redes siguen careciendo de la protección necesaria para desviar muchos de los nuevos tipos de ataques, según Forrester Research.
“La mayoría de las empresas ni siquiera son conscientes de que sus cortafuegos de red tradicionales no pueden protegerlas contra este tipo de ataques”, subraya la consultora en su estudio Web Application Firewall Forecast: de 2007 a 2010. Además, el informe pronostica un aumento en la demanda de firewalls específicos para aplicaciones Web (WAFs) durante los próximos tres años, seguido de un progresivo descenso.
Esta falta de conocimiento, de acuerdo con las conclusiones de otro informe de Symantec sobre las amenazas Internet durante la segunda mitad de 2006, puede resultar muy dañino para las organizaciones porque las aplicaciones Web son especialmente vulnerables. Así, según este estudio, el 66% de las vulnerabilidades descubiertas durante el período analizado afectaban precisamente a este tipo de aplicaciones, y el 77% de las brechas más fácilmente explotables las tomaba como objetivo.
Volviendo al estudio de Forrester, la consultora destaca la importancia de la diferencia entre los firewalls tradicionales cuyo funcionamiento se basa en el análisis de paquetes y los WAFs, que examinan flujos de paquetes que representan sesiones con servidores Web, para a continuación concluir que lo que muchas empresas no entienden es precisamente cuál es la diferencia entre ambos.
Los ataques migran a niveles superiores de la pila IP
En este contexto, Forrester advierte que a medida que los negocios trasladan sus defensas a niveles superiores de la jerarquía IP, lo mismo puede esperarse de aquellos que intentan conseguir sus datos confidenciales. “Los atacantes también están subiendo niveles en la pila, lo que se refleja en un incremento en la frecuencia y destructividad de los ataques a nivel de sesión y de aplicación; y en estas capas, los firewalls de red tradicionales no pueden ayudar”, subraya el informe.
La toma de conciencia sobre las amenazas a las aplicaciones Web, según Forrester aumentará a medida que las empresas empiecen a verse obligadas a cumplir con normativas como los estándares de seguridad de datos PCI (Paymant Card Industry), que pretende proteger los números de tarjetas de crédito y otras informaciones de carácter personal transferidos durante transacciones online.
Precisamente la normativa PCI y otros estándares para la protección de datos sensibles exigen de hecho la utilización de WAFs como una de las dos opciones posibles para defender los datos contra ataques desconocidos lanzados a las aplicaciones Web. La otra alternativa es revisar la seguridad de cada aplicación Web y cubrir los agujeros existentes en ellas.
En cuanto a la evolución del mercado WAF, la consultora augura que las compañías empezarán comprando dispositivos WAF autónomos en mayores cantidades a mediados de 2008. Pero la funcionalidad de estos sistemas irá siendo progresivamente absorbida por otros tipos de equipamientos, como plataformas de aceleración de aplicaciones y appliances de seguridad globales. La firma predice que algunos suministradores WAFs empezarán a ser entonces comprados por grandes fabricantes de networking. “Esta consolidación reducirá los precios de WAF, que empezará a ser integrada como parte de las ofertas de seguridad de red empaquetada o de entrega de aplicaciones”, indica en su estudio. Como principales suministradores WAF Forrester identifica a Breach Security, Citrix Systems, F5 Networks, Imperva, NetContinuum y Protegrity.
