Aprovechar Módulos o Servicios Verificados para Componentes de Seguridad de Aplicaciones
Descripción
Aprovechar módulos o servicios verificados para componentes de seguridad de aplicaciones, como gestión de identidad, cifrado y auditoría y registro. Usar características de la plataforma en funciones de seguridad críticas reducirá la carga de trabajo de los desarrolladores y minimizará la probabilidad de errores de diseño o implementación. Los sistemas operativos modernos proporcionan mecanismos efectivos para identificación, autenticación y autorización y ponen esos mecanismos a disposición de las aplicaciones. Usar solo algoritmos de cifrado estandarizados, actualmente aceptados y extensamente revisados. Los sistemas operativos también proporcionan mecanismos para crear y mantener registros de auditoría seguros.
Lista de Verificación de Implementación
Herramientas Recomendadas
Seguridad de aplicaciones orientada al desarrollador con SCA, escaneo de contenedores, seguridad de IaC y SAST integrados en CI/CD
Snyk · Suscripción por desarrollador
Suite de pruebas de seguridad de aplicaciones con SAST (Coverity), SCA (Black Duck) y DAST para AppSec integral
Synopsys · Suscripción por desarrollador
Plataforma de seguridad de aplicaciones nativa en la nube con SAST, SCA, DAST, seguridad de API y pruebas de seguridad de cadena de suministro
Checkmarx · Suscripción por desarrollador
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Implementación de Criptografía Personalizada Defectuosa
ConfidencialidadUn desarrollador implementa un algoritmo de cifrado personalizado en lugar de usar una biblioteca criptográfica verificada, y la implementación contiene fallas fundamentales que permiten a los atacantes descifrar datos sensibles.
Evasión de Autenticación en Módulo de Gestión de Identidad Personalizado
ConfidencialidadUn sistema de autenticación construido internamente contiene fallas lógicas que permiten a los atacantes evadir el inicio de sesión porque los desarrolladores lo construyeron desde cero en lugar de aprovechar un framework verificado de gestión de identidad.
Manipulación de Registros de Auditoría por Implementación de Registro Personalizada
IntegridadUn atacante modifica registros de auditoría personalizados para cubrir sus rastros porque la aplicación usa un sistema de registro personalizado sin protecciones de integridad en lugar de un framework de registro verificado y resistente a manipulación.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Componentes de Seguridad Construidos Personalizadamente en Lugar de Módulos Verificados
Los desarrolladores que construyen implementaciones personalizadas de funciones críticas de seguridad como cifrado, autenticación y registro en lugar de usar bibliotecas probadas tienen muchas más probabilidades de introducir fallas de implementación explotables.
Calidad Inconsistente de Componentes de Seguridad entre Aplicaciones
Sin estandarizar en módulos verificados para funciones de seguridad, cada aplicación implementa estas capacidades de manera diferente, creando calidad inconsistente y propiedades de seguridad impredecibles.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |