¿Desarrollas aplicaciones? Presta atención al riesgo de configuration drift
Quien está a cargo de desarrollar una aplicación o bien, si participa dentro de ese proceso, sabe que existen múltiples procedimientos a realizar. Se supone que una aplicación, para el propósito que fuese, pasa por constantes cambios para que funcione cada vez mejor. Así también, para que sea cada vez más segura y que mantenga la privacidad de los datos de los usuarios. Sin embargo, ¿qué pasa si es que todos estos cambios desembocan en problemas? Hoy en RedesZone os hablaremos sobre el tema del configuration drift.
Configuration drift y escalada de privilegios
Un ejemplo práctico que podemos citar, es el típico desarrollador de aplicaciones que accede frecuentemente a un servidor. De hecho, el acceso debe ser permanente, incluso para los más pequeños cambios y revisiones en general. Si quiero hacer algún cambio en la aplicación en producción (es decir, el entorno que hace que la aplicación funcione como tal para los usuarios), es necesario contar con credenciales de administrador especiales. A este desarrollador no le agrada la idea de tener credenciales adicionales porque finalmente, esto implica tiempo extra que puede perjudicar los tiempos que tiene para entregar sus cambios en la aplicación.
Pero, ¿qué pasa si en vez de esta persona se encuentra involucrada es un cibercriminal o algún colaborador mal intencionado? La escalada de privilegios es uno de los ataques que más secuelas deja a una red, sistema, y a su infraestructura en general. La peor parte es que este tipo de ataque es que muchas veces, pasa desapercibido. Y esto es porque el usuario malintencionado realiza todas las actividades de forma enmascarada, lo que significa que las mismas pasan por los controles de seguridad y éstos los detectan como benignas.
Consejos básicos para evitar el «configuration drift»
Del ejemplo que hemos citado más arriba, podemos extraer un par de recomendaciones. La primera consiste en documentar todo lo que refiere al desarrollo de la aplicación o servicio. Sin embargo, esto no se cierra a los manuales de procedimiento o instrucciones en general. Esto también tiene que abarcar todas las mejoras y cambios que se deban hacer a la aplicación. Es como tener un log de todos los inicios de sesión a una determinada base datos o cualquier otra aplicación.
Esa documentación tiene que informar en detalle acerca de todos los cambios hechos, los impactos que tiene. También debería incluir qué requisitos se debe cumplir para contar con la actualización, entre otros datos. Por desgracia, la práctica de la documentación es una de las que menos focos de atención tiene. Sin embargo, comienza a cobrar algo de importancia ante eventos como las auditorías o incidentes de seguridad.