Aumentos en ataques móviles y preocupaciones de ejecutivos de seguridad en torno a la adopción de la tendencia “traiga su propio dispositivo» (BYOD) llevan a la optimización de las capacidades en inteligencia de la seguridad.
En el marco de la Conferencia Anual IBM Innovate 2012, el evento premier para la Innovación de software y sistemas celebrada en Orlando, Florida, USA; IBM (NYSE: IBM) anunció un nuevo software para ayudar a las organizaciones a desarrollar aplicaciones móviles que son más seguras por diseño. Ahora los clientes pueden incorporar la seguridad al diseño inicial de sus aplicaciones móviles para detectar en forma temprana las vulnerabilidades en el proceso de desarrollo.
El anuncio amplía aún más la estrategia de IBM de proporcionar a los clientes una plataforma móvil que cubre el desarrollo, la integración, la seguridad y la gestión de las aplicaciones.
Con más de cinco mil millones de dispositivos móviles en el mundo –y sólo 2 mil millones de computadoras – el vuelco hacia los dispositivos móviles como la forma primaria de conexión a las redes corporativas aumenta a un ritmo acelerado. Asegurar esos dispositivos se convierte en una importante prioridad para los ejecutivos de seguridad y directores de información (CIO). A medida que las empresas adoptan la tendencia “traiga su propio dispositivo» («Bring Your Own Device», BYOD), la necesidad de asegurar las aplicaciones que se ejecutan en estos dispositivos se vuelve cada vez más crítica. Según el l Informe IBM X-Force de Tendencias y Riesgos 2011, los ataques móviles aumentaron 19% en 2011. Además, según los datos recientemente publicados por el estudio del IBM Center for Applied Insights, 55% de los encuestados citaron la seguridad móvil como preocupación prioritaria de tecnología en los próximos dos años.
La rápida consumerización de los puntos terminales, aplicaciones y servicios móviles generó la necesidad urgente de asegurar las aplicaciones corporativas en los dispositivos de los empleados. Con la última liberación (reléase) de la cartera IBM Security AppScan, IBM ahora ofrece una solución robusta de seguridad de desarrollo de aplicaciones, lo cual permite a los clientes integrar la prueba de seguridad de aplicaciones móviles en todo el ciclo de vida de las aplicaciones.
“Estamos viendo un aumento de la demanda de las empresas que buscan extender las aplicaciones corporativas a los dispositivos móviles,» señaló Stuart Dross, Vicepresidente de Ventas y Marketing de Cigital, Inc. “La capacidad de escanear aplicaciones móviles nativas e híbridas para detectar vulnerabilidades de seguridad es un importante paso adelante para asegurar los datos sensibles y mitigar los riesgos de seguridad.»
Seguridad móvil
Las aplicaciones móviles representan un nuevo blanco de amenazas, ya que conllevan un riesgo más alto de ataque, en comparación con las vulnerabilidades de las aplicaciones web. Los atacantes apuntan cada vez más a las aplicaciones móviles porque muchas organizaciones no conocen los riesgos de seguridad introducidos por las aplicaciones móviles más básicas. Más allá de las amenazas tradicionales, por ejemplo, un hacker podría llevar a cabo un ataque de inyección SQL o scripting en las aplicaciones. Las aplicaciones móviles también son atacadas con malware y phishing, o escaneo de códigos QR con scripts maliciosos. Además, las aplicaciones móviles tienen vulnerabilidades específicas porque a menudo en los dispositivos móviles se almacenan datos sensibles que pueden filtrarse a aplicaciones maliciosas. Estos datos, una vez almacenados localmente, en general quedan fuera de la protección de los programas de seguridad corporativa. Las nuevas capacidades de análisis de AppScan encontrarán estas vulnerabilidades para ayudar a los desarrolladores a construir aplicaciones móviles más seguras. “Dar a los clientes la capacidad de escanear aplicaciones móviles para detectar vulnerabilidades –incluso en aplicaciones desarrolladas in-house y tercerizadas – es el siguiente paso en nuestra estrategia móvil,» manifestó Marc van Zadelhoff, vicepresidente de Estrategia y Gestión de Productos de IBM Security Systems. “Con más de 120.000 empleados propios que acceden a la red de IBM a través de dispositivos móviles, hemos tenido que enfocarnos seriamente en el desarrollo de una forma de trabajo seguro para los empleados.»
Movilizar a la fuerza laboral
Con el anuncio, IBM extiende su prueba de seguridad de aplicaciones estáticas líder del mercado a aplicaciones Android nativas, lo cual permite a los clientes realizar sus propias pruebas para aplicaciones móviles. En el pasado, para que pudieran realizarse pruebas de seguridad de aplicaciones, los clientes tenían que enviar su propiedad intelectual de aplicaciones y software a un proveedor externo para probar vulnerabilidades. Este enfoque no tiene escala y el tiempo de respuesta es muy lento, ya que las aplicaciones móviles pasan por revisiones y actualizaciones permanentes. Las organizaciones necesitan abordar la prueba de la seguridad de aplicaciones móviles dentro de la empresa, desde el comienzo del ciclo de vida de desarrollo de software. Además de las capacidades de prueba de aplicaciones móviles, hay nuevas e importantes capacidades con las que los clientes pueden beneficiarse:
• Integración con la Plataforma de Inteligencia de Seguridad QRadar de IBM , que permite una mayor Inteligencia de Seguridad cuando una aplicación pasa a producción. Al correlacionar las vulnerabilidades conocidas de las aplicaciones con la actividad de los usuarios y la red, QRadar puede aumentar o bajar automáticamente el puntaje de prioridad de los incidentes de seguridad
• Un nuevo analizador Cross Site Scripting (XSS) , que utiliza una modalidad de aprendizaje para evaluar rápidamente millones de pruebas potenciales de menos de 20 pruebas core tests. Este nuevo analizador XSS encuentra más vulnerabilidades XSS más rápido que cualquier versión previa de AppScan.
• Nuevas capacidades de análisis estático ayudan a las empresas a adoptar amplias prácticas de seguridad de aplicaciones a través de la incorporación simplificada de aplicaciones y el empoderamiento de especialistas que no son de seguridad, para poder probar en forma más rápida que con versiones anteriores.
• Plantillas predefinidas y personalizables que ofrecen a los equipos de desarrollo, la capacidad de enfocarse rápidamente en un conjunto de reglas priorizado por sus equipos de desarrollo, lo cual ayuda a las corporaciones a enfocarse en cuestiones clave para ellos en toda la organización.
Además de la integración QRadar, AppScan ofrece puntos de integración con IBM Security Network IPS e IBM Security SiteProtector, y es un complemento regular vendido con las soluciones IBM Guardium e IBM Security Access Management para garantizar la seguridad principio a fin de las aplicaciones. El enfoque consiste en ofrecer un marco de seguridad completo e integrado para aplicaciones que cubren todo el ciclo de vida de desarrollo y producción.
IBM cuenta con una amplia cartera de soluciones de seguridad móvil, que va desde ayudar a asegurar los datos en un dispositivo hasta ejecutar aplicaciones móviles más seguras. IBM invierte en forma continua en el espacio móvil desde hace más de una década, tanto orgánicamente como a través de adquisiciones, construyendo una cartera completa de software y servicios que ofrece a los clientes movilidad lista para la empresa.
La disponibilidad general de IBM Security AppScan está programada para este trimestre.