Antecedentes del Tema

El primer ataque reportado a gran escala de hackers a servidores web fue el PHF CGI en 1996 (Estupiñan, 2013). Este tipo de sucesos, normalmente, representan un detonante para investigar e implementar sistemas novedosos que presten una mayor seguridad para los servidores, en este caso.

Sucedido esto, era evidente que muchas entidades pondrían manos a la obra para evitar que este tipo de eventos se presentasen de nuevo; de modo que, esto condujo  a la investigación sobre nuevos modelos de seguridad para proteger las aplicaciones y los servidores Web.

Este fue el inicio de los WAF; los primeros participantes en el mercado aparecieron en 1999, como Perfect Software AppShield, que se centró en el mercado de comercio electrónico, protegiendo entradas de caracteres ilegales en páginas Web. NetContinuum se acercó al problema proporcionando servidores de seguridad preconfigurados.

Estas opciones tuvieron problemas de propiedad intelectual y costos de desarrollo demasiado altos, y, dado que, para aquel entonces, no era muy latente la necesidad de seguridad, no tuvieron mucho patrocinio económico; no obstante, esto fue un primer acercamiento del cual varios tomarían referencia para sus futuros proyectos.

En 2002, el proyecto de código abierto ModSecurity, se formó con la decidida misión de resolver los obstáculos generados en intentos anteriores, y, principalmente, hacer accesible la solución para la mayor parte de las empresas. ModSecurity estableció un conjunto de reglas principal, utilizado para proteger las aplicaciones Web; éste sistema tenía un modelo estandarizado, estable y bien documentado.

En 2003, el trabajo WAS TC se amplió y se estandarizó a través de OWASP, una lista anual que clasifica y publica las vulnerabilidades de seguridad Web, describiendo la amenaza inicial y el impacto; esta lista se volvería el referente para que muchas empresas tuvieran un criterio más claro sobre los riesgos de seguridad latentes.

En 2004, grandes empresas proveedoras incursionaron en el mercado con soluciones de gestión de tráfico y seguridad; una de las más sobresalientes fue F5 con la solución de software TrafficShield, y el sistema de gestión de tráfico Big-IP.

 Hasta este punto, el mercado de WAF fue dominado por Nicho Providers, los cuales se enfocaron en brindar seguridad sobre la capa de aplicaciones Web, aunque las opciones eran muy confusas y bastante costosas.

En 2006, se conformó el Web Application Security Consortium para ayudar a concretar la estructura de los WAF, y se creó el WAFEC, un proyecto disponible para toda la comunidad de usuarios, proveedores, académicos, investigadores y analistas, el cual generó un criterio común de evaluación para los WAF que aún se utiliza hoy en día.

En 2007, PCI Security Standards Council, entidad que supervisa y controla las empresas proveedoras de tarjetas de crédito, forma la norma PCI como una manera de regular las prácticas de seguridad, y reducir el fraude con las tarjetas de crédito, imponiendo el uso de un WAF.

En 2010, el mercado WAF ya estaba totalmente implementado.

Con el auge que se viene presentando en la actualidad de los servicios en la nube o servicios Cloud y que no podemos negar sus aportes son significativos para todos los usuarios, pero con ello también se identifican algunos temas de seguridad de los cuales hay que tomar acciones de manera inmediata. Estando en la Nube aumentan las amenazas comprometiendo la viabilidad de las empresas y los servicios prestados a sus clientes.

Es por esto que vemos importante dar a conocer estos riesgos muy de la mano a Cloud Computing en términos de Ciberseguridad.

Data Breaches: robo de información sensible no autorizado.

Gestión insuficiente de accesos: Mala gestión en la autenticación de credenciales, ausencia de encriptación.

Interfaces inseguras: Exposición de APIS sin control

Sistemas vulnerables: puertas abiertas para los atacantes.

Robo de cuentas: es las que podemos contar el phishing, fraude, etc.

Insiders Maliciosos: Riesgos al interior de las compañías.

Advanced Persistent Threats: Continuas amenazas que comprometer la seguridad.

Pérdida de Datos: por actores externos.

DDos: Denegación de Servicio.

Tecnologías compartidas. El uso de la infraestructura, aplicaciones. Aumentan los riesgos.

Siendo conscientes estos riesgos también se tienen alternativas que permites mitigar estas amenazas, por lo cual es prioritario implementar metodologías y contar con personal especializado, que nos garanticen el buen funcionamiento de estos servicios ofrecidos en la nube. Viene entonces lo que conocemos como Servicios y Seguridad en la Nube compañías especializadas en la implementación de tecnologías informáticas, lo que se pretende es ofrecer un servicio integrado y tecnológico contando con personal capacitado y brindando asesoría, servicios de alta calidad certificados y consultoría según el tamaño y necesidad de cada empresa por lo tanto estamos en la capacidad de proveer los siguientes servicios:

• Asistencia presencial y remota en la implementación de soluciones a las problemáticas por el uso de los servicios Cloud.

• Soportamos la Instalación y administración de servidores

• Acompañamiento en el Helpdesk para Instalación de software empresarial.

• Capacitación a usuarios

• Consultorías especializadas en seguridad informática

• Backups programados

• Integración de servicios webs.