Las empresas saben que necesitan proteger sus scripts del lado del cliente. Las pol\u00edticas de seguridad de contenido (CSP) son una excelente manera de hacerlo. Pero los CSP son engorrosos. Un error y tiene una brecha de seguridad potencialmente significativa en el lado del cliente. Encontrar esas brechas significa largas y tediosas horas (o d\u00edas) en revisiones manuales de c\u00f3digo a trav\u00e9s de miles de l\u00edneas de script en sus aplicaciones web. Las pol\u00edticas de seguridad de contenido automatizadas pueden ayudar a agilizar el proceso de revisi\u00f3n de c\u00f3digo al identificar primero todos los scripts propios y de terceros y los activos a los que acceden, y luego generar una pol\u00edtica de seguridad de contenido adecuada para ayudar a proteger mejor la superficie de ataque del lado del cliente.<\/p>\n
![\"Pol\u00edticas](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657628389_888_Evitar-la-muerte-por-mil-guiones-uso-de-politicas-de.jpg\" "\\"Pol\u00edticas")
<\/div>\nHay pocos desarrolladores o profesionales de AppSec que afirman disfrutar de la implementaci\u00f3n de CSP. Primero, el CSP tiene que funcionar para la aplicaci\u00f3n web espec\u00edfica. Luego, el equipo debe asegurarse de que proporcione el nivel adecuado de protecci\u00f3n. El CSP tampoco puede entrar en conflicto con ning\u00fan widget o complemento existente (o se debe tomar la decisi\u00f3n de no implementar el CSP o desactivar esos complementos, lo que puede causar problemas en otras \u00e1reas, como la participaci\u00f3n del cliente, el marketing y las ventas).<\/p>\n
Y luego, cuando falla un CSP, est\u00e1 la temida auditor\u00eda para determinar por qu\u00e9 y d\u00f3nde.<\/p>\n
El problema de evitar la auditor\u00eda de CSP (tambi\u00e9n conocido como evitar las revisiones manuales del c\u00f3digo o la muerte por miles de scripts) es bastante com\u00fan. Hoy en d\u00eda, las aplicaciones web del lado del cliente contienen miles de scripts, ensamblados a partir de m\u00faltiples bibliotecas de c\u00f3digo abierto u otros repositorios de terceros y de terceros. Pocos equipos de desarrollo o seguridad se toman el tiempo para mantener un registro detallado de todos los scripts utilizados en el ensamblaje de aplicaciones web, incluidas sus funciones, sus fuentes y si se han actualizado o parcheado para abordar cualquier problema de seguridad conocido.<\/p>\n
Incluso cuando los equipos identifican todas las fuentes de secuencias de comandos de terceros, eso no garantiza que las secuencias de comandos sean seguras. Los problemas en curso a\u00fan surgen con los administradores de paquetes que contienen JavaScript ofuscado y malicioso que se utiliza para recopilar informaci\u00f3n confidencial de sitios web y aplicaciones web. En un ejemplo reciente, los investigadores descubrieron que los desarrolladores desprevenidos hab\u00edan descargado paquetes maliciosos 27.000 veces. <\/p>\n
Desafortunadamente, el problema de evasi\u00f3n de auditor\u00eda de CSP ampl\u00eda una superficie de ataque ya significativa del lado del cliente.<\/p>\n
Los problemas con los CSP no tienen nada que ver con su valor. Los CSP son excelentes para proporcionar informes de infracciones y optimizaci\u00f3n de pol\u00edticas, y ayudan a descubrir secuencias de comandos vulnerables que conducen a ataques de inyecci\u00f3n de JavaScript, secuencias de comandos entre sitios (XSS) y ataques de robo, como Magecart. Las pol\u00edticas de seguridad de contenido manual son simplemente complicadas de administrar, lo que significa que los desarrolladores pueden evitar procesos cr\u00edticos de CSP, lo que genera un mayor riesgo de seguridad.<\/p>\n
Pol\u00edticas de seguridad de contenido automatizadas<\/a> ayudar a administrar los CSP para proteger mejor la superficie de ataque del lado del cliente y eliminar el riesgo asociado con la supervisi\u00f3n manual de CSP. Al identificar todos los scripts propios y de terceros, los activos digitales y los datos a los que acceden estos activos, las empresas pueden optimizar el proceso de creaci\u00f3n y administraci\u00f3n de CSP y mejorar la seguridad general del lado del cliente. Los CSP automatizados se administran a nivel de dominio para obtener mejores informes y control de versiones. <\/p>\n Los CSP automatizados funcionan rastreando un sitio web o una aplicaci\u00f3n web e iniciando a los usuarios sint\u00e9ticos para evaluar c\u00f3mo funcionan los scripts en la aplicaci\u00f3n web y a qu\u00e9 tipo de datos puede estar accediendo el script. Luego, el sistema genera el CSP para alinearlo con las necesidades de seguridad del sitio web o la aplicaci\u00f3n web. Los CSP automatizados tambi\u00e9n funcionan dentro del entorno de producci\u00f3n real, para emular pol\u00edticas para pruebas r\u00e1pidas (y evitar la implementaci\u00f3n constante de CSP en un entorno de desarrollo) y centrarse en llevar las infracciones de pol\u00edticas lo m\u00e1s cerca posible de cero. <\/p>\n Las caracter\u00edsticas adicionales de un CSP automatizado incluyen la creaci\u00f3n de nuevas pol\u00edticas despu\u00e9s de una infracci\u00f3n detectada para permitir actualizaciones r\u00e1pidas y abordar las amenazas de seguridad actuales y la ingesta de datos de registro en la gesti\u00f3n de eventos e incidentes de seguridad (SIEM) y otros sistemas de recopilaci\u00f3n de datos basados \u200b\u200ben registros para la integraci\u00f3n en las pr\u00e1cticas de seguridad actuales. y flujos de trabajo.<\/p>\n Con el informe de infracciones completamente integrado, una soluci\u00f3n CSP automatizada complementa los procesos y flujos de trabajo de seguridad actuales. Tambi\u00e9n brinda soporte cr\u00edtico para est\u00e1ndares regulatorios y de cumplimiento como PCI DSS 4.0, HIPAA y otros.<\/p>\n![\"Pol\u00edticas](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657628389_975_Evitar-la-muerte-por-mil-guiones-uso-de-politicas-de.jpg\" "\\"Pol\u00edticas")
<\/div>\n![\"Pol\u00edticas](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657628389_130_Evitar-la-muerte-por-mil-guiones-uso-de-politicas-de.jpg\" "\\"Pol\u00edticas")
<\/div>\n