¿Sus bots son seguros?

Blog /¿Sus bots son seguros?
NTT DATA Services blog 3

En la actualidad, los bots monitorean los equipos de soporte vital, aprovisionan la red de servicios públicos, concilian las operaciones de alto valor, pagan facturas, abren cuentas bancarias, detectan transacciones de lavado de dinero y presentan reclamos de seguros médicos. ¿Alguien puede piratear un bot para que haga cosas que se supone que no debe hacer? ¿Pueden los usuarios maliciosos detectar vulnerabilidades del sistema y robar datos o hacer que un bot congele equipos fundamentales? ¿Pueden incluso utilizar los bots como puntos de entradas a la red para pedir un rescate?

No se trata del escenario de una película de ciencia ficción ni tampoco es ciencia ficción. Es la realidad.

Tomemos el caso del ataque de ransomware WannaCry de principios de este año. Limitó las operaciones de muchas empresas que utilizan el sistema operativo Microsoft Windows, incluidas organizaciones esenciales, como hospitales, en varios países del mundo. Este es un ejemplo de cómo incluso las tiendas de desarrollo de software más avanzadas (Microsoft, en este caso) tienen huecos que los hackers pueden explotar.

O tomemos el caso del infame atraco al Banco de Bangladesh en 2016, donde los ciberdelincuentes explotaron una debilidad de la red de pago global de la SWIFT para robar casi mil millones de dólares del Banco Central de Bangladesh.

Los bots son piezas de software que realizan tareas fundamentales y, como cualquier otro software, son vulnerables a las amenazas, incluso si su perímetro es seguro.

Los bots de procesos interactúan constantemente con el entorno para incluir otras aplicaciones, que envían y reciben datos fundamentales y controlan las API y los conectores. Este ecosistema es tan seguro como el eslabón más débil de la cadena. Incluso si sigue el proceso de seguridad más avanzado cuando se desarrolla el bot, el ecosistema aún puede exponerlo a vulnerabilidades.

En los siguientes incidentes, los hackers aprovecharon el ecosistema más grande para robar datos. Los ciberdelincuentes ingresaron en el entorno de tecnología segura explotando las vulnerabilidades encontradas en uno de los proveedores de Target y comprometieron la información de las tarjetas de crédito y débito de aproximadamente 40 millones de clientes de Target. De manera similar, Lowe's sufrió una importante vulneración de seguridad que dio como resultado una fuga de información de sus empleados (incluidos los números de seguridad social) almacenada en una base de datos en línea, proporcionada por un proveedor externo.

Además, la mayoría de los bots de procesos inician sesión en múltiples sistemas con credenciales almacenadas; algunos procesan correos electrónicos, los chatbots brindan servicios al cliente, otros administran múltiples documentos de proceso. Si no se siguen las especificaciones de seguridad avanzadas durante el desarrollo, los hackers pueden explotar los puntos vulnerables que quedan en el código. Entonces, ¿cómo se protegen estos bots del phishing o spearphishing? La ingeniería social digital dirigida a estos bots de procesos bien podría definir la próxima ola de intrusión cibernética.

Para garantizar el proceso de seguridad, los bots deben mantener los más altos estándares de ciberseguridad y someterse a rigurosas evaluaciones de vulnerabilidad y pruebas de penetración antes de su implementación. Las empresas también deben asegurarse de tener alertas de seguridad integradas, mecanismos de informes y monitoreos durante la implementación.

Características de seguridad

Los bots deben codificarse siguiendo principios de seguridad estrictos, como los especificados por el Modelo de madurez de capacidad de ingeniería de seguridad de sistemas (ISO/IEC 21827) o el Ciclo de vida de desarrollo de seguridad informática confiable de Microsoft. Estos protocolos definen procesos de ingeniería de seguridad que agregan una serie de actividades centradas en la seguridad y resultados para cada fase del desarrollo de software que deben resistir los ataques a la seguridad.

Es esencial que estas actividades se sigan durante todo el ciclo de vida del desarrollo. Los codificadores deben definir las características de seguridad en la fase de requisitos, el modelado de amenazas para la identificación de riesgos de seguridad durante la fase de diseño de bots, el uso de herramientas de análisis de códigos de análisis estático y revisiones de código durante la implementación, y las pruebas centradas en la seguridad (incluidas las pruebas Fuzz) durante la fase de prueba.

Finalmente, durante la fase de lanzamiento, el equipo central de expertos en seguridad debe realizar una revisión de seguridad final para garantizar la integridad del código.

Evaluación de las vulnerabilidades

Identificar vulnerabilidades ayuda a evitar que el código malicioso explote estas debilidades y se apodere de los sistemas. Deben aplicarse técnicas de evaluación, como las especificadas en los Criterios comunes internacionales para la evaluación de seguridad de la tecnología de la información.

Durante una evaluación de vulnerabilidad, asegúrese de que los codificadores realicen una revisión en profundidad para detectar las debilidades en todo el entorno de TI y no solo en el código de los bots, y de que utilicen las herramientas NMAP (Network Mapper) y Metasploit.

Prueba de penetración

Los codificadores deben llevar a cabo un ataque simulado en el ecosistema de TI para probar su capacidad de resistir los ataques planificados. En NTT DATA Services, cuando realizamos algunas pruebas de penetración, algunas de las cuestiones que surgieron fueron:

  • Configuración segura y consolidación de dispositivos esenciales
  • Control de acceso lógico
  • Administración de contraseñas
  • Gestión de parches de seguridad
  • Seguridad del código de la aplicación, como inyección de SQL y scripts de sitios (XSS)

En las últimas décadas, cada industria ha desarrollado un conjunto integral de protocolos de seguridad para operadores humanos, codificado en políticas reguladoras tales como HIPPA y SOX. Con la automatización que absorbe cada vez más las funciones de los operadores humanos, se requiere un esfuerzo concertado para desarrollar regulaciones similares para los bots de procesos.

En nuestra próxima publicación, definiremos aún más estas características de seguridad avanzada, evaluación de vulnerabilidad y pruebas de penetración específicas para bots de procesos.

Conozca más acerca de nuestra automatización de procesos robóticos.

Descubra nuestros servicios de control de calidad y pruebas.

Lea: Uso de agentes virtuales para crear un servicio al cliente holístico para planes de salud.

Fecha de publicación: 27/09/2017

EXPLORAR NUESTROS BLOGS