Curso completo ciberseguridad gratis Controles CIS. Control 7.5

Estimados amigos de Inseguros !!!

Seguimos con el control 7 de los CIS, gestión continua de vulnerabilidades, y hoy toca el 7.5: realizar análisis automatizados de vulnerabilidades en aplicaciones internas. Y aquí hay una confusión muy típica que quiero cortar desde el minuto uno: “como es interno, no pasa nada”. Error.

Las aplicaciones internas suelen ser las más peligrosas por dos motivos. Primero, porque normalmente tienen datos y permisos de verdad. Segundo, porque suelen estar peor cuidadas que las públicas. Las públicas se “miman” porque las ve Internet. Las internas se dejan con deuda técnica, autenticación floja, dependencias viejas, y un “esto solo lo usamos nosotros”. Hasta que alguien entra dentro de la red, y ya no es “solo nosotros”.

Qué es una aplicación interna hoy en día

No es solo “la web que está en la intranet”.

Hoy tienes portales internos, ERPs, CRMs on-prem, apps de RRHH, paneles de gestión, APIs internas, microservicios, herramientas de soporte, dashboards, Jenkins, Git, herramientas de monitorización, consolas, y un largo etcétera. Y muchas de esas cosas se exponen sin querer: una VPN, un acceso de proveedor, un túnel, una mala regla, un “lo abrí para probar”, y ya lo tienes.

El control 7.5 te pide lo mismo que el 7.4, pero con foco interno: automatización. No “un análisis cuando me acuerdo”. Programa de escaneo continuo. Radar permanente.

Qué se suele buscar y por qué importa

En internas te encuentras lo de siempre, pero con esteroides: autenticaciones débiles, control de acceso roto, paneles con roles mal definidos, inyecciones, SSRF, credenciales en código, secretos en configs, CORS mal, permisos excesivos y APIs sin protección.

Y lo peor: integraciones. Porque las apps internas suelen hablar con AD, con bases de datos, con sistemas críticos, con servicios de correo, con ficheros, con todo. Si revientas una app interna, muchas veces no solo consigues “ver una pantalla”. Consigues pivotar.

Cómo se hace automatizado de forma práctica

Aquí aplican las mismas capas de siempre:
DAST para analizar la app funcionando.
SAST para revisar el código si es desarrollo propio.
SCA para dependencias y librerías.
Y si usas contenedores, análisis de imágenes también.

La parte clave es meterlo en el ciclo: cada despliegue pasa por controles. Y lo que ya está desplegado se escanea de forma recurrente. Y si algo es crítico (por ejemplo, una app interna que gestiona identidades o datos sensibles), se escanea con más frecuencia y se revisa mejor.

Y aquí hay un punto de gobierno que en internas suele doler: el inventario. Porque para escanear internas, primero tienes que saber cuáles existen. Y te sorprendería la cantidad de “apps internas” que nadie tiene inventariadas, que las lleva un equipo concreto, que no están documentadas, y que cuando preguntas quién es el dueño, te dicen “ufff, eso lo montó alguien hace años”.

Por eso el 7.5 engancha tan bien con todo lo anterior: inventario, propiedad, y proceso. Sin inventario, no hay escaneo. Sin escaneo, no hay detección. Y sin detección, no hay remediación.

Si quieres aprender a aplicar gestión de vulnerabilidades en aplicaciones internas como se hace en empresa (inventario, DAST/SAST/SCA, pipelines, escaneo continuo y priorización), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia. Esto es de lo que más retorno da cuando quieres reducir riesgo real.

Gracias por leerme !!!