É hora de mudar a segurança cibernética para a esquerda

Es hora de darle un giro a la ciberseguridad hacia la izquierda

Hoy en día existen demasiadas amenazas sofisticadas y actores de amenazas en el mundo como para que la ciberseguridad siga siendo competencia de TI.

Imagem em destaque

A medida que la complejidad de las operaciones de TI continúa aumentando, la necesidad de trasladar la ciberseguridad al desarrollo y al proceso de CI/CD se está convirtiendo rápidamente en una prioridad para muchas organizaciones de TI.

Por supuesto, la idea de desplazar la seguridad hacia la izquierda no es nueva. Se introdujo por primera vez en la década de 1970 (mucho antes de que se escribiera la primera línea de código malicioso). También es lo que dio origen a la idea de DevSecOps y al concepto anterior de seguridad por diseño. Pero este enfoque para el desarrollo de software es todavía relativamente nuevo y en la actualidad sólo ha sido adoptado por alrededor de un tercio de las organizaciones de desarrollo .

Si bien la seguridad por diseño se centra principalmente en garantizar la seguridad del código, con DevSecOps se implementa un conjunto predeterminado de servicios de seguridad cuando se implementa una aplicación o carga de trabajo. Esto incluye cosas como seguridad de la red, autenticación multifactor, derechos de acceso, etc.

Para garantizar que las aplicaciones de producción sean lo más seguras posible en el futuro, es probable que los desarrolladores y las organizaciones de TI deban adoptar en masa ambos enfoques.

La adopción es lenta por varias razones

Los desarrolladores tradicionalmente han confiado en los equipos de operaciones de TI y seguridad para proteger el código que crean. Pero hoy en día están sucediendo muchas cosas que lo hacen difícil. Los ciberataques sofisticados y muy dirigidos, los entornos informáticos híbridos y en contenedores y un borde de red poroso y difícil de definir hacen imposible tratar la ciberseguridad como una ocurrencia tardía.

La rápida adopción de arquitecturas de microservicios y computación sin servidor en la nube ha creado un entorno en el que comprender las arquitecturas de red y las dependencias de las aplicaciones se vuelve exponencialmente más difícil cada año. La presión sobre los desarrolladores para producir código, generar actualizaciones y crear nuevas características y funcionalidades también aumenta cada año a medida que las organizaciones recurren a las tecnologías digitales.

Las altas expectativas, junto con la adopción generalizada de Agile y DevOps, significan que los desarrolladores confían en los proveedores de plataformas e infraestructura como servicio y en la implementación de infraestructura como código para mover más código a producción más rápido que nunca. Los desarrolladores también dependen de conjuntos de herramientas más complejos para realizar su trabajo.

Añadiendo más leña al fuego está la falta de conocimientos sobre ciberseguridad entre muchos desarrolladores y una escasez crítica de profesionales calificados en ciberseguridad en el lado de TI. El preocupante aumento del ransomware como el malware más utilizado en la década de 2020 significa que los ciberataques son cada vez más caros, tanto en términos económicos como de reputación.

TI necesita mayor visibilidad

Desde una perspectiva de TI, la falta de visibilidad sobre cómo se desarrolla el código y dónde se implementa (incluso en entornos de desarrollo alejados de los servidores de producción) crea puntos ciegos que pueden dificultar saber por dónde empezar cuando se recupera de un ataque. la seguridad cibernética.

Si bien existen runbooks diseñados específicamente para ayudar a los equipos de respuesta a incidentes a descubrir qué está sucediendo, la velocidad a la que se introducen nuevas características y funcionalidades en producción significa que la documentación no siempre está actualizada o ni siquiera disponible.

Otra buena razón para empezar a virar la ciberseguridad hacia la izquierda es que los entornos de desarrollo se consideran cada vez más como buenos objetivos para que los ciberdelincuentes se infiltren en la organización. Los desarrolladores utilizan una gran cantidad de código fuente abierto y cadenas de herramientas complejas y automatizadas que, cuando se configuran o utilizan incorrectamente, pueden abrir la puerta para que los atacantes se afiancen dentro de la organización.

Los desarrolladores también pueden olvidar y dejar los entornos de prueba ejecutándose mucho después de haber cumplido su propósito. El hack de la cadena de suministro de Solarwinds de 2020 es un buen ejemplo de lo que puede suceder cuando los piratas informáticos obtienen el código fuente antes del lanzamiento.

Una vez que el entorno de desarrollo se vea comprometido, será mucho más fácil para los atacantes hacer cosas como insertar ransomware en las copias de seguridad de la organización. Cuando TI intenta recuperarse de un ataque de ransomware, descubre que los datos necesarios se han dañado o reinicia el ataque desde el malware almacenado en las copias de seguridad.

3 pasos para desplazarse a la izquierda

Muchas organizaciones todavía realizan pruebas de seguridad poco antes de que el software entre en producción. Las pruebas continuas de vulnerabilidad introducidas anteriormente en el SDLC dan como resultado un software con menos errores y agujeros de seguridad. Al trasladar este proceso al proceso de CI/CD, suceden dos cosas: hay una mayor seguridad de que se seguirán los estándares de seguridad de la organización y se involucra a los desarrolladores antes en el SDLC.

El primer paso es realizar pruebas automatizadas de seguridad de la aplicación estática cada vez que se compila el código. La mayoría de las organizaciones que realizan CI/CD ya tendrán las herramientas y los marcos establecidos para que esto suceda. Asegúrese de que los resultados del análisis se carguen en una base de datos de componentes vulnerables disponibles a través del panel del motor de CI en un formato rastreable hasta la compilación original. Esto le ayudará con fines de cumplimiento, generación de informes e investigación, y al mismo tiempo le brindará una evaluación continua de su solicitud.

A continuación, asegúrese de realizar estudios de análisis de composición de software para comprender todas las dependencias de aplicaciones y de terceros en el momento de la compilación.

Por último, es una buena práctica realizar pruebas dinámicas de seguridad de las aplicaciones.

Si aún no estás practicando estas prácticas, comenzar puede resultar costoso. Pero mantendrán a su organización fuera de los titulares. Esto vale cada centavo.

Fuente: BairesDev

Conteúdo relacionado

Volver al blog

Deja un comentario

Los comentarios deben ser aprobados antes de publicarse.