Seguridad de las aplicaciones en la era de los microservicios

0
844

This post is also available in: Inglés Francés Alemán Italiano Portugués, Brasil Ruso

Mientras las organizaciones desglosan sus aplicaciones en microservicios, aprovechando los contenedores como la arquitectura perfecta para ello, la responsabilidad de asegurar estos entornos también cambia, lo que expone a las empresas a una gama más amplia de riesgos de seguridad y brechas en la protección.

Ciertamente, estamos ante un punto de inflexión cultural entre la función de los equipos de DevOps y la del director de seguridad de la información (CISO). Si bien los CISOs se enfrentan a la responsabilidad de mantener su organización segura a toda costa, para los equipos de DevOps la agilidad es fundamental para las operaciones comerciales, por lo que a menudo se inclinan hacia un enfoque «lo suficientemente bueno» (y, a veces, una estrategia ‘¡claro que no!’) con respecto a la seguridad.

Entonces, ¿qué significa esto para las empresas y el panorama de la ciberseguridad?

Enfocamos nuestra investigación de mercado de 2019 en torno a la comunidad de DevOps y DevSecOps. Queríamos ver cuánto interviene ahora el equipo de DevOps y qué tan fuerte es su influencia con respecto a la toma de decisiones de seguridad de la información. Para este fin, encuestamos a casi 300 profesionales de empresas de todos los tamaños en todo el mundo. A continuación, se puede ver un resumen de nuestros hallazgos.

Las empresas adoptan las tecnologías y los conceptos emergentes

Las empresas parecen estar muy conscientes de que, como parte de su transformación digital, la introducción de nuevos marcos requiere una mente (y una billetera) abierta cuando se trata de nuevas soluciones. Y están probando o adquiriendo medidas de seguridad adicionales.

[También puede interesarte: 4 Desafíos emergentes para asegurar las aplicaciones modernas]

Por ejemplo, el 67% de las empresas encuestadas ejecutan microservicios/contenedores, de las cuales, el 53% ya usa algún tipo de tecnología de seguridad de los contenedores. El 43% usa una solución dedicada para asegurar las funciones sin servidor durante el tiempo de ejecución, para evitar que haya interrupciones ni fugas de datos.

Si bien esto se ve prometedor, parece que las organizaciones están adoptando el método del “espagueti en la pared”, y acumulan múltiples tecnologías sin necesariamente optimizar su interoperabilidad. En cambio, esperan que tener múltiples soluciones será suficiente para cumplir con la tarea.

Dado que los microservicios y la gestión de contenedores todavía se consideran tecnologías emergentes, es imperativo que las empresas aún se encuentren en la fase de aprendizaje para combinar las soluciones y prácticas adecuadas con la nueva infraestructura y los flujos de datos. Sin embargo, prevalece la falsa confianza en los modelos de seguridad existentes, lo que deja brechas de seguridad imprevistas que conducen a violaciones de datos.

Las empresas siguen las prácticas de seguridad requeridas

Las empresas no solo quieren adoptar las tecnologías de seguridad emergentes, sino que también quieren seguir el libro sagrado de las prácticas de seguridad de la información. Casos pertinentes:

  • el 70% tiene controles de seguridad en el tráfico Este-Oeste.
  • Más de la mitad realiza revisiones de los códigos, además de pruebas de la seguridad y de las soluciones de WAF que utilizan.
  • El 52% cree que sus principales criterios para seleccionar una tecnología de seguridad de las aplicaciones debe ser la calidad de la seguridad.

Esta idea está bien demostrada por las prácticas de seguridad de las APIs. Según el siguiente gráfico, las empresas son conscientes de los riesgos de seguridad que vienen a través de las APIs y los abordan activamente; un movimiento inteligente ya que las APIs son ahora la unión entre herramientas, aplicaciones, sistemas y entornos.

[También puede interesarte: Cómo prevenir el abuso de API en tiempo real]

Siguiendo las prácticas de seguridad básicas y adoptando las funciones de DevSecOps (más del 90% de las organizaciones ya tienen equipos de DevOps o DevSecOps, y el 58% informó una proporción con DevSecOps de 1:6 y 1:10 con el personal de desarrollo) en combinación con la acumulación de tecnologías de seguridad de las aplicaciones, todo ayuda a que las empresas desarrollen una alta sensación de confianza:

Las aplicaciones siguen siendo hackeadas

Sin embargo, los hackers aún prevalecen, ya que los ataques a las aplicaciones siguen siendo una amenaza constante. El 88% de los encuestados reportó ataques a lo largo del año, y el 90% sufrió una violación de datos. El abanico de ataques que experimentaron a diario los encuestados incluyeron violaciones de acceso, envenenamiento de sesión/cookie, inyecciones SQL, denegación de servicio, ataques de protocolos, secuencias de comandos entre sitios, falsificación de solicitud entre sitios, manipulaciones de las APIs.

[También puede interesarte: Amenazas en APIs y Aplicaciones Móviles]

El 56% indicó falta de comprensión de los límites de la responsabilidad de la seguridad entre las empresas y el proveedor de servicio en la nube pública. Muchos aún luchan contra diferentes tipos de ataques a sus aplicaciones todas las semanas.

Por cierto, las puertas de enlace de las APIs no parecen hacer su trabajo. Se usan principalmente para la autenticación (37%) y el filtrado de IP (30%), y algunos equilibrios de la carga básicos (28%), pero es obvio que no pueden bloquear todos los tipos de manipulaciones y abuso de las APIs.

Por lo general, las soluciones basadas en reglas estáticas y heurísticas rígidas no pueden ofrecer el nivel adecuado de seguridad de las aplicaciones, ya que estas cambian todo el tiempo. Y la mitad informa que sus aplicaciones cambian constantemente, hasta varias veces por día —una tarea imposible para que los humanos puedan controlar. Para hacerlo, hace falta detectar el cambio, ajustar la política, validarla y reforzarla. Es imposible. Se requiere automatización.

El rápido ritmo del cambio le da algo de poder al nuevo comprador, que está a cargo del desarrollo ágil y la entrega de aplicaciones y microservicios, y que diseña el entorno del SLDC y selecciona las herramientas. El papel emergente de los equipos de DevOps y DevSecOps está teniendo una mayor influencia en las decisiones y prácticas de seguridad. Si recuerdas, esta era la hipótesis que queríamos confirmar.

[También puede interesarte: ¿Son sus DevOps sus mayores amenazas a la seguridad?]

¿Quién está a cargo?

Bueno, no es el personal de seguridad. TI sigue siendo el factor de influencia nº 1 en la selección de herramientas, la definición de políticas y la implementación de soluciones de seguridad de las aplicaciones (TI controla el presupuesto; pero, sin embargo, es alarmante que el 70% de los CISOs no tengan la última palabra).

La transformación digital es más que digital

La conclusión de nuestra investigación es que los ataques aún tienen éxito porque las empresas no consideran el impacto completo de la transformación digital en sus empresas.

En la transformación digital, la tecnología encabeza el cambio. Y mientras se compran y adoptan nuevas tecnologías y marcos (¡esa es la parte fácil!), la tecnología en sí misma no puede cumplir la promesa. A pesar del deseo de las empresas de seguir las prácticas de seguridad apropiadas, los ataques siguen teniendo éxito. ¿Por qué?  Porque las empresas no dieron el segundo paso de la transformación digital: el paso no digital, de adquirir nuevos conjuntos de habilidades, ajustar los procesos comerciales y redefinir las funciones y responsabilidades.

Ahí es donde falla la seguridad de las aplicaciones. Si se permite a los profesionales de la seguridad hacer su trabajo y hacer de la seguridad un habilitador de negocios, entonces es posible que finalmente veamos que la seguridad se ejecuta a la velocidad del negocio.

Artículo siguienteBitcoin y su posible impacto en el panorama de amenazas
Ben Zilberman is a director of product-marketing, covering application security at Radware. In this role, Ben specializes in web application and API protection, as well as bot management solutions. In parallel, Ben drives some of Radware’s thought leadership and research programs. Ben has over 10 years of diverse experience in the industry, leading marketing programs for network and application security solutions, including firewalls, threat prevention, web security and DDoS protection technologies. Prior to joining Radware, Ben served as a trusted advisor at Check Point Software Technologies, where he led channel partnerships and sales operations. Ben holds a BA in Economics and a MBA from Tel Aviv University.

Dejar respuesta

Please enter your comment!
Please enter your name here