Por qué DevSecOps debería luchar por medidas de fortalecimiento eficaces

This post is also available in: Inglés Francés Alemán Italiano Portugués, Brasil Ruso

Hablar con prospectos enseña más que leer investigaciones de mercado. Los compromisos recientes con los clientes (lamentablemente todavía virtuales) lo dijeron fuerte y claro: las empresas necesitan seguridad eficaz.

1. Definición de seguridad eficaz

No hay necesidad de reinventar la rueda cada vez. El desarrollo de aplicaciones, arquitecturas de implementación y marco de trabajo modernos brindan máxima flexibilidad a los equipos de R&D. Además, hay servicios, módulos y funciones listos para usar disponibles para una integración simple. No obstante, hay un problema que complica todo: la necesidad de garantizar la disponibilidad de la aplicación, y la integridad y confidencialidad de los datos.

Comprar soluciones de seguridad es fácil – se compra la tecnología que mejor aborda las amenazas. Donde se vuelve más complicado es en la gestión. Primero y principal, las ventajas reequilibran la balanza entre la seguridad y la productividad para los equipos de desarrollo. Teniendo esto en cuenta, las empresas disfrutan de nuevas capacidades que logran ciclos de lanzamiento y tiempo de salida al mercado más rápidos a un costo reducido, lo que permite que el personal de Desarrollo e Implementación de las Aplicaciones (AD&D) pueda influir más en las decisiones relacionadas con la seguridad. La seguridad eficaz debe ser parte de tu manual de estrategia. En otras palabras, no rompas nada, no interrumpas con algo nuevo ni causes ralentizaciones.

[También puede interesarte: Why DevSecOps Should Strive for Effective Enforcement Measures] (Por qué DevSecOps debería luchar por medidas de aplicación más eficaces)

2. La Seguridad “Eficaz” Tiene Que Detectar

Existen diferentes métodos para integrar tecnologías de protección de las aplicaciones en los canales de CI/CD. Cada uno trata de superar la necesidad de velocidad y minimizar el impacto en el medio ambiente, ya sea latencia, la huella de recursos o los costos de la carga de trabajo. En la mayoría de los casos, hay al menos una o dos deficiencias en los métodos ‘amigables para los desarrolladores’.

i. La solución no cubre la superficie de ataque completa

ii. La solución no aplica un fortalecimiento activo de la seguridad

i. En la actualidad, las amenazas a las aplicaciones van más allá de explotar las vulnerabilidades de códigos y lógicas, que ya son más que suficientes para analizar y abordar. Mantener un seguimiento de las vulnerabilidades conocidas, los protocolos de autenticación y autorización más recientes, y de las diferentes maneras de hackearlos ya es de por sí una tarea enorme. 

Hoy, las aplicaciones, en especial en los entornos de desarrollo modernos, usan las APIs de manera extensa para compartir y consumir datos confidenciales, que son igual de vulnerables y requieren una tecnología quirúrgica dedicada para garantizar que no haya abuso de tokens, uso excesivo o robo de datos mediante inyecciones.

Además de la seguridad de las APIs, muchos servicios confían en bots de integración y servicios, y deben hacer una distinción clara entre los bots buenos y los bots con intenciones maliciosas. Para poder ser aceptado por AD&D, el RASP (Runtime Application Self Protection), que integra la protección en las propias aplicaciones, es vulnerable a algunos ataques, denegación de servicio es solo un ejemplo.

ii. Desde el punto de vista de DevOps, fortalecer la seguridad es riesgoso. Puede afectar la experiencia del usuario o, incluso, romper el flujo, ocasionando errores de tiempo de ejecución. El ciclo de vida del desarrollo de software (SDLC) tiene muchos puntos ciegos en seguridad, en especial en la arquitectura actual híbrida en múltiples nubes. Por esta misma razón, muchas tecnologías proporcionan alertas, lo que es fantástico.

[También puede interesarte: Why DevSecOps Should Strive for Effective Enforcement Measures] (Por qué DevSecOps debería luchar por medidas de aplicación más eficaces)

3. La seguridad “eficaz” debe ser segura

Existe cierta fatiga por las herramientas que solo ofrecen visibilidad. Testeos automáticos de la seguridad, escáneres de vulnerabilidad de los servidores web, sistemas operativos, incluso imágenes de contenedor se quedan cortos en la aplicación real, lo que hace que el desarrollador deba retroceder algunos pasos y aplicar parches. Cuando las alertas son masivas, es mucho más difícil priorizar y abordarlas a todas.

Para los equipos de desarrollo, una versión liberada es algo del pasado, hasta el momento en que un miembro del personal de seguridad viene a decirles que apliquen un parche a esta vulnerabilidad. Si puedes detectarla, bloquéala. Solo recuerda detectar la totalidad del espectro de amenazas. Nadie quiere demasiadas soluciones puntuales porque no resultan necesariamente en una posición de seguridad más robusta.

4. La seguridad “eficaz” debe mantenerse eficaz

La naturaleza dinámica del SDLC con cambios frecuentes y actualizaciones diarias de las aplicaciones puede hacer que las políticas de seguridad sean cada día menos precisas. Este proceso no es escalable y requiere un empleado a tiempo completo para trabajar en las actualizaciones de las reglas, inclusión en listas blancas y manejo de excepciones.

Lee más acerca de Radware’s Dev Friendly Security y Automatic Policy Generation and Optimization Engine.