Extendiendo la pila de amenazas hacia la izquierda con monitoreo de seguridad de aplicação
Threat Stack ahora es F5 Distributed Cloud App Infrastructure Protection (AIP). Comience a utilizar Distributed Cloud AIP con su equipo hoy mismo .
Los desarrolladores siempre han estado sobrecargados de trabajo. Se enfrentan a un flujo constante de trabajo centrado en las características del negocio y necesitan equilibrarlo con trabajo que involucra rendimiento, calidad, confiabilidad y deuda técnica. Si bien DevOps y los pipelines CI/CD altamente automatizados han hecho que los desarrolladores sean más productivos al eliminar tareas no relacionadas con el desarrollo y de bajo valor, en realidad han aumentado aún más la presión para entregar resultados. Según el informe DORA Accelerate 2018: Según el informe sobre el estado de DevOps , los equipos de DevOps de alto rendimiento realizan implementaciones de código con una frecuencia 46 veces mayor que los equipos de bajo rendimiento. Eso supone mucho más trabajo para los desarrolladores: más trabajo de alto impacto, afortunadamente, pero más trabajo al fin y al cabo.
Ahora, la industria de la seguridad llega y les dice a estas organizaciones que necesitan “desplazar la seguridad hacia la izquierda” y adoptar DevSecOps. Esto significa trasladar la responsabilidad de la seguridad a una etapa más temprana del proceso de desarrollo e incorporarla al enfoque DevOps para el desarrollo y la entrega de software. Suena genial en principio, pero las conversaciones de DevSecOps rara vez comienzan con una recomendación para contratar ingenieros de software adicionales. Entonces, ¿cómo se supone que los desarrolladores, que ya están sobrecargados de trabajo, deben asumir la carga de la seguridad además de las características, la calidad, el rendimiento y la deuda técnica? No es que no les importe; es sólo cuestión de tiempo. En un informe reciente de Threat Stack, el 44% de los profesionales de DevOps dijeron que tendrían que confiar en otra persona para problemas relacionados con la seguridad. E incluso si encuentran algo de tiempo para dedicarse a la seguridad, muchos desarrolladores carecen de la experiencia para saber cómo mejorar la seguridad de sus aplicações. Un estudio de 2016 descubrió que de los 10 mejores programas de informática en los EE. UU., ninguno requiere un curso de ciberseguridad para graduarse.
Para muchos desarrolladores, “desplazarse a la izquierda” suena como “dejarnos más trabajo a nosotros”.
Los equipos de seguridad no se muestran insensibles. Han sentido el impacto de tener demasiado software y muy poca cobertura de seguridad durante años. Muchas organizaciones carecen de un equipo dedicado a la seguridad de aplicação , y las que lo tienen tienen recursos limitados. Las empresas que cuentan con un equipo de seguridad de software formal, según la encuesta más reciente de BSIMM , necesitan arreglárselas con un promedio de solo un miembro del equipo de seguridad por cada 75 desarrolladores. ¡Puede estar seguro de que ningún profesional de seguridad quiere ser el que se interponga en el camino de 75 desarrolladores que brindan el valor al cliente prometido a la empresa! En la conferencia RSA de este año, el 40% de los encuestados dijo que el obstáculo más importante para la implementación de programas de seguridad de aplicação era su impacto en la agilidad y la velocidad del desarrollo o la implementación de aplicação .
Entonces ¿cuál es la solución? La seguridad no puede simplemente trasladarse a la lista de tareas pendientes de equipos de desarrollo no preparados y sobrecargados de trabajo; sin embargo, los equipos de AppSec carecen de la capacidad humana y el acceso al SDLC para abordar el riesgo de las aplicação en una etapa temprana del proceso.
Recientemente incorporamos Threat Stack Aplicação Security Monitoring (también conocido como AppSec Monitoring) a nuestra solución de observabilidad de seguridad en la nube de pila completa como parte de Threat Stack Cloud Security Platform® (sin costo adicional). AppSec Monitoring fue diseñado para abordar estos desafíos de DevSecOps de frente. Creemos que la seguridad de las aplicação en un mundo DevOps es posible cuando cumplimos tres objetivos:
- Crear oportunidades para abordar la seguridad de las aplicação lo antes posible en el proceso.
- Proporcionar una manera para que los profesionales de seguridad ayuden a los desarrolladores a priorizar el trabajo que tendrá el mayor impacto.
- Brindar a los desarrolladores el contexto y la capacitación que necesitan para poder reducir el riesgo con una ayuda mínima
Los desarrolladores agregan AppSec Monitoring a su aplicação cuando comienza el desarrollo agregándolo como una dependencia, al igual que cualquier otro componente de terceros. Se agrega una función de inicialización de una línea a la aplicação, y eso es todo lo que se necesita para comenzar. No es necesario instalar ningún servidor ni herramientas adicionales, ni escribir o gestionar pruebas. AppSec Monitoring funciona silenciosamente en segundo plano cada vez que se ejecuta la aplicação , por lo que el desarrollador puede continuar con su trabajo de desarrollo sin disminuir la velocidad. Desde ese momento y durante el resto del SDLC, AppSec Monitoring continúa ejecutándose dentro de la aplicação para ayudar al equipo a proteger y reducir el riesgo.
(Una sola línea de código agrega Threat Stack AppSec Monitoring a cualquier aplicação Node.js).
Cada vez que se ejecuta la aplicação , ya sea en la máquina local de un desarrollador, en el entorno de compilación, en prueba o en producción, Threat Stack analiza la aplicação para identificar riesgos potenciales. Este podría ser un riesgo derivado del uso de criptografía débil, invocaciones de métodos inseguros, configuraciones de base de datos incorrectas o incluso el uso de componentes de terceros conocidos como vulnerables. Los profesionales de seguridad del equipo (o los propios desarrolladores) pueden revisar los hallazgos para decidir cuáles se deben abordar primero, y Threat Stack ayuda a categorizarlos por nivel de riesgo.
El riesgo sólo se puede reducir cuando los desarrolladores tienen la información que necesitan para abordarlo. AppSec Monitoring ofrece esto en forma de contenido de aprendizaje electrónico que explica el riesgo a los desarrolladores en su propio idioma, con ejemplos de código y enlaces a más contenido de aprendizaje externo. También ayuda a los desarrolladores a localizar la ubicación exacta del riesgo en su aplicação (resaltando el nombre del método y del módulo, el nombre del archivo e incluso el número de línea), ya sea que el riesgo esté en su propio código nativo o en un componente de terceros. Los desarrolladores comprenden el problema y tienen el contexto para encontrarlo y solucionarlo en su código, todo ello en las primeras etapas del desarrollo, cuando es más fácil y más económico solucionarlo.
Con estos tres beneficios (identificación temprana de riesgos, ayuda con la priorización y contexto y capacitación para abordar los riesgos), la seguridad de las aplicação no se desplaza a la izquierda: Se estira hacia la izquierda. Está integrado en el proceso y facilita la cooperación entre los equipos de Desarrollo y Seguridad.
Incluso con los mejores esfuerzos de seguridad en tiempo de desarrollo, actores maliciosos aún pueden intentar atacar una aplicação en producción. Si es así, Threat Stack Aplicação Security Monitoring también puede detectar y bloquear esos ataques en tiempo real. Cubriremos exactamente cómo funciona esto en la próxima publicación.
Para obtener más información sobre el monitoreo de seguridad de aplicação de Threat Stack, que está disponible como parte de la plataforma de seguridad en la nube de Threat Stack sin costo adicional, regístrese para una demostración. Nuestros expertos en seguridad estarán encantados de analizar sus requisitos específicos de seguridad y cumplimiento.
Threat Stack ahora es F5 Distributed Cloud App Infrastructure Protection (AIP). Comience a utilizar Distributed Cloud AIP con su equipo hoy mismo .