Análisis de la industria de la ciberseguridad: otra vulnerabilidad recurrente que debemos corregir
Una versión de este artículo apareció en Seguridad de Help Net. Se ha actualizado y distribuido aquí.
He dedicado mi carrera a buscar, arreglar, discutir y derrumbar vulnerabilidades de software, de una forma u otra. Sé que cuando se trata de algunos errores de seguridad comunes, a pesar de estar en nuestra órbita desde los años 90, siguen plagando nuestro software y causando problemas importantes, a pesar de que la solución (a menudo sencilla) se conoce desde hace casi el mismo tiempo. Realmente se siente como el Día de la Marmota, en el que nosotros, como industria, parecemos hacer lo mismo una y otra vez y esperar un resultado diferente.
Sin embargo, hay otro pequeño problema. No estamos recibiendo consejos realistas ni las soluciones más rápidas para combatir el ataque continuo que representa la ciberseguridad moderna. Por supuesto, cada violación es diferente a su manera, y existen numerosos vectores de ataque que pueden explotarse en el software vulnerable. Los consejos genéricos factibles serán limitados, pero el enfoque basado en las mejores prácticas parece tener más defectos cada hora.
Con este fin, me pregunto por qué gran parte de los comentarios y análisis sobre la ciberseguridad han omitido soluciones que realmente abordan la causa fundamental de tantas vulnerabilidades: los seres humanos. La más reciente de Gartner Hype Cycle para la seguridad de las aplicaciones, y Forrester's El estado de la seguridad de las aplicaciones en 2021, ambas biblias para expertos en seguridad que, sin duda, ayudan a dar forma a su programa y a la posible adopción de productos, se centran casi por completo en las herramientas. Un informe de Aberdeen en 2017 demostró lo ingobernable que se había vuelto la tecnología de seguridad promedio, ya que los CISO administran cientos de productos como parte de sus estrategias de seguridad; cuatro años después, nos enfrentamos a más riesgos, más vulnerabilidades y a más incorporaciones a las crecientes bestias de la tecnología.
Las herramientas de seguridad son imprescindibles, pero necesitamos tener una visión más amplia y restablecer el equilibrio del componente humano de la defensa de la seguridad.
La automatización es el futuro. ¿Por qué debemos preocuparnos por el elemento humano de la ciberseguridad?
Prácticamente todo en nuestras vidas funciona con software, y es cierto que la automatización está reemplazando los elementos humanos que alguna vez estuvieron presentes en tantos sectores. Es una señal de progreso en un mundo que se digitaliza a una velocidad vertiginosa, ya que la inteligencia artificial y el aprendizaje automático son temas candentes que mantienen a muchas organizaciones centradas en el futuro.
Entonces, ¿por qué un enfoque de ciberseguridad centrado en las personas sería otra cosa que una solución anticuada para un problema que avanza tecnológicamente? El hecho de que se hayan robado miles de millones de registros de datos en el último año, incluida la violación más reciente de Facebook afectando a más de 500 millones de cuentas, debería indicar que no estamos haciendo lo suficiente (o no estamos adoptando el enfoque correcto) para dar un serio contragolpe a los actores de las amenazas.
Las herramientas de ciberseguridad son un componente muy necesario de la ciberdefensa, y las herramientas siempre tendrán un lugar. Los analistas han estado absolutamente en lo cierto al recomendar las herramientas más recientes en un enfoque de mitigación de riesgos para las empresas, y eso no cambiará. Sin embargo, dado que la calidad del código (y, por definición, la seguridad) es difícil de gestionar con el volumen de producción de código, las herramientas no pueden hacer el trabajo por sí solas. Hasta la fecha, no existe una herramienta única que pueda:
- Analice todas las vulnerabilidades, en todos los idiomas:framework
- Escanear a gran velocidad
- Minimice la doble manipulación provocada por los falsos positivos y negativos
Las herramientas pueden ser lentas, engorrosas y difíciles de manejar. Sin embargo, sobre todo, solo encuentran problemas, no los solucionan ni recomiendan soluciones. Esto último requiere expertos en seguridad, con pocos recursos y con exceso de trabajo, que buscan entre la basura en busca de tesoros entre interminables resultados de análisis y análisis.
El hecho es que, según el informe del índice de inteligencia de ciberseguridad de IBM, el error humano desempeña un papel en El 95% de todas las filtraciones de datos exitosas. Casi la mitad de esos se relacionan directamente con vulnerabilidades de software, muchos de los cuales podrían aliviarse si en las primeras etapas del SDLC hubiera una mayor adhesión a la codificación y el conocimiento seguros. Sin embargo, para que esto suceda, es fundamental que los desarrolladores se centren de manera más precisa y relevante en la educación, además de convertirla en algo intrínseco a su flujo de trabajo.
Nos guste o no, los seres humanos están profundamente arraigados en el proceso de desarrollo de software, y la ciberseguridad es, en gran medida, un problema humano. Las herramientas no servirán para corregir un defecto fundamental de nuestro enfoque, pero pueden desempeñar un papel de apoyo clave en la remodelación de las soluciones humanas.
¿Qué pasaría si solo construyéramos mejores herramientas (y muchas de ellas)?
Las herramientas de seguridad mejoran constantemente. Las herramientas SAST/DAST/IAST han avanzado mucho, mejorando en velocidad e inteligencia, y el RASP debería ser una consideración defensiva seria en muchos entornos de aplicaciones. Los firewalls, los gestores de secretos y las aplicaciones de seguridad en la nube y en la red: todo ello es una obviedad.
Los seres humanos siempre pueden esforzarse por crear mejores herramientas, pero la innovación no está a la altura de las necesidades de seguridad y protección de datos del mundo digital en el que vivimos. Las herramientas se crean, en su mayor parte, pensando en los robots. Pueden estar ahí para ayudar a los desarrolladores y al equipo de seguridad a escanear, supervisar o proteger el código, pero la interacción es muy limitada y muy pocas soluciones tienen como objetivo aumentar la conciencia sobre la seguridad o mejorar las habilidades básicas que pueden conducir a mejores resultados de seguridad.
De hecho, más de la mitad de las empresas ni siquiera saben si las herramientas funcionan para ellas, ni confían en poder evitar una violación de datos devastadora. Ese es un sentimiento muy negativo y, en una industria obsesionada con las herramientas, que no apoya un enfoque diferente, tiende a solidificar el status quo y los problemas internos.
¿Cómo puede una organización aprovechar un enfoque de seguridad dirigido por personas?
No cabe duda de que mantenerse a la vanguardia de las tendencias de la tecnología de seguridad de las aplicaciones es beneficioso e incluso puede ayudar a priorizar las actualizaciones o consolidaciones en un paquete tecnológico exagerado, pero dejar de atacar la causa principal del software vulnerable (nosotros, simples seres humanos) nos mantendrá en el bando perdedor de la batalla de la ciberseguridad.
Si queremos tomar en serio la reducción del número de vulnerabilidades de seguridad a nivel de código, es necesario que los desarrolladores cuenten con las bases para tener éxito en el reparto de la responsabilidad en materia de seguridad. Necesitan una formación práctica y relevante y una mejora de las habilidades en el puesto de trabajo, así como herramientas funcionales que no interrumpan su flujo de trabajo ni hagan que el desarrollo de la seguridad sea una tarea ardua. Lo ideal sería que algunas herramientas estuvieran centradas en los desarrolladores y se crearan teniendo en cuenta su experiencia de usuario.
Hasta el día de hoy, no existe un programa formal de certificación de seguridad para los desarrolladores, pero todas las empresas pueden beneficiarse de la evaluación comparativa y el desarrollo de sus habilidades de codificación segura, eliminando las vulnerabilidades comunes de forma temprana y frecuente, y antes de que esa gran cantidad de tecnología tenga que ponerse manos a la obra y ralentizar todo.
Un equipo de desarrolladores conscientes de la seguridad es un tesoro escondido para cualquier organización, pero como cualquier cosa que valga la pena tener, se necesitará tiempo y esfuerzo para implementar un equipo de ensueño eficaz. Lograr que los desarrolladores se preocupen por la seguridad y consideren que la programación segura es la base de la calidad del código requiere el compromiso de toda la organización de anteponer la seguridad. Y cuando equipos enteros se dan cuenta del impacto positivo que pueden tener al eliminar las vulnerabilidades más comunes a medida que se escribe el código, no hay ninguna herramienta en el mundo que pueda competir con ella.
No estamos recibiendo consejos realistas ni las soluciones más rápidas para combatir el ataque continuo que representa la ciberseguridad moderna. Por supuesto, cada violación es diferente a su manera, y existen numerosos vectores de ataque que pueden explotarse en el software vulnerable. Los consejos genéricos factibles serán limitados, pero el enfoque basado en las mejores prácticas parece tener más defectos cada hora.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Una versión de este artículo apareció en Seguridad de Help Net. Se ha actualizado y distribuido aquí.
He dedicado mi carrera a buscar, arreglar, discutir y derrumbar vulnerabilidades de software, de una forma u otra. Sé que cuando se trata de algunos errores de seguridad comunes, a pesar de estar en nuestra órbita desde los años 90, siguen plagando nuestro software y causando problemas importantes, a pesar de que la solución (a menudo sencilla) se conoce desde hace casi el mismo tiempo. Realmente se siente como el Día de la Marmota, en el que nosotros, como industria, parecemos hacer lo mismo una y otra vez y esperar un resultado diferente.
Sin embargo, hay otro pequeño problema. No estamos recibiendo consejos realistas ni las soluciones más rápidas para combatir el ataque continuo que representa la ciberseguridad moderna. Por supuesto, cada violación es diferente a su manera, y existen numerosos vectores de ataque que pueden explotarse en el software vulnerable. Los consejos genéricos factibles serán limitados, pero el enfoque basado en las mejores prácticas parece tener más defectos cada hora.
Con este fin, me pregunto por qué gran parte de los comentarios y análisis sobre la ciberseguridad han omitido soluciones que realmente abordan la causa fundamental de tantas vulnerabilidades: los seres humanos. La más reciente de Gartner Hype Cycle para la seguridad de las aplicaciones, y Forrester's El estado de la seguridad de las aplicaciones en 2021, ambas biblias para expertos en seguridad que, sin duda, ayudan a dar forma a su programa y a la posible adopción de productos, se centran casi por completo en las herramientas. Un informe de Aberdeen en 2017 demostró lo ingobernable que se había vuelto la tecnología de seguridad promedio, ya que los CISO administran cientos de productos como parte de sus estrategias de seguridad; cuatro años después, nos enfrentamos a más riesgos, más vulnerabilidades y a más incorporaciones a las crecientes bestias de la tecnología.
Las herramientas de seguridad son imprescindibles, pero necesitamos tener una visión más amplia y restablecer el equilibrio del componente humano de la defensa de la seguridad.
La automatización es el futuro. ¿Por qué debemos preocuparnos por el elemento humano de la ciberseguridad?
Prácticamente todo en nuestras vidas funciona con software, y es cierto que la automatización está reemplazando los elementos humanos que alguna vez estuvieron presentes en tantos sectores. Es una señal de progreso en un mundo que se digitaliza a una velocidad vertiginosa, ya que la inteligencia artificial y el aprendizaje automático son temas candentes que mantienen a muchas organizaciones centradas en el futuro.
Entonces, ¿por qué un enfoque de ciberseguridad centrado en las personas sería otra cosa que una solución anticuada para un problema que avanza tecnológicamente? El hecho de que se hayan robado miles de millones de registros de datos en el último año, incluida la violación más reciente de Facebook afectando a más de 500 millones de cuentas, debería indicar que no estamos haciendo lo suficiente (o no estamos adoptando el enfoque correcto) para dar un serio contragolpe a los actores de las amenazas.
Las herramientas de ciberseguridad son un componente muy necesario de la ciberdefensa, y las herramientas siempre tendrán un lugar. Los analistas han estado absolutamente en lo cierto al recomendar las herramientas más recientes en un enfoque de mitigación de riesgos para las empresas, y eso no cambiará. Sin embargo, dado que la calidad del código (y, por definición, la seguridad) es difícil de gestionar con el volumen de producción de código, las herramientas no pueden hacer el trabajo por sí solas. Hasta la fecha, no existe una herramienta única que pueda:
- Analice todas las vulnerabilidades, en todos los idiomas:framework
- Escanear a gran velocidad
- Minimice la doble manipulación provocada por los falsos positivos y negativos
Las herramientas pueden ser lentas, engorrosas y difíciles de manejar. Sin embargo, sobre todo, solo encuentran problemas, no los solucionan ni recomiendan soluciones. Esto último requiere expertos en seguridad, con pocos recursos y con exceso de trabajo, que buscan entre la basura en busca de tesoros entre interminables resultados de análisis y análisis.
El hecho es que, según el informe del índice de inteligencia de ciberseguridad de IBM, el error humano desempeña un papel en El 95% de todas las filtraciones de datos exitosas. Casi la mitad de esos se relacionan directamente con vulnerabilidades de software, muchos de los cuales podrían aliviarse si en las primeras etapas del SDLC hubiera una mayor adhesión a la codificación y el conocimiento seguros. Sin embargo, para que esto suceda, es fundamental que los desarrolladores se centren de manera más precisa y relevante en la educación, además de convertirla en algo intrínseco a su flujo de trabajo.
Nos guste o no, los seres humanos están profundamente arraigados en el proceso de desarrollo de software, y la ciberseguridad es, en gran medida, un problema humano. Las herramientas no servirán para corregir un defecto fundamental de nuestro enfoque, pero pueden desempeñar un papel de apoyo clave en la remodelación de las soluciones humanas.
¿Qué pasaría si solo construyéramos mejores herramientas (y muchas de ellas)?
Las herramientas de seguridad mejoran constantemente. Las herramientas SAST/DAST/IAST han avanzado mucho, mejorando en velocidad e inteligencia, y el RASP debería ser una consideración defensiva seria en muchos entornos de aplicaciones. Los firewalls, los gestores de secretos y las aplicaciones de seguridad en la nube y en la red: todo ello es una obviedad.
Los seres humanos siempre pueden esforzarse por crear mejores herramientas, pero la innovación no está a la altura de las necesidades de seguridad y protección de datos del mundo digital en el que vivimos. Las herramientas se crean, en su mayor parte, pensando en los robots. Pueden estar ahí para ayudar a los desarrolladores y al equipo de seguridad a escanear, supervisar o proteger el código, pero la interacción es muy limitada y muy pocas soluciones tienen como objetivo aumentar la conciencia sobre la seguridad o mejorar las habilidades básicas que pueden conducir a mejores resultados de seguridad.
De hecho, más de la mitad de las empresas ni siquiera saben si las herramientas funcionan para ellas, ni confían en poder evitar una violación de datos devastadora. Ese es un sentimiento muy negativo y, en una industria obsesionada con las herramientas, que no apoya un enfoque diferente, tiende a solidificar el status quo y los problemas internos.
¿Cómo puede una organización aprovechar un enfoque de seguridad dirigido por personas?
No cabe duda de que mantenerse a la vanguardia de las tendencias de la tecnología de seguridad de las aplicaciones es beneficioso e incluso puede ayudar a priorizar las actualizaciones o consolidaciones en un paquete tecnológico exagerado, pero dejar de atacar la causa principal del software vulnerable (nosotros, simples seres humanos) nos mantendrá en el bando perdedor de la batalla de la ciberseguridad.
Si queremos tomar en serio la reducción del número de vulnerabilidades de seguridad a nivel de código, es necesario que los desarrolladores cuenten con las bases para tener éxito en el reparto de la responsabilidad en materia de seguridad. Necesitan una formación práctica y relevante y una mejora de las habilidades en el puesto de trabajo, así como herramientas funcionales que no interrumpan su flujo de trabajo ni hagan que el desarrollo de la seguridad sea una tarea ardua. Lo ideal sería que algunas herramientas estuvieran centradas en los desarrolladores y se crearan teniendo en cuenta su experiencia de usuario.
Hasta el día de hoy, no existe un programa formal de certificación de seguridad para los desarrolladores, pero todas las empresas pueden beneficiarse de la evaluación comparativa y el desarrollo de sus habilidades de codificación segura, eliminando las vulnerabilidades comunes de forma temprana y frecuente, y antes de que esa gran cantidad de tecnología tenga que ponerse manos a la obra y ralentizar todo.
Un equipo de desarrolladores conscientes de la seguridad es un tesoro escondido para cualquier organización, pero como cualquier cosa que valga la pena tener, se necesitará tiempo y esfuerzo para implementar un equipo de ensueño eficaz. Lograr que los desarrolladores se preocupen por la seguridad y consideren que la programación segura es la base de la calidad del código requiere el compromiso de toda la organización de anteponer la seguridad. Y cuando equipos enteros se dan cuenta del impacto positivo que pueden tener al eliminar las vulnerabilidades más comunes a medida que se escribe el código, no hay ninguna herramienta en el mundo que pueda competir con ella.
Una versión de este artículo apareció en Seguridad de Help Net. Se ha actualizado y distribuido aquí.
He dedicado mi carrera a buscar, arreglar, discutir y derrumbar vulnerabilidades de software, de una forma u otra. Sé que cuando se trata de algunos errores de seguridad comunes, a pesar de estar en nuestra órbita desde los años 90, siguen plagando nuestro software y causando problemas importantes, a pesar de que la solución (a menudo sencilla) se conoce desde hace casi el mismo tiempo. Realmente se siente como el Día de la Marmota, en el que nosotros, como industria, parecemos hacer lo mismo una y otra vez y esperar un resultado diferente.
Sin embargo, hay otro pequeño problema. No estamos recibiendo consejos realistas ni las soluciones más rápidas para combatir el ataque continuo que representa la ciberseguridad moderna. Por supuesto, cada violación es diferente a su manera, y existen numerosos vectores de ataque que pueden explotarse en el software vulnerable. Los consejos genéricos factibles serán limitados, pero el enfoque basado en las mejores prácticas parece tener más defectos cada hora.
Con este fin, me pregunto por qué gran parte de los comentarios y análisis sobre la ciberseguridad han omitido soluciones que realmente abordan la causa fundamental de tantas vulnerabilidades: los seres humanos. La más reciente de Gartner Hype Cycle para la seguridad de las aplicaciones, y Forrester's El estado de la seguridad de las aplicaciones en 2021, ambas biblias para expertos en seguridad que, sin duda, ayudan a dar forma a su programa y a la posible adopción de productos, se centran casi por completo en las herramientas. Un informe de Aberdeen en 2017 demostró lo ingobernable que se había vuelto la tecnología de seguridad promedio, ya que los CISO administran cientos de productos como parte de sus estrategias de seguridad; cuatro años después, nos enfrentamos a más riesgos, más vulnerabilidades y a más incorporaciones a las crecientes bestias de la tecnología.
Las herramientas de seguridad son imprescindibles, pero necesitamos tener una visión más amplia y restablecer el equilibrio del componente humano de la defensa de la seguridad.
La automatización es el futuro. ¿Por qué debemos preocuparnos por el elemento humano de la ciberseguridad?
Prácticamente todo en nuestras vidas funciona con software, y es cierto que la automatización está reemplazando los elementos humanos que alguna vez estuvieron presentes en tantos sectores. Es una señal de progreso en un mundo que se digitaliza a una velocidad vertiginosa, ya que la inteligencia artificial y el aprendizaje automático son temas candentes que mantienen a muchas organizaciones centradas en el futuro.
Entonces, ¿por qué un enfoque de ciberseguridad centrado en las personas sería otra cosa que una solución anticuada para un problema que avanza tecnológicamente? El hecho de que se hayan robado miles de millones de registros de datos en el último año, incluida la violación más reciente de Facebook afectando a más de 500 millones de cuentas, debería indicar que no estamos haciendo lo suficiente (o no estamos adoptando el enfoque correcto) para dar un serio contragolpe a los actores de las amenazas.
Las herramientas de ciberseguridad son un componente muy necesario de la ciberdefensa, y las herramientas siempre tendrán un lugar. Los analistas han estado absolutamente en lo cierto al recomendar las herramientas más recientes en un enfoque de mitigación de riesgos para las empresas, y eso no cambiará. Sin embargo, dado que la calidad del código (y, por definición, la seguridad) es difícil de gestionar con el volumen de producción de código, las herramientas no pueden hacer el trabajo por sí solas. Hasta la fecha, no existe una herramienta única que pueda:
- Analice todas las vulnerabilidades, en todos los idiomas:framework
- Escanear a gran velocidad
- Minimice la doble manipulación provocada por los falsos positivos y negativos
Las herramientas pueden ser lentas, engorrosas y difíciles de manejar. Sin embargo, sobre todo, solo encuentran problemas, no los solucionan ni recomiendan soluciones. Esto último requiere expertos en seguridad, con pocos recursos y con exceso de trabajo, que buscan entre la basura en busca de tesoros entre interminables resultados de análisis y análisis.
El hecho es que, según el informe del índice de inteligencia de ciberseguridad de IBM, el error humano desempeña un papel en El 95% de todas las filtraciones de datos exitosas. Casi la mitad de esos se relacionan directamente con vulnerabilidades de software, muchos de los cuales podrían aliviarse si en las primeras etapas del SDLC hubiera una mayor adhesión a la codificación y el conocimiento seguros. Sin embargo, para que esto suceda, es fundamental que los desarrolladores se centren de manera más precisa y relevante en la educación, además de convertirla en algo intrínseco a su flujo de trabajo.
Nos guste o no, los seres humanos están profundamente arraigados en el proceso de desarrollo de software, y la ciberseguridad es, en gran medida, un problema humano. Las herramientas no servirán para corregir un defecto fundamental de nuestro enfoque, pero pueden desempeñar un papel de apoyo clave en la remodelación de las soluciones humanas.
¿Qué pasaría si solo construyéramos mejores herramientas (y muchas de ellas)?
Las herramientas de seguridad mejoran constantemente. Las herramientas SAST/DAST/IAST han avanzado mucho, mejorando en velocidad e inteligencia, y el RASP debería ser una consideración defensiva seria en muchos entornos de aplicaciones. Los firewalls, los gestores de secretos y las aplicaciones de seguridad en la nube y en la red: todo ello es una obviedad.
Los seres humanos siempre pueden esforzarse por crear mejores herramientas, pero la innovación no está a la altura de las necesidades de seguridad y protección de datos del mundo digital en el que vivimos. Las herramientas se crean, en su mayor parte, pensando en los robots. Pueden estar ahí para ayudar a los desarrolladores y al equipo de seguridad a escanear, supervisar o proteger el código, pero la interacción es muy limitada y muy pocas soluciones tienen como objetivo aumentar la conciencia sobre la seguridad o mejorar las habilidades básicas que pueden conducir a mejores resultados de seguridad.
De hecho, más de la mitad de las empresas ni siquiera saben si las herramientas funcionan para ellas, ni confían en poder evitar una violación de datos devastadora. Ese es un sentimiento muy negativo y, en una industria obsesionada con las herramientas, que no apoya un enfoque diferente, tiende a solidificar el status quo y los problemas internos.
¿Cómo puede una organización aprovechar un enfoque de seguridad dirigido por personas?
No cabe duda de que mantenerse a la vanguardia de las tendencias de la tecnología de seguridad de las aplicaciones es beneficioso e incluso puede ayudar a priorizar las actualizaciones o consolidaciones en un paquete tecnológico exagerado, pero dejar de atacar la causa principal del software vulnerable (nosotros, simples seres humanos) nos mantendrá en el bando perdedor de la batalla de la ciberseguridad.
Si queremos tomar en serio la reducción del número de vulnerabilidades de seguridad a nivel de código, es necesario que los desarrolladores cuenten con las bases para tener éxito en el reparto de la responsabilidad en materia de seguridad. Necesitan una formación práctica y relevante y una mejora de las habilidades en el puesto de trabajo, así como herramientas funcionales que no interrumpan su flujo de trabajo ni hagan que el desarrollo de la seguridad sea una tarea ardua. Lo ideal sería que algunas herramientas estuvieran centradas en los desarrolladores y se crearan teniendo en cuenta su experiencia de usuario.
Hasta el día de hoy, no existe un programa formal de certificación de seguridad para los desarrolladores, pero todas las empresas pueden beneficiarse de la evaluación comparativa y el desarrollo de sus habilidades de codificación segura, eliminando las vulnerabilidades comunes de forma temprana y frecuente, y antes de que esa gran cantidad de tecnología tenga que ponerse manos a la obra y ralentizar todo.
Un equipo de desarrolladores conscientes de la seguridad es un tesoro escondido para cualquier organización, pero como cualquier cosa que valga la pena tener, se necesitará tiempo y esfuerzo para implementar un equipo de ensueño eficaz. Lograr que los desarrolladores se preocupen por la seguridad y consideren que la programación segura es la base de la calidad del código requiere el compromiso de toda la organización de anteponer la seguridad. Y cuando equipos enteros se dan cuenta del impacto positivo que pueden tener al eliminar las vulnerabilidades más comunes a medida que se escribe el código, no hay ninguna herramienta en el mundo que pueda competir con ella.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Una versión de este artículo apareció en Seguridad de Help Net. Se ha actualizado y distribuido aquí.
He dedicado mi carrera a buscar, arreglar, discutir y derrumbar vulnerabilidades de software, de una forma u otra. Sé que cuando se trata de algunos errores de seguridad comunes, a pesar de estar en nuestra órbita desde los años 90, siguen plagando nuestro software y causando problemas importantes, a pesar de que la solución (a menudo sencilla) se conoce desde hace casi el mismo tiempo. Realmente se siente como el Día de la Marmota, en el que nosotros, como industria, parecemos hacer lo mismo una y otra vez y esperar un resultado diferente.
Sin embargo, hay otro pequeño problema. No estamos recibiendo consejos realistas ni las soluciones más rápidas para combatir el ataque continuo que representa la ciberseguridad moderna. Por supuesto, cada violación es diferente a su manera, y existen numerosos vectores de ataque que pueden explotarse en el software vulnerable. Los consejos genéricos factibles serán limitados, pero el enfoque basado en las mejores prácticas parece tener más defectos cada hora.
Con este fin, me pregunto por qué gran parte de los comentarios y análisis sobre la ciberseguridad han omitido soluciones que realmente abordan la causa fundamental de tantas vulnerabilidades: los seres humanos. La más reciente de Gartner Hype Cycle para la seguridad de las aplicaciones, y Forrester's El estado de la seguridad de las aplicaciones en 2021, ambas biblias para expertos en seguridad que, sin duda, ayudan a dar forma a su programa y a la posible adopción de productos, se centran casi por completo en las herramientas. Un informe de Aberdeen en 2017 demostró lo ingobernable que se había vuelto la tecnología de seguridad promedio, ya que los CISO administran cientos de productos como parte de sus estrategias de seguridad; cuatro años después, nos enfrentamos a más riesgos, más vulnerabilidades y a más incorporaciones a las crecientes bestias de la tecnología.
Las herramientas de seguridad son imprescindibles, pero necesitamos tener una visión más amplia y restablecer el equilibrio del componente humano de la defensa de la seguridad.
La automatización es el futuro. ¿Por qué debemos preocuparnos por el elemento humano de la ciberseguridad?
Prácticamente todo en nuestras vidas funciona con software, y es cierto que la automatización está reemplazando los elementos humanos que alguna vez estuvieron presentes en tantos sectores. Es una señal de progreso en un mundo que se digitaliza a una velocidad vertiginosa, ya que la inteligencia artificial y el aprendizaje automático son temas candentes que mantienen a muchas organizaciones centradas en el futuro.
Entonces, ¿por qué un enfoque de ciberseguridad centrado en las personas sería otra cosa que una solución anticuada para un problema que avanza tecnológicamente? El hecho de que se hayan robado miles de millones de registros de datos en el último año, incluida la violación más reciente de Facebook afectando a más de 500 millones de cuentas, debería indicar que no estamos haciendo lo suficiente (o no estamos adoptando el enfoque correcto) para dar un serio contragolpe a los actores de las amenazas.
Las herramientas de ciberseguridad son un componente muy necesario de la ciberdefensa, y las herramientas siempre tendrán un lugar. Los analistas han estado absolutamente en lo cierto al recomendar las herramientas más recientes en un enfoque de mitigación de riesgos para las empresas, y eso no cambiará. Sin embargo, dado que la calidad del código (y, por definición, la seguridad) es difícil de gestionar con el volumen de producción de código, las herramientas no pueden hacer el trabajo por sí solas. Hasta la fecha, no existe una herramienta única que pueda:
- Analice todas las vulnerabilidades, en todos los idiomas:framework
- Escanear a gran velocidad
- Minimice la doble manipulación provocada por los falsos positivos y negativos
Las herramientas pueden ser lentas, engorrosas y difíciles de manejar. Sin embargo, sobre todo, solo encuentran problemas, no los solucionan ni recomiendan soluciones. Esto último requiere expertos en seguridad, con pocos recursos y con exceso de trabajo, que buscan entre la basura en busca de tesoros entre interminables resultados de análisis y análisis.
El hecho es que, según el informe del índice de inteligencia de ciberseguridad de IBM, el error humano desempeña un papel en El 95% de todas las filtraciones de datos exitosas. Casi la mitad de esos se relacionan directamente con vulnerabilidades de software, muchos de los cuales podrían aliviarse si en las primeras etapas del SDLC hubiera una mayor adhesión a la codificación y el conocimiento seguros. Sin embargo, para que esto suceda, es fundamental que los desarrolladores se centren de manera más precisa y relevante en la educación, además de convertirla en algo intrínseco a su flujo de trabajo.
Nos guste o no, los seres humanos están profundamente arraigados en el proceso de desarrollo de software, y la ciberseguridad es, en gran medida, un problema humano. Las herramientas no servirán para corregir un defecto fundamental de nuestro enfoque, pero pueden desempeñar un papel de apoyo clave en la remodelación de las soluciones humanas.
¿Qué pasaría si solo construyéramos mejores herramientas (y muchas de ellas)?
Las herramientas de seguridad mejoran constantemente. Las herramientas SAST/DAST/IAST han avanzado mucho, mejorando en velocidad e inteligencia, y el RASP debería ser una consideración defensiva seria en muchos entornos de aplicaciones. Los firewalls, los gestores de secretos y las aplicaciones de seguridad en la nube y en la red: todo ello es una obviedad.
Los seres humanos siempre pueden esforzarse por crear mejores herramientas, pero la innovación no está a la altura de las necesidades de seguridad y protección de datos del mundo digital en el que vivimos. Las herramientas se crean, en su mayor parte, pensando en los robots. Pueden estar ahí para ayudar a los desarrolladores y al equipo de seguridad a escanear, supervisar o proteger el código, pero la interacción es muy limitada y muy pocas soluciones tienen como objetivo aumentar la conciencia sobre la seguridad o mejorar las habilidades básicas que pueden conducir a mejores resultados de seguridad.
De hecho, más de la mitad de las empresas ni siquiera saben si las herramientas funcionan para ellas, ni confían en poder evitar una violación de datos devastadora. Ese es un sentimiento muy negativo y, en una industria obsesionada con las herramientas, que no apoya un enfoque diferente, tiende a solidificar el status quo y los problemas internos.
¿Cómo puede una organización aprovechar un enfoque de seguridad dirigido por personas?
No cabe duda de que mantenerse a la vanguardia de las tendencias de la tecnología de seguridad de las aplicaciones es beneficioso e incluso puede ayudar a priorizar las actualizaciones o consolidaciones en un paquete tecnológico exagerado, pero dejar de atacar la causa principal del software vulnerable (nosotros, simples seres humanos) nos mantendrá en el bando perdedor de la batalla de la ciberseguridad.
Si queremos tomar en serio la reducción del número de vulnerabilidades de seguridad a nivel de código, es necesario que los desarrolladores cuenten con las bases para tener éxito en el reparto de la responsabilidad en materia de seguridad. Necesitan una formación práctica y relevante y una mejora de las habilidades en el puesto de trabajo, así como herramientas funcionales que no interrumpan su flujo de trabajo ni hagan que el desarrollo de la seguridad sea una tarea ardua. Lo ideal sería que algunas herramientas estuvieran centradas en los desarrolladores y se crearan teniendo en cuenta su experiencia de usuario.
Hasta el día de hoy, no existe un programa formal de certificación de seguridad para los desarrolladores, pero todas las empresas pueden beneficiarse de la evaluación comparativa y el desarrollo de sus habilidades de codificación segura, eliminando las vulnerabilidades comunes de forma temprana y frecuente, y antes de que esa gran cantidad de tecnología tenga que ponerse manos a la obra y ralentizar todo.
Un equipo de desarrolladores conscientes de la seguridad es un tesoro escondido para cualquier organización, pero como cualquier cosa que valga la pena tener, se necesitará tiempo y esfuerzo para implementar un equipo de ensueño eficaz. Lograr que los desarrolladores se preocupen por la seguridad y consideren que la programación segura es la base de la calidad del código requiere el compromiso de toda la organización de anteponer la seguridad. Y cuando equipos enteros se dan cuenta del impacto positivo que pueden tener al eliminar las vulnerabilidades más comunes a medida que se escribe el código, no hay ninguna herramienta en el mundo que pueda competir con ella.
%20(1).avif)
.avif)
