Contenidos
Vea todas las sesiones bajo demanda de la Cumbre de Seguridad Inteligente aquí.
Los directores de información (CIO) clasifican la seguridad como el desafío número uno. 1 en organizaciones de TI. Y el 82% de ellos dice que sus cadenas de suministro de software son vulnerables.
Por lo tanto, a medida que las amenazas de seguridad continúan evolucionando y se vuelven más sofisticadas, los desarrolladores se han visto obligados a trabajar en estrecha colaboración con los equipos de seguridad para construir una capa de seguridad desde cero y garantizar que se tomen medidas durante todo el ciclo de vida del desarrollo.
Como resultado de este y otros factores, la ciberseguridad se ha convertido en un asunto cada vez más costoso. En un informe reciente, McKinsey predijo que los daños causados por los ciberataques ascenderán a un estimado de $10,5 billones anuales para 2025, un 300 % más que en 2015.
Al mismo tiempo, los gobiernos de todo el mundo han reconocido los riesgos para la cadena de suministro de software. En los Estados Unidos, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha publicado una lista de objetivos de rendimiento cibernético diseñados para proteger la infraestructura crítica en todo el país. Por ahora, estas pautas son voluntarias, pero hay señales de que podrían servir como base para las regulaciones federales.
Evento
Cumbre de seguridad inteligente bajo demanda
Conozca el papel fundamental de la IA y el ML en la ciberseguridad y los estudios de casos específicos de la industria. Mira las sesiones a pedido hoy.
Mira aquí
Esa es una buena señal, pero tal como está, hay un grupo que refuerza cada vez más las primeras líneas de defensa en la batalla por la seguridad de los datos: los desarrolladores.
Cuatro pilares para asegurar su cadena de suministro de software
Los equipos de seguridad tienen la tarea de hacer lo que sea necesario para proteger los datos de su organización, pero con el número y los métodos de ataque cada vez mayores en la cadena de suministro de software, se está convirtiendo en una pregunta difícil. La aplicación de políticas en una amplia variedad de operaciones es una preocupación creciente, y los equipos de seguridad también tienen la tarea de implementar el cumplimiento y las mejores prácticas.
El resultado en muchas organizaciones ha sido un exceso de trabajo de los equipos y un efecto “cuesta abajo” en los equipos de desarrollo que inevitablemente se ven obligados a resolver y fortalecerse contra la miríada de problemas de la cadena de suministro a menudo sin prioridad.
La dura realidad es que la mayoría de las organizaciones no tienen un ingeniero o líder cuyo único enfoque sea DevSecOps. Siendo ese el caso, cada vez es más común que los equipos de seguridad y desarrollo trabajen juntos y “construyan” seguridad en sus aplicaciones y operaciones desde el principio.
Dado que los desarrolladores ahora desempeñan un papel más importante en la lucha por la seguridad de los datos, hay cuatro pilares a tener en cuenta cuando se trata de proteger su cadena de suministro de software:
Poner un mayor enfoque en los paquetes de software
En el nivel más básico, los paquetes de software son módulos de código ensamblados para formar una aplicación. Una estrategia común entre los atacantes de hoy es atacar paquetes comprometidos que contienen más que solo código fuente: puede haber claves confidenciales, configuraciones u otros componentes que podrían dejar vulnerable a una organización.
Como línea de defensa, los desarrolladores necesitan tanto las herramientas como el conocimiento para revelar problemas dentro de los paquetes que no son visibles solo en el código fuente para obtener una comprensión completa del impacto de las posibles vulnerabilidades.
Comprender el contexto en el que opera el software.
Además de los paquetes de software, los desarrolladores deben conocer y comprender el contexto en el que opera el software para protegerlo mejor. En particular, deben identificar y reconocer el mal uso de la biblioteca OSS, el uso inseguro de los servicios, los secretos expuestos y los problemas de configuración de infraestructura como código (IaC). Luego, deben identificar la aplicabilidad y la explotabilidad de las vulnerabilidades más graves en sus aplicaciones.
Las vulnerabilidades y exposiciones comunes (CVE) pueden explotarse o no según las configuraciones de una aplicación, el uso de mecanismos de autenticación y la exposición clave. Los desarrolladores, junto con los equipos de seguridad, deben verificar si las bibliotecas, los servicios, los demonios y el IaC en los que confían están siendo mal utilizados o mal configurados a lo largo de una cadena de suministro de software, incluso en las instalaciones, en la nube y en el perímetro.
Asegúrese de que cada proceso y herramienta incorpore seguridad
Idealmente, los equipos de desarrollo deberían administrar todos los artefactos y repositorios en un solo lugar, creando una única fuente de verdad para una organización. Cuando los equipos de desarrollo tienen el control de toda la cartera, la seguridad es un proceso natural y fluido desde el principio: la única fuente de verdad se convierte en una única fuente de confianza.
Cuando se administra correctamente, cada proceso y herramienta de DevOps requiere e incorpora seguridad. La idea es unificar, acelerar y asegurar la entrega de software desde el desarrollador hasta la distribución. Los equipos de seguridad definen estrategias y políticas, mientras que los equipos de desarrollo depuran y mantienen las bases de código. Los paquetes, la infraestructura, las integraciones, los lanzamientos y los flujos deben abordarse para habilitar un flujo de trabajo que funcione para los equipos clave de DevOps, no solo para los grupos de seguridad y desarrolladores.
Descubrir vulnerabilidades antes de que sean explotadas
La mayoría de las organizaciones deberían trabajar con analistas externos o comunidades de código abierto con experiencia en investigación avanzada para ayudar a descubrir vulnerabilidades antes de que sean explotadas. Esto brinda a las empresas la oportunidad de responder rápidamente a nuevos ataques a medida que se vuelven más frecuentes en la industria, lo que a su vez les permite actualizar rápidamente las bases de datos con análisis contextuales que imitan el trabajo de los investigadores.
Permitir la innovación
La implementación de la seguridad a lo largo del proceso de desarrollo permite a los desarrolladores desarrollar. La implementación de las estrategias anteriores significa que no pasan todo el día solucionando problemas de seguridad que no entienden, lo que les brinda formas más fáciles y rápidas de solucionar vulnerabilidades y saben que las están solucionando por completo.
No se puede discutir que la seguridad es una preocupación real y vital, pero las organizaciones ganadoras son las que la convierten en una prioridad a lo largo de la cadena de suministro de software. Esto, a su vez, permite a sus desarrolladores innovar y hacer avanzar el negocio.
Nati Davidi es vicepresidenta sénior de seguridad en JFrog.
Tomadores de decisiones de datos
¡Bienvenido a la comunidad VentureBeat!
DataDecisionMakers es donde los expertos, incluidos los ingenieros de datos, pueden compartir ideas e innovaciones relacionadas con los datos.
Si desea leer ideas de vanguardia e información actualizada, las mejores prácticas y el futuro de los datos y la tecnología de datos, únase a nosotros en DataDecisionMakers.
¡Incluso podría considerar contribuir con su propio artículo!
Leer más de DataDecisionMakers