Ben Todd, director sénior de seguridad, EMEA, Dynatrace, nos habla sobre la necesidad de automatizar las pruebas durante el desarrollo de software para detectar y evitar vulnerabilidades de forma más eficaz.
El año pasado vimos un aumento de los proyectos de transformación digital que provocó la aceleración de los planes tecnológicos de muchas organizaciones. McKinsey afirma que hemos pasado un punto de inflexión que ha transformado el mundo de los negocios definitivamente. El uso de entornos multicloud y arquitecturas nativas de la nube basadas en microservicios, contenedores y Kubernetes está en el corazón de esta transformación. Aunque este nuevo enfoque ayuda a los equipos de desarrollo y operaciones (DevOps) a mejorar el proceso de transformación digital y reduce los tiempos de desarrollo, conlleva nuevos desafíos de seguridad de aplicaciones que representan un alto riesgo.
Visión cloud
Las plataformas en la nube son el cimiento sobre el que las organizaciones construyen iniciativas de transformación digital basadas en DevOps. Estos entornos impulsan la rentabilidad y una mayor flexibilidad de TI, además de permitir que las organizaciones pivoten rápidamente en respuesta a las demandas cambiantes del mercado. A medida que crece la demanda de innovación, cada día más rápida en todas las industrias, las organizaciones deben incrementar sus inversiones en arquitecturas nativas de la nube. De hecho, Gartner predice que para 2022, el 75% de las organizaciones globales ejecutarán aplicaciones en contenedores para producción, frente a menos del 30% en 2020.
Los contenedores y microservicios dividen la funcionalidad de la aplicación en piezas más manejables que se pueden construir, probar e implementar rápidamente, lo que ayuda a los equipos a acelerar la innovación. Las arquitecturas nativas de la nube también ofrecen a las compañías la flexibilidad de mover cargas de trabajo entre diferentes plataformas para garantizar que su entorno sea siempre el que mejor se adapte a sus necesidades en cualquier momento. Sin embargo, este estadío más dinámico y nativo de la nube viene acompañado de nuevos desafíos. Es posible que los equipos de DevOps no tengan las herramientas o los recursos necesarios para administrar la capa adicional de complejidad e identificar vulnerabilidades en su código antes de que se conviertan en un riesgo.
Este es un reto muy particular dado el uso generalizado de bibliotecas de código abierto. Dichas bibliotecas ayudan a acelerar el tiempo de comercialización al eliminar la necesidad de que los equipos de DevOps escriban cada línea de código desde cero. Sin embargo, también contienen innumerables vulnerabilidades que deben identificarse y eliminarse continuamente. Esto no es fácil en un entorno dinámico nativo de la nube donde el cambio es la única constante.
Las herramientas heredadas crean puntos ciegos
Nuestra propia investigación descubrió preocupaciones adicionales. Por ejemplo, el 89% de los CISO globales admite que los microservicios, contenedores, Kubernetes y entornos multicloud han creado puntos ciegos, ya que sus soluciones de seguridad de las aplicaciones tradicionales son incapaces de verlos. Estas herramientas heredadas se diseñaron para un momento diferente, caracterizado por una infraestructura estática y aplicaciones monolíticas. En esos entornos, un solo escaneo mensual era suficiente para identificar la mayoría de las vulnerabilidades antes de que pudieran explotar. Hoy en día, la vida útil de los contenedores se mide en horas y días. Esas mismas herramientas no pueden seguir ese ritmo de cambio. Por lo general, tampoco pueden ver el interior de las aplicaciones en contenedores ni detectar fallos dentro de su código. Como resultado, incluso las vulnerabilidades mejor documentadas, como la de la biblioteca Apache Struts que causó la brecha de Equifax en 2017, pueden evadir la detección durante meses o incluso años.
Por otra parte, el 85% de los líderes de seguridad encuestados quiere que DevOps y los equipos de aplicaciones asuman una responsabilidad más directa de la gestión de vulnerabilidades. No hay nada de malo en esto; de hecho, muchos consideran DevSecOps y el cambio de seguridad “a la izquierda” como la mejor y más rentable forma de mitigar el riesgo. Sin embargo, las herramientas y los procesos existentes están decepcionando a estos equipos. Los equipos no tienen tiempo para realizar análisis manuales, a menudo carecen de las habilidades necesarias para asumir la responsabilidad de la seguridad y no tienen la capacidad de detectar vulnerabilidades críticas con la suficiente rapidez. Algunos equipos de DevOps pasan por alto los controles de seguridad por completo, mientras que otros se niegan a trabajar con equipos de seguridad ante la posibilidad de que estos ralentizarán el tiempo de comercialización.
Como resultado, más vulnerabilidades se escabullen a través de las redes de seguridad y se abren camino hacia los entornos de producción. Un sorprendente 71% de los CISO en nuestra investigación dijo que no están completamente seguros de que el código esté libre de vulnerabilidades antes de comenzar a producir.
No apto para su propósito
Estos hallazgos subrayan la conclusión de que los enfoques de seguridad tradicionales y las evaluaciones de impacto manuales ya no son adecuadas para su propósito en entornos dinámicos nativos de la nube. La información en tiempo real es crucial cuando los contenedores giran hacia arriba y hacia abajo en segundos y las dependencias entre microservicios cambian continuamente a medida que cruzan los límites entre las plataformas en la nube. Los escáneres de vulnerabilidades heredados ofrecen solo una vista estática en un momento determinado y, a menudo, no pueden diferenciar entre un riesgo potencial y una exposición real. Esto puede llevar a que los equipos de seguridad de las aplicaciones y DevOps se vean abrumados con miles de alertas de vulnerabilidad cada mes, muchas de las cuales son falsos positivos.
No es de extrañar que las tres cuartas partes (74%) de los CISO crean que estas herramientas de análisis de vulnerabilidades son ineficaces. Estas herramientas heredadas no solo no logran mantenerse al día con el rápido ritmo de cambio en los entornos en contenedores, sino que también son culpables de ralentizar la transición a DevSecOps al centrarse en una sola etapa del ciclo de vida de la producción del software. La falta de contexto que esto proporciona hace que sea difícil para los equipos obtener y aplicar los parches correctos, de forma que los equipos no pueden encontrar las vulnerabilidades lo suficientemente rápido como para minimizar el riesgo una vez que se implementa el código. Si combinamos el volumen de falsos positivos y alertas con la falta de contexto que ofrecen las herramientas heredadas obtenemos una receta que se traduce en innumerables horas desperdiciadas y un mayor riesgo de seguridad de las aplicaciones.
La automatización es el futuro
Para superar estos desafíos y eliminar la carga manual de sus equipos, las organizaciones necesitan la capacidad de identificar automáticamente las exposiciones de las aplicaciones. Esto es posible si tienen la capacidad de automatizar las pruebas durante el tiempo de ejecución, sin necesidad de configuración ni esfuerzos adicionales por parte de los equipos de DevOps.
Al combinar los datos de vulnerabilidad con el conocimiento del entorno de ejecución, como si el código en cuestión está expuesto a Internet, los equipos de DevSecOps pueden obtener todo el contexto que necesitan para comprender la causa, la naturaleza y el impacto del problema en tiempo real. Al hacerlo, los equipos pueden reducir el riesgo de manera eficiente y acelerar la innovación a la velocidad del negocio. De hecho, más de las tres cuartas partes (77%) de los CISO dicen que la única forma de que la seguridad se mantenga al día con los entornos de aplicaciones nativos de la nube modernos es reemplazar la implementación, la configuración y la administración manuales con este enfoque más automatizado. Esto no solo será fundamental para proteger a las organizaciones de las amenazas que enfrentan en el mundo nativo de la nube de hoy, sino que también les permitirá impulsar el crecimiento impulsado por la innovación en la nueva era postpandemia.