La Seguridad de Software en el 2021: Nuestros expertos opinan

Comparte este artículo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp

Decir que 2020 fue un año inusual sería quedarse corto. Los negocios, el gobierno, la atención médica y la educación cambiaron drásticamente con muchas organizaciones que realizaron grandes transformaciones digitales que en muchos casos no fueron planeadas.

Las modificaciones que tuvieron que hacer casi todas las organizaciones fueron impulsadas principalmente por eventos fuera del control de cualquiera. Sin embargo, su éxito en esta transformación en muchos casos fue más que notable, fueron destacables.

De cualquier manera, con todos los ajustes que se llevaron a cabo, el mundo del atacante cibernético frente al defensor cibernético no cambió mucho, aparte de que las superficies de ataque y el panorama de amenazas se extendieron más allá de la capacidad de medición de cualquiera.

Como resultado, una vez más nos reunimos con dos de los expertos residentes de Checkmarx para comprender mejor lo que podemos esperar para el 2021 en términos de amenazas emergentes, nuevos mecanismos de defensa, desarrollos y enfoques de implementación de software innovador, y más.

Todas estas predicciones se derivaron de las tendencias observadas, el conocimiento profesional y el conocimiento profundo de las industrias impulsadas por la tecnología y el software en su conjunto. Sus predicciones son las siguientes:

La seguridad de software correrá para alcanzar la velocidad de desarrollo y para adaptarse a la nube

Maty Siman, CTO

Desarrollar y lanzar aplicaciones rápidamente mientras se mantiene la seguridad es una mentalidad de la cual se habla mucho, pero no se ejecuta de manera efectiva.

El desarrollo en la nube debe suceder rápidamente con la mayor cantidad posible de caídas. Con esto, la filosofía de muchas organizaciones en la actualidad está en hacer que el software entre a producción rápidamente y retroceder si se encuentra un error, para impulsar las funciones de una manera más rápida.

Pero esto no funciona desde la perspectiva de la seguridad, debido a que no puedes enviar código y luego retroceder para corregir vulnerabilidades, ya que presenta una oportunidad para que los actores malintencionados se infiltren en tus sistemas.

En 2021, las herramientas utilizadas para la seguridad de las aplicaciones que se integran en la cadena de herramientas deben funcionar mucho más rápidamente, escalar a entornos en la nube y presentar hallazgos procesables en un formato que los desarrolladores puedan comprender y usar para realizar soluciones rápidas.

El hacking de código abierto se acelerará al tiempo que las organizaciones buscan frustrar a los actores malintencionados

Los hackers consideran que el código abierto es una forma fácil de acceder a las organizaciones, y esta tendencia se acelerará en 2021.

Rara vez pasa una semana sin que se descubran paquetes maliciosos de código abierto.

<< Recomendado: [Webinar] ¿Cómo automatizar la seguridad en DevOps? >>

Por un lado, las organizaciones entienden que necesitan proteger los componentes de código abierto que están usando, y las soluciones existentes les ayudan a eliminar paquetes que son vulnerables por error (cuando un desarrollador coloca accidentalmente una vulnerabilidad en el paquete), pero aún no visibilizan los casos en los que los adversarios introducen maliciosamente código contaminado en los paquetes. Esto debe cambiar en 2021.

Como punto de partida, es mejor ceñirse a componentes de código abierto bien conocidos (frente a inmaduros) para proyectos críticos y revisar las políticas mediante las cuales los proyectos de código abierto aceptan nuevos contribuyentes (ya sea que permitan que cualquiera contribuya o realice verificaciones de antecedentes para eliminar a los malos actores potenciales).

La demanda de seguridad basada en la nube aumenta el uso de la “Infraestructura-como-Código” (IaC)

La escalada digital que se produjo en 2020 de la noche a la mañana obligó a muchas organizaciones a recurrir a la nube para mantener la continuidad del negocio, la cual ofrece ventajas obvias para apoyar a una fuerza laboral dispersa.

Pero, con esta transición vienen nuevos desafíos, uno de los más grandes gira en torno al surgimiento de la “Infraestructura-como-Código” (IaC).

La “IaC” ha obligado a los desarrolladores a entrar en aguas desconocidas, debido a la falta de formación adecuada y a la creciente presión para crear código rápidamente en estos entornos.

La arquitectura real de este código es extremadamente compleja y las herramientas de seguridad en el mercado actual son generalmente demasiado dispares para detectar brechas en el código.

En 2021, espero que los atacantes malintencionados se aprovechen de los errores de los desarrolladores en estos entornos flexibles.

Para combatir esta tendencia, veremos una mayor concentración en torno a la capacitación en seguridad en la nube, las mejores prácticas de IaC y el gasto adicional asignado a la seguridad de software y aplicaciones para respaldar la demanda de una fuerza de trabajo remota y ecosistemas de software más complejos.

seguridad-de-software

Seguridad reportará a Desarrollo, no al revés

No es ningún secreto que los desarrolladores marcan tendencias en las organizaciones que se dirigen hacia la transformación digital. La integración de la seguridad en el desarrollo de software debe adoptar un enfoque de abajo hacia arriba y de arriba hacia abajo.

Los desarrolladores son obstinados y cada vez más influyentes, y no se les puede obligar a hacer o usar algo que no compren. Para fomentar la colaboración entre seguridad y desarrollo, la seguridad en 2021 deberá integrarse en la cadena de herramientas de los programadores de una manera con la que este último se sienta más cómodo.

Los desarrolladores ya no están dispuestos a cambiar entre diferentes interfaces (una para el desarrollo y otra para la seguridad), ni deberían tener que hacerlo si se les exige velocidad a la par que seguridad.

Quieren consumir todos los datos, ya sea que hablemos de datos relacionados con problemas de calidad o problemas de seguridad, de una manera simplificada.

La seguridad se reunirá con los desarrolladores donde estén, utilizando las interfaces y herramientas que prefieran.

El contexto será el rey. Con una perspectiva holística de la aplicación, la postura de seguridad mejora

Durante el 2021 dejaremos atrás las soluciones de “pony de un solo truco”.

Este año traerá la convergencia del mercado de AppSec a medida que la demanda de las organizaciones por obtener una perspectiva holística sobre la postura de seguridad de sus aplicaciones desde varios puntos de vista (por ejemplo, comprender el contexto de la aplicación y combinarlo con la infraestructura como código) impulsa la adopción de soluciones de ventanilla única que proporcionan una vista completa del ecosistema.

En lo que respecta a la seguridad del código abierto en particular, las vistas más completas permitirán a las organizaciones no solo saber si están consumiendo un paquete vulnerable, sino también, y lo que es más importante, si la forma en que la aplicación lo consume constituye un posible ataque o vulnerabilidad.

Éste es un ejemplo específico. Cuando existe una vulnerabilidad en un componente de código abierto, se deben cumplir tres condiciones para que un hacker la explote:

1) se necesita consumir ese código abierto en esa versión vulnerable,

2) la aplicación necesita codificar a una función específica en ese código abierto, y

3) la infraestructura como código necesita abrir un puerto específico. Solo al tener información contextualizada mediante la combinación de estos tres datos, se puede saber con precisión si se es vulnerable a un ataque.

La seguridad nativa en la nube ocupará un lugar central

Erez Yalon, Director de Investigación de Seguridad

Cuando se trata de seguridad y desarrollo de software moderno la palabra de moda ha sido API. Pero si el 2020 fue el año de la API, 2021 será el año en el que la seguridad nativa en la nube se robe el centro de atención.

Las API juegan un papel importante en la seguridad nativa en la nube, pero la atención se centrará en cómo las tecnologías basadas en la nube continúan proliferando y aumentando su adopción en las organizaciones.

Asegurar los ecosistemas resultantes de soluciones interconectadas basadas en la nube se convertirá en una prioridad.

En su estado actual, la comprensión generalizada de la seguridad nativa de la nube aún está en su infancia.

Las API, los contenedores y las herramientas de orquestación son ahora comunes en el desarrollo de software, y las organizaciones han estado trabajando arduamente para aumentar la conectividad entre las diferentes herramientas que han empleado para impulsar la eficiencia y la productividad.

Pero en cada punto de conexión, existe el riesgo de una vulnerabilidad que podría conducir a una brecha. En 2021, veremos a las organizaciones enfrentarse a esta realidad de la complejidad del software y tomar medidas para protegerse a sí mismas.

Las API vulnerables serán las principales responsables de las brechas de seguridad relacionadas con el software y las aplicaciones

Si bien el conocimiento sobre la seguridad de las API ha mejorado en los últimos años, aún podemos predecir que seguirán siendo un vector de ataque superior, si no el principal, para los adversarios en 2021.

Si bien estas interfaces se han convertido en una forma conveniente para que los desarrolladores creen y ejecuten más aplicaciones complejas, problemas como el control de acceso representan un desafío para los desarrolladores, ya que dar cuenta y eliminar estas vulnerabilidades es una tarea difícil con pocas soluciones fáciles.

A medida que los actores maliciosos continúan aumentando sus ataques dirigidos a API y las organizaciones se ponen al día en su comprensión de cómo se pueden explotar estos programas, los adversarios tomarán ventaja de esta brecha a corto plazo, lo que obligará a los desarrolladores a identificar rápidamente formas de mejorar los procesos de autenticación y autorización de sus API.

Los dispositivos de IoT heredados harán que los consumidores sean particularmente vulnerables

Otra área a la que prestaré mucha atención en 2021 son los modelos más antiguos de dispositivos de IoT que aún se están implementando y siguen activos en entornos corporativos y personales.

En los últimos años, hemos visto una explosión en los dispositivos conectados, tanto que nuestras vidas están inundadas de ellos. Nos hemos acostumbrado a que los dispositivos de IoT funcionen en segundo plano sin pensarlo dos veces antes de reemplazarlos, actualizarlos o eliminarlos por completo.

A medida que estos dispositivos envejecen pero siguen en uso, muchos fabricantes han dejado de darles soporte con actualizaciones de software y parches a la medida, ya que priorizan los modelos más nuevos, convirtiendo a los modelos más antiguos en los principales objetivos de los actores maliciosos que buscan puntos de acceso fáciles.

A medida que pase el tiempo, se descubrirán y aprovecharán las vulnerabilidades de estos productos ahora obsoletos. Como dice el refrán, eventualmente “todo lo viejo se vuelve nuevo de nuevo”, lo que suena especialmente cierto para los hackers.

Hay progreso en la seguridad de IoT, pero aún queda mucho por cubrir.

Todavía tendremos mucho terreno que cubrir con la seguridad de IoT en 2021

La industria ha tomado medidas en la dirección correcta, como que el gobierno de EE. UU. Aprobó un proyecto de ley sobre seguridad de IoT, pero el problema sigue residiendo en la falta de acción en la parte de consumidores y fabricantes.

Hasta que los consumidores ejerzan una presión real sobre los gobiernos y los fabricantes para que mejoren la seguridad de los dispositivos de IoT, o hasta que los fabricantes pongan un gran énfasis en la seguridad de IoT, esto seguirá siendo un motivo de preocupación constante.

Bio

Stephen Gates es un escritor experimentado, bloguero y autor publicado que aporta más de 15 años de conocimiento práctico en seguridad de la información al equipo de Checkmarx. Stephen se dedica a transmitir hechos, cifras e información que crea conciencia sobre los problemas de ciberseguridad que enfrentan todas las organizaciones y los consumidores. Al alinearse con la misión de Checkmarx de mejorar la seguridad del software para todas las organizaciones, se ha convertido en un defensor y promotor de sus soluciones en todo el mundo.

Ebook: 5 razones por las que la Seguridad del Software es más crítica que nunca