Seguridad

Gestionar el riesgo de software en un mundo de vulnerabilidades

COMENTARIO

Es una tormenta perfecta: el costo de una violación de datos aumenta, los ataques cibernéticos conocidos se vuelven más frecuentes, la experiencia en seguridad está en escasez y la demanda de conectividad, para entregar y actuar incluso en los datos confidenciales en todos los dispositivos y UP Al borde de la red, es inflexible. Un ejemplo reciente que afecta a cualquiera que envíe SMS entre los dispositivos Android y iPhone es el Typhon of Salt Attack. Mientras tanto, las regulaciones de la industria y el gobierno están endureciendo, lo que requiere evidencia más estricta de medidas de seguridad y informes de violaciones más rápidas, lo que aumenta los desafíos para “estar equivocados”.

En su Análisis más recienteVerizon Business señaló que las organizaciones tardan un promedio de 55 días en corregir el 50% de las vulnerabilidades críticas enumeradas en el catálogo conocido de vulnerabilidades explotadas de la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA). Desafortunadamente, los cibercriminales reaccionan mucho más rápido, las granjas masivas de CISA Kev aparecen en Internet en una mediana de cinco días.

Es por eso que las organizaciones y los equipos de desarrollo deben evolucionar de la “preparación” para “gestionar el riesgo” de las violaciones de seguridad.

La gestión de riesgos de vulnerabilidad no es un concepto nuevo, pero observo que las organizaciones están tratando de gestionar los riesgos de dos maneras, creando barandas (proactivas) o soluciones (reactivas). Ninguno es óptimo.

La clave es equilibrar los dos, destacando la importancia crítica de adoptar un enfoque de DevSecops. Las soluciones “DevSec” se centran en el cambio de seguridad que queda integrando las puertas de seguridad en la integración continua y la tubería de entrega continua (CI / CD). Las soluciones de “Secops” se centran en la detección y respuesta a las amenazas en el entorno de ejecución.

Aquí hay una descripción general de los desafíos de cada enfoque.

El enfoque de corrección de vulnerabilidad

En su cara, la corrección parece bastante simple: cuando se revela una vulnerabilidad de software, corrígela. Sin embargo, esto supone que los desarrolladores y los equipos de seguridad tienen recursos para monitorear rápidamente los problemas, crear o identificar correcciones, luego probar y aplicar estas correcciones – Antes Los ataques cibernéticos pueden aprovechar las vulnerabilidades en sí mismas.

La IA eventualmente ayudará a los desarrolladores a identificar vulnerabilidades de manera más efectiva, pero aún no estamos en ese momento. Actualmente, la IA y la demanda de aplicaciones compatibles con IA solo agregan el potencial de vulnerabilidades no identificadas. Las herramientas de generación de código de IA aumentan la probabilidad de introducir extractos de código que son difíciles de extraer de fuentes no identificadas. Mientras que muchos escáneres de vulnerabilidad se basan hoy en la identificación de paquetes de código en lugar de extractos de código.

El enfoque de barandilla

El enfoque de barandilla es más matizado que el enfoque de corrección de vulnerabilidad, pero se entrega con su propio conjunto de desafíos.

Si bien las organizaciones que se centran en el enfoque de corrección adoptan una posición más reactiva, el enfoque de barandilla se basa en la protección proactiva y los controles atenuantes. Estos incluyen:

  • Reduce la superficie de ataque a través de la batería

  • Trabajar hacia el endurecimiento continuo y una mejora en la conformidad

  • Asegure la aplicación CI / CD de la aplicación utilizando las mejores prácticas, como las recomendadas en Slsa.dev: Identificar la procedencia, endurecer las construcciones, verificar los artefactos

  • Implementación de controles de promoción y admisión automatizados basados ​​en políticas para garantizar que las aplicaciones tengan seguridad de producción lista para producir antes de implementarse en los sistemas de producción

  • Aplicación de controles de protección de datos como el cifrado

  • Uso de áreas de control (comunicaciones de esgrima con controles de seguridad de red y API) y micro-comida

  • Priorice el uso de soluciones de seguridad de Linux, como Selinux y los perfiles de TI seguros (SEC), así como las funcionalidades centradas en asegurar contenedores como espacios de nombre de usuario y CGroupSV2

Todas estas estrategias son muy efectivas; Sin embargo, a menudo es difícil para las organizaciones integrar estas barandas y otras en su infraestructura. Es aún más difícil endurecer las tuberías de aplicación existentes. La abolición del equilibrio entre la seguridad y la innovación se ha vuelto más difícil, ya que la presión para mejorar la seguridad aumenta en todos los lados y el impacto de una fractura de seguridad se refleja de arriba a abajo del suministro de cadena.

Creación de un enfoque equilibrado para la gestión de riesgos de software

Usados ​​juntos, las correcciones y las barandas pueden ayudar a las organizaciones a mantener un equilibrio entre la gestión de vulnerabilidad efectiva y el monitoreo y la gestión de seguridad proactiva.

Las organizaciones deben evaluar los riesgos de acuerdo con los factores clave de su empresa, en particular los controles de los controles que tienen en el entorno de ejecución. Aunque el sistema para calificar la vulnerabilidad común, con medidas básicas y medidas temporales y ambientales, ofrece una indicación del nivel de riesgo que crea una vulnerabilidad conocida, estos datos no representan y no pueden tener en cuenta el contexto específico para una aplicación implementada. Las organizaciones deben tener en cuenta factores adicionales, como la exposición externa y la atenuación de los controles.

El uso de código abierto puede ayudar, porque la comunidad se ha dedicado a la transparencia y la comunicación clara sobre las vulnerabilidades recientemente descubiertas y cómo obtener soluciones para ellos. De hecho, además de priorizar el uso de código abierto, las organizaciones deben inspirarse en la comunidad de código abierto y establecer sus propios procesos para compartir información detallada sobre vulnerabilidades identificadas, internamente pero también con socios y vendedores de acuerdo con los principios de Divulgación responsable.

La divulgación responsable y los datos abiertos son esenciales para los clientes y las comunidades para comprender completamente las vulnerabilidades que pueden afectarlos, así como para garantizar que los datos necesarios para tomar decisiones apropiadas e iluminadas estén ampliamente disponibles.

La oferta de múltiples opciones de corrección, como actualizaciones de software y / o correcciones, y las barandas automatizadas en todas las etapas del ciclo de vida de la aplicación, incluidas las atenuaciones de CI / CD y la ejecución de L, ofrece flexibilidad en la lucha contra las vulnerabilidades en diversos entornos. Al combinar estos elementos, las organizaciones pueden crear un programa completo de gestión de riesgos de vulnerabilidad que reduce efectivamente los riesgos de seguridad en toda su infraestructura de TI.

También puede interesarte

Seguridad

Gpuhammer: la nueva variante de ataque de Rowhammer degrada los modelos AI en las GPU de NVIDIA

4 meses ago
morelljuanjose@gmail.com
Seguridad

Los piratas explotan el defecto crítico de RCE en el servidor FTP Wing

4 meses ago
morelljuanjose@gmail.com
Seguridad

Más de 600 aplicaciones de Laravel expuestas a la ejecución del código remoto debido a la fuga de APP_Keys en GitHub

4 meses ago
morelljuanjose@gmail.com

No te lo pierdas

Criptomonedas

Bitcoin: de nicho a clase de activo global — y qué significa esto para América Latina

Eventos

LABITCONF 2025: el epicentro imparable que marca el rumbo del mundo cripto y financiero

NFT

NFTs en Latinoamérica 2025: US$ 35.9 M en ingresos y salto del 33% en gaming, RWA y fidelización

Fondeos

Fintech para empresas: el acceso al financiamiento digital en Argentina

Exit mobile version