Las organizaciones realizan pruebas de penetración de aplicaciones Más …


El cumplimiento ya no es el principal motivador. AppSec es, dice Cobalt.io.

En una señal alentadora para la seguridad de las aplicaciones, las organizaciones empresariales están llevando a cabo pruebas de penetración con mayor frecuencia y de manera más amplia que antes, sugieren datos de un nuevo estudio de Cobalt.io.

A diferencia del pasado, donde los mandatos de cumplimiento normativo y de otro tipo solían ser el principal impulsor de estas pruebas, las organizaciones ahora los llevan a cabo más para detectar y abordar proactivamente los problemas de seguridad en su software, encontró el estudio.

Cobalt.io, que proporciona pruebas de penetración de aplicaciones como servicio (PTaaS) a organizaciones grandes y medianas, recientemente encargó a una empresa externa que entrevistara a cinco de sus clientes. Entre ellos se encontraba un proveedor world de application empresarial, un proveedor mundial de comunicaciones en la nube que cotiza en bolsa y un proveedor de software como servicio (SaaS). Los tamaños de las empresas iban desde aquellos con miles de empleados hasta empresas medianas con cientos de empleados.

los los datos mostraron Según Cobalt.io, la seguridad de las aplicaciones se ha convertido en una prioridad para estas compañías. Todas las compañías informaron haber probado el 100% de sus aplicaciones al menos una vez al año. Tres de las compañías informaron haber probado sus aplicaciones críticas para el negocio entre dos y cuatro veces al año. Cobalt.io descubrió que todas las organizaciones están probando no solo sus aplicaciones website, sino también microservicios, API asociadas y aplicaciones empresariales de back again-end.

El uso progresivo de las prácticas de DevOps y las arquitecturas de microservicios parecía estar impulsando algunos de estos cambios, especialmente con respecto a las pruebas en API y aplicaciones no críticas para el negocio.

en un estudio very similar que Cobalt.io realizó en 2017, las organizaciones participantes informaron que realizaron pruebas de pluma solo en sus aplicaciones más críticas, y eso también, solo una vez al año. Cuando se probaron las aplicaciones, generalmente solo eran aplicaciones website, aunque también un puñado informó API de prueba.

Las organizaciones que participaron en el estudio de Cobalt.io en 2017 describieron sus ejercicios de prueba de la pluma como impulsados ​​por los requisitos de cumplimiento y realizados y administrados en gran medida por la organización de seguridad de la información. En contraste, las organizaciones que participaron en el estudio de este año dijeron que las pruebas con bolígrafo eran una responsabilidad compartida entre los equipos de seguridad y desarrollo.

Caroline Wong, directora de estrategia de Cobalt.io, señala dos conclusiones generales del último estudio. «Primero, la seguridad de las aplicaciones es una prioridad para las empresas», dice Wong. «En segundo lugar, las organizaciones empresariales están ampliando el alcance y la frecuencia de sus actividades de prueba de lápiz».

Según Wong, las organizaciones en el estudio de Cobalt.io generalmente estaban probando application desarrollado internamente, incluidas nuevas características y actualizaciones, durante la etapa de manage de calidad y en producción cuando una aplicación está en funcionamiento.

Los participantes en el estudio de Cobalt.io eran todos clientes del servicio de pruebas de penetración alojado de la compañía. Pero sus puntos de vista parecían reflejar una tendencia más amplia.

Más allá de las pruebas de pluma
Andrew Hay, director de operaciones de la firma de pruebas de pluma Lares, dice que si bien el cumplimiento y la mitigación de los hallazgos de auditoría siguen siendo los principales impulsores de las pruebas de penetración, las preocupaciones más amplias sobre la seguridad de las aplicaciones también se han vuelto importantes.

«Estamos viendo que muchas organizaciones van más allá de las simples pruebas de penetración internas y externas a más compromisos de trabajo en equipo rojo que incluyen aspectos físicos, tecnológicos y sociales», dice Hay.

Al utilizar las pruebas de lápiz como una especie de estándar de oro para la seguridad de la aplicación, muchas organizaciones están agregando phishing dirigido, ingeniería social, pruebas de lápiz de aplicación y ejercicios de entrada a la oficina física para obtener una imagen completa de cómo un atacante podría infiltrarse en ellos.

«También estamos viendo un aumento en el número de compromisos de equipos morados donde las organizaciones quieren aprender de nuestro equipo rojo para detectar futuros ataques y ajustar sus capacidades de monitoreo y respuesta a incidentes», dice Hay.

Muchas organizaciones también han aumentado la frecuencia de las pruebas para mantener el ritmo de los cambios en la infraestructura y los tiempos de desarrollo de aplicaciones más rápidos, o para garantizar que no se introduzcan nuevos problemas en el entorno cuando adquieren otra empresa, dice Hay.

Aaron Shilts, presidente y director de operaciones de la firma de pruebas de seguridad NetSPI, dice que los ciclos de vida de desarrollo de computer software más rápidos y las ineficiencias en los programas de pruebas manuales de penetración profunda están generando interés en PTaaS.

Las organizaciones están sobrecargadas con los entregables tradicionales de PDF de prueba de lápiz, muchos de los cuales pueden contener una montaña de hallazgos, dice. Esto ha dificultado que las organizaciones prioricen, correlacionen e impulsen actividades de remediación.

«PTaaS es esencialmente un modelo de entrega enriquecido, que facilita a los clientes el consumo de servicios de prueba, desde el alcance inicial hasta la presentación de informes», dice. «En última instancia, ayuda a acelerar el proceso de remediación».

Al igual que los demás, Shilts dice que muchos de los clientes de NetSPI están trabajando para probar cada vez más su superficie de ataque. Algunos de estos entornos pueden ser increíblemente grandes y complejos, por lo que un enfoque único para todas las pruebas no funciona.

«Un modelo PTaaS permite a las empresas realizar pruebas manuales exhaustivas y profundas para ciertas aplicaciones y pruebas continuas de alto nivel en otras áreas», dice.

Wong de Cobalt.io dice que un beneficio que los clientes han informado es que una plataforma PTaaS permite que los resultados de las pruebas con lápiz se compartan en tiempo serious, lo que permite una solución más rápida de las vulnerabilidades descubiertas.

«En un entorno DevOps donde se realizan múltiples lanzamientos de código y cientos de compilaciones al día, la eficiencia es clave», dice ella. «PtaaS proporciona una interacción continua entre los probadores de pen y los equipos de seguridad e ingeniería», lo que puede dar como resultado una mejor eficiencia operativa.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia original