Una fuerte relación entre los equipos de seguridad e ingeniería acelera la transición a DevSecOps


Adoptar un enfoque de «todos son parte del equipo de seguridad» cambia DevOps a DevSecOps, según un informe de Cobalt.io.

devops.jpg

Las organizaciones informan una fuerte relación entre seguridad e ingeniería, con más de las tres cuartas partes de los encuestados (78%) a un nuevo reporte destacando una transición de DevOps a DevSecOps, de acuerdo con el proveedor de plataforma de servicios pentest como Cobalt.io.

El cuarto informe anual de Condition of Pentesting: 2020, que explora el estado de la seguridad de las aplicaciones, incluye información de una encuesta a más de 100 profesionales en seguridad, desarrollo, operaciones y funciones de productos. La penetración o pentesting se united states comúnmente para aumentar el firewall de una aplicación internet.

«A medida que las aplicaciones website se vuelven más complicadas y los escáneres mejoran la eficiencia, este informe revela una necesidad generalizada de aplicar los fundamentos de seguridad a problemas complejos», dijo Vanessa Sauter, analista de estrategia de seguridad de Cobalt.io, en un comunicado.

El informe de este año también examinó qué vulnerabilidades de seguridad de las aplicaciones net se pueden encontrar de manera confiable utilizando máquinas y cuáles requieren la experiencia humana para identificarlas manualmente. También analizó los tipos más comunes de vulnerabilidades basadas en datos de más de 1,200 pentests realizados a través de la plataforma PtaaS de Cobalt.io.

Por cuarto año consecutivo, el tipo más común de vulnerabilidad es la configuración incorrecta, según el informe. El resto de los cinco principales tipos de vulnerabilidades fueron secuencias de comandos entre sitios autenticación y sesiones exposición de datos sensibles y falta de controles de acceso.

Las metodologías de seguridad de las aplicaciones están evolucionando.

La encuesta también encontró que:
· Más de un tercio (37%) de los encuestados publican software program en una cadencia semanal o diaria
· El 52% indica que su organización registra solicitudes por lo menos trimestralmente, mientras que solo el 16% registra solicitudes anuales o semestrales
· Más de las tres cuartas partes (78%) de los encuestados realizan pentesting para mejorar la postura de seguridad de sus aplicaciones
· Las organizaciones tienen muchos tipos diferentes de aplicaciones, y los entornos en la nube continúan presentando un riesgo significativo, particularmente con respecto a la configuración incorrecta de la seguridad. Más de la mitad (51%) de los encuestados realizan pentesting solo en entornos de nube basados ​​en Amazon.
· La mayoría de los encuestados (78%) informaron una fuerte relación entre la seguridad y la ingeniería a medida que las organizaciones están haciendo la transición de DevOps a DevSecOps y adoptando un enfoque de «todos son parte del equipo de seguridad».

«A medida que DevOps acelera el ritmo del lanzamiento del computer software, los datos y la automatización son esenciales para escalar la seguridad», dijo Caroline Wong, directora de estrategia de Cobalt.io, en un comunicado. «Con una mayor demanda de pentesting y mayores expectativas de seguridad de la aplicación, la relación entre seguridad e ingeniería depende de la eficiencia operativa a través de la automatización».

El estudio también encontró que tanto los humanos como las máquinas aportan valor a la hora de encontrar clases específicas de vulnerabilidades. Los humanos «ganan» al encontrar derivaciones de la lógica de negocios, condiciones de carrera y hazañas encadenadas, según el informe.

VER:

Cómo proteger a su organización contra ataques de compromiso de correo electrónico comercial
(TechRepublic)

Aunque las máquinas en normal «ganan» al encontrar la mayoría de los tipos de vulnerabilidad cuando se aplican correctamente, los resultados del escaneo deben usarse como guías y analizarse contextualmente, según el informe.

Además, existen vulnerabilidades que ni los humanos ni las máquinas pueden encontrar independientemente, por lo que deberían trabajar juntos para identificar estos problemas, aconsejó Cobalt.io.

Los tipos de vulnerabilidad en esta categoría incluyen:
· Defectos de autorización (como referencia directa insegura a objetos)
· Entidad externa XML fuera de banda (OOB XXE)
· Inyección SAML / XXE
· Scripting entre sitios basado en DOM
· Deserialización insegura
· Explotación remota de código (RCE)
· Gestión de sesiones
· Errores de carga de archivos
· Adquisiciones de subdominio

«Ya sea para mitigar las configuraciones erróneas de seguridad o para identificar las omisiones de la lógica empresarial, un conocimiento profundo de la arquitectura del sistema y la capacidad de pensar de manera metódica y creativa resulta esencial para mitigar las amenazas más graves para la seguridad de las aplicaciones», afirmó Sauter.

La creación de cargas útiles únicas es menos importante que la evaluación integral de los problemas que se propagan en las aplicaciones de una organización, agregó Sauter.

Los hallazgos se basaron en más de 1,200 pentests realizados a través de la plataforma Cobalt.io entre el 1 de enero de 2019 y el 31 de diciembre de 2019, así como las respuestas de encuestas de más de 100 profesionales en seguridad, desarrollo, operaciones y funciones de productos con respecto a la aplicación. seguridad.

Ver también



Enlace a la noticia primary