Las pruebas de seguridad eficientes requieren automatización, pero …


Una encuesta anual de probadores de penetración encuentra que, aunque las máquinas pueden encontrar rápidamente muchas clases de vulnerabilidades, los analistas humanos aún son necesarios para medir la gravedad de los problemas descubiertos.

Las herramientas de análisis automatizadas sobresalen en la búsqueda de ciertos tipos de vulnerabilidades, desde fallas de secuencias de comandos en sitios cruzados hasta inyección de SQL y desde encabezados de seguridad mal configurados hasta la inclusión de archivos remotos, pero los humanos siguen siendo necesarios para evaluar la gravedad de tales fallas, según un análisis de 2.500 pruebas de penetración lanzadas el 9 de junio.

En su informe anual «Condition of Pentesting 2020», la empresa de servicios de seguridad Cobalt.io descubrió que aproximadamente dos tercios de sus compromisos de pruebas de penetración implicaban probar aplicaciones net o interfaces de programación de aplicaciones (API) basadas en la net, con configuraciones erróneas que encabezan la lista de las amenazas de seguridad descubiertas en 2019, seguidas de problemas de autenticación y scripts entre sitios. Las pruebas de seguridad automatizadas continúan siendo una forma eficiente de encontrar estos problemas, especialmente porque el 37% de los profesionales de seguridad de aplicaciones tienen que lidiar con cadencias de lanzamiento semanales o diarias, indica el informe.

Sin embargo, todavía se necesitan humanos para encontrar clases más nebulosas de vulnerabilidades, como los desvíos de la lógica de negocios, las condiciones de carrera y las cadenas de ataque que implican la explotación de múltiples vulnerabilidades, dice Caroline Wong, directora de estrategia de Cobalt.io.

«Cualquiera que solo esté usando personas está perdiendo eficiencias que solo pueden ser encontradas por máquina, y cualquiera que solo esté usando máquinas está perdiendo clases enteras de vulnerabilidades», dice ella. «Use escáneres para encontrar su fruta de bajo perfil y luego use esa información para proporcionar un contexto para analizar el riesgo que representan esos problemas».

La encuesta subrayó que persisten ciertos problemas para el escaneo automatizado de vulnerabilidades, incluido el ajuste de los sistemas de análisis y prueba, la evaluación de vulnerabilidades y la provisión de contexto adicional sobre el riesgo que representa una vulnerabilidad particular. Además, los problemas de lógica empresarial, como la manipulación del precio de los bienes o el abuso de los sistemas de recuperación de contraseñas, plantean problemas para el análisis automatizado, de acuerdo con Cobalt.io.

«Los escáneres no son capaces de manipular las reglas de lógica de negocios o identificar el mal uso de un flujo de ejecución», indica el informe. «La capacidad de identificar esta clase de vulnerabilidad requiere una comprensión completa de la aplicación website y requiere un pensamiento creativo».

Sin embargo, las pruebas de penetración siguen teniendo dificultades para integrarse más en DevOps y otros ciclos de desarrollo ágiles, según otro informe. Solo la mitad de los centros de operaciones de seguridad suelen tener visibilidad de las actividades de DevOps, y solo un tercio de los resultados de las pruebas de penetración se comparten entre los equipos de DevOps y los equipos de seguridad, según Fortinet «Informe de seguridad del estado de DevOps 2019«.

En normal, solo el 58% de los equipos de desarrollo pensaron que habían detectado la mayoría de las vulnerabilidades antes de que su código entrara en producción, según ese informe.

«Los encuestados tienen sentimientos negativos sobre la tecnología de seguridad en common, tal vez porque sus mediciones de éxito se centran en la velocidad y la eficiencia sobre la seguridad», señala el informe de Fortinet. «Específicamente, cuando se les preguntó cómo las soluciones de seguridad pueden afectar negativamente el éxito, las mayores quejas de los encuestados fueron las preocupaciones comerciales: desaceleración de los ciclos de desarrollo, mayor complejidad y adopción de estándares de seguridad desafiantes».

Hasta cierto punto, Cobalt.io ve que la relación entre los equipos de seguridad de aplicaciones y los equipos de desarrollo está cambiando, aunque lentamente. Debido al cambio hacia la integración del desarrollo y las operaciones, más equipos de seguridad están trabajando junto con sus homólogos en ingeniería de program, dice Wong de Cobalt.io.

Según el informe, más de las tres cuartas partes de las empresas informan que los equipos de ingeniería de program y seguridad tienen una relación sólida.

«Si bien las personas de seguridad pueden tratar de ayudar a encontrar vulnerabilidades, simplemente no pueden reparar esas vulnerabilidades a menos que estén trabajando en colaboración con desarrolladores de software package y equipos de ingeniería», dice ella. «Esto es realmente diferente de cómo se veía esa relación en el pasado».

La encuesta también encontró que la configuración incorrecta accidental de la infraestructura de la nube y las aplicaciones en la nube sigue siendo una fuente importante de vulnerabilidades. La mala configuración sigue siendo el problema número 1 encontrado por los probadores de penetración.

Los continuos errores forzados se han vuelto aún más críticos porque las empresas confían en sus servicios e infraestructura en la nube para operar sus negocios. El setenta y uno por ciento de las empresas confiaron en entornos de nube para sus negocios, según el informe de Cobalt.io.

Según Wong, los programas de seguridad maduros apuntan cada vez más a obtener una cobertura completa con las pruebas de seguridad de las aplicaciones y se centran en la seguridad en lugar de solo el cumplimiento.

«En el pasado, más personas dirían que hacen pruebas de pluma para el cumplimiento», dice ella. «Hoy, las organizaciones lo están haciendo porque quieren que sus aplicaciones sean más seguras».

Contenido relacionado:

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Examining, MIT&#39s Engineering Overview, Popular Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia original