DevSecOps requiere un enfoque diferente para la seguridad


Irrumpir aplicaciones en microservicios significa más dificultades para obtener una buena visibilidad de los problemas de seguridad y rendimiento del tiempo de ejecución, dice el inicio Traceable.

A medida que los desarrolladores adoptan cada vez más DevOps y otros modelos de programación ágiles, las pruebas de seguridad de computer software se vuelven más complejas con aplicaciones divididas en microservicios alojados en una gran cantidad de contenedores.

Startup Traceable, que surgió del modo sigiloso el 14 de julio, espera abordar las complejidades de las arquitecturas de application distribuidas mediante la adaptación de un enfoque de seguimiento de tiempo de ejecución utilizado en las pruebas de rendimiento para encontrar problemas en el código del programa y las interfaces de programación de aplicaciones (API). A medida que más equipos de DevOps intentan incorporar la seguridad, necesitan herramientas que les ayuden a comprender mejor sus aplicaciones y a encontrar errores de software program en tiempo de ejecución, dice Jyoti Bansal, CEO y cofundador de la compañía.

«Usted tiene millones y millones de líneas de código que los desarrolladores de software program están escribiendo, y puede proteger la pink todo lo que quiera, pero gran parte del código está en una nube pública y se expone a través de API», dice. «Si nos fijamos en la próxima generación de ataques (una gran atención se centra en la lógica de negocios que está siendo expuesta al mundo exterior), la clave es descubrir el comportamiento standard de la aplicación. Debe comprender el flujo de lo que es sucediendo.»

los lanzamiento subraya que los métodos de desarrollo en evolución pueden requerir herramientas de seguridad que funcionen en entornos nativos de la nube y con arquitecturas de microservicios.

El núcleo del problema para los desarrolladores es la diferencia entre el denominado desarrollo en cascada, donde las especificaciones fluyen hacia los desarrolladores, y el desarrollo estilo DevOps, en el que la iteración rápida y la implementación de los cambios se basan en historias de usuarios y una infraestructura de nube adaptable. En 2020, el 81% de las empresas han adoptado un marco de desarrollo ágil y el 75% se han centrado específicamente en el modelo DevOps, según el Instituto DevOps «Informe de habilidades de DevOps empresarial«La mitad de las empresas encuentran que la adopción de DevOps es difícil.

Debido a que DevOps llama a cada equipo a asumir la responsabilidad del desarrollo y la implementación de una o más aplicaciones, a menudo como microservicios, las herramientas de seguridad también tienen que lidiar con esas divisiones, dice Sandra Carielli, analista principal de seguridad y riesgos en Forrester Research, un empresa de inteligencia de negocios.

«Si está acostumbrado a tratar con una aplicación monolítica, sabe dónde están los puntos de entrada y dónde encaja en su cartera, pero (con microservicios) la cantidad de API, la cantidad de puntos finales y la cantidad de comunicaciones, y número de partes externas que están haciendo llamadas API, que todo explota «, dice ella. «Hay muchas maneras de que eso salga mal».

El enfoque de Traceable proviene de las experiencias que ambos fundadores, Bansal y el director de tecnología Sanjay Nagaraj, tuvieron en AppDynamics, una compañía de monitoreo de aplicaciones vendida a Cisco en 2017 por $ 3.7 mil millones. Más compañías grandes se estaban moviendo hacia arquitecturas nativas de la nube, y el enfoque de los atacantes en encontrar nuevos ataques de lógica de negocios contra aplicaciones y servidores API abrieron esas aplicaciones hasta comprometerlas.

Para mantenerse a la vanguardia de los atacantes, los desarrolladores y los equipos de seguridad tuvieron que tener una buena visibilidad de lo que estaba sucediendo con la aplicación, dice Nagaraj.

«Si nos fijamos en la próxima generación de ataques, todo esto es una lógica de negocios que está siendo expuesta al mundo exterior, ya sabes que tienes que descubrir el comportamiento typical, necesitas entender el flujo que está sucediendo, para bloquear el ataque ,» él dice.

Las arquitecturas de software program que dependen de dividir las aplicaciones en microservicios requieren herramientas más generalizadas para recopilar datos sobre la ejecución en tiempo de ejecución y mejores motores de análisis para obtener una buena visibilidad del estado de la aplicación mientras se ejecuta, dice el CEO Bansal.

«Tiene un entorno muy dinámico donde las personas en las que no confía pueden acceder a la aplicación», agrega. «Creemos firmemente que simplemente probar el software no es suficiente. Es posible que solo detecte del 70% al 80% de las vulnerabilidades de seguridad de bajo nivel. Una vez que entre en funcionamiento, aún debe asegurarse de que los problemas que omite no se usen». «

Carielli de Forrester está de acuerdo. La seguridad de la API puede ser complicada porque los desarrolladores pueden dejar una ruta directa a la aplicación abierta a los atacantes, si el servicio no está asegurado correctamente, lo que hace importante la visibilidad de la aplicación, dice.

«No estar al tanto o no tener una visibilidad completa de quién llama a las API, qué funcionalidad se llama y qué riesgos potenciales en las especificaciones cualquiera de esos problemas puede convertirse en problemas de command, monitoreo y seguridad», dice.

Contenido relacionado:

Regístrese ahora para el Black Hat Usa totalmente virtual de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio world-wide-web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Examining, MIT&#39s Know-how Critique, Well known Science y Wired News. Cinco premios para periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia initial