La priorización de vulnerabilidades supera a los profesionales de la seguridad …



Por qué la priorización de vulnerabilidades se ha convertido en un gran desafío para los profesionales de la seguridad y cómo los equipos de seguridad y desarrollo pueden hacerlo bien.

Cuando se trata de abordar su acumulación de problemas de seguridad no resueltos, muchas organizaciones de desarrollo de application se enfrentan a una batalla cuesta arriba. Una razón es la proliferación de herramientas de seguridad automatizadas. La adopción de soluciones automatizadas ayuda a los desarrolladores y la seguridad a cambiar las pruebas a la izquierda y eliminar los procesos manuales que consumen mucho tiempo, y es un componente bienvenido del enfoque DevSecOps. También requiere que los equipos aborden un nuevo conjunto de desafíos. Un desafío importante es una lista larga y agotadora de alertas de seguridad que exige que las organizaciones encuentren una manera de priorizar las vulnerabilidades de manera eficiente.

El principal desafío de los profesionales de la seguridad: la priorización
WhiteSource encuestó recientemente a más de 560 profesionales de seguridad de aplicaciones y desarrolladores de application por su «Informe de estadísticas de DevSecOps. «Cuando se les preguntó acerca de sus mayores desafíos al implementar y ejecutar un programa de seguridad de aplicaciones, la respuesta contundente de los profesionales de la seguridad, con un 41%, fue la priorización de vulnerabilidades.

Esto no debería sorprender a nadie que trabaje en el desarrollo de program. Las organizaciones de desarrollo de application están utilizando más herramientas de seguridad de aplicaciones que nunca y desde las primeras etapas de desarrollo. La mayoría están por encima de la detección, pero ese es solo el primer paso. Luego viene la priorización: una vez que haya detectado los problemas de seguridad, ¿cómo puede asegurarse de abordar primero los problemas más críticos?

Priorización de vulnerabilidades: ¿un trabajo en progreso?
Si bien la priorización es esencial para las organizaciones que desean adelantarse a su trabajo pendiente, todavía están luchando por formular un proceso de priorización estandarizado. Aunque la priorización de vulnerabilidades calificó muy alto en la lista de los principales desafíos de los profesionales de seguridad de aplicaciones, la encuesta de WhiteSource encontró que la mayoría de los equipos de seguridad y desarrollo no siguen un proceso compartido para la priorización.

La encuesta preguntó en qué medida los equipos de seguridad y desarrollo de su organización están de acuerdo sobre qué vulnerabilidades deben solucionarse, y los resultados fueron preocupantes: el 58% de los encuestados dijo que a veces está de acuerdo, pero cada equipo sigue prácticas advert hoc y pautas separadas. Solo el 31% de los encuestados dijeron que tienen un proceso acordado para determinar las prioridades.

El costo de ningún proceso
Sin un proceso acordado, la priorización se vuelve lenta, costosa y arriesgada. Si bien los equipos dedican un tiempo valioso a tratar de averiguar qué vulnerabilidades podrían tener el mayor impacto en sus sistemas, la corrección se retrasa y las amenazas de seguridad quedan desatendidas.

Además de perder un valioso tiempo de reparación, la negociación y el discussion sobre qué vulnerabilidades requieren la atención más inmediata pueden convertirse en una de las principales causas de fricción entre los equipos de desarrollo y seguridad. En un momento en que las organizaciones están trabajando para cerrar la brecha entre la seguridad y el desarrollo, todas están buscando formas de romper los silos tradicionales entre el desarrollo y la seguridad, no crear campos de batalla que los ralenticen aún más y los dejen expuestos al riesgo.

Enfrentando el desafío de la priorización de frente
Afortunadamente, algunas organizaciones ya están aprendiendo cómo aplicar los principios de DevSecOps a la priorización de vulnerabilidades para que pueda integrarse fácilmente en un ciclo de desarrollo ágil. Principios como la cooperación entre equipos, la propiedad compartida de la seguridad y la automatización pueden ayudar a las organizaciones a liberar el cuello de botella de las alertas de seguridad en el que muchos se sienten atrapados.

A continuación, presentamos tres consejos que pueden ayudarlo a priorizar correctamente al incorporar DevSecOps:

1. Ponga en marcha un proceso compartido. Cuando tiene un proceso acordado, no hay necesidad de debatir. La elaboración de un proceso acordado requerirá que los equipos dediquen algo de tiempo a formular un approach sólido. Pero saldrá del otro lado con un proceso que ayudará a evitar muchas molestias, riesgos y pérdida de tiempo.

2. Automatizar. El ecosistema DevSecOps precise ofrece una herramienta para prácticamente todo, y eso incluye la priorización. Idealmente, las herramientas de detección de vulnerabilidades también ofrecerán información y tecnologías de priorización y corrección que lo ayudarán a abordar primero los problemas más urgentes. Encuentre una herramienta que ofrezca información procesable sobre qué vulnerabilidades afectarán su código, para que no pierda tiempo en vulnerabilidades que pueden tener un puntaje de gravedad alto pero que representan una amenaza mínima.

3. Designe un campeón de AppSec. La encuesta de WhiteSource encontró que los equipos con un campeón de AppSec tienen casi el doble de posibilidades de llegar fácilmente a un acuerdo confiando en un proceso estandarizado confiable.

Un campeón de AppSec es un paso importante para cerrar la brecha entre desarrollo y seguridad. El rol ayudará a impulsar la comunicación y los procesos, especialmente en torno a la priorización, asegurándose de que todos estén en la misma página y promoviendo un sentido de responsabilidad compartida, que son cruciales para la madurez de DevSecOps.

Priorizar las vulnerabilidades: la forma más rápida de remediación
Con los calendarios de lanzamiento cada vez más ajustados que todos se apresuran a lograr, ¿quién tiene tiempo para debatir qué es lo primero en la lista aparentemente interminable de alertas de seguridad?

La priorización no tiene por qué ser una negociación larga y polémica o un juego de adivinanzas. Saque una página del guide de estrategias de DevSecOps e implemente un proceso de priorización, las herramientas adecuadas y un sentido compartido de propiedad sobre la seguridad para asegurarse de que su equipo se convierta en una máquina bien engrasada para corregir vulnerabilidades.

David Habusha es el vicepresidente de producto de WhiteSource. Con frecuencia escribe artículos y habla sobre código abierto, DevOps y seguridad. Anteriormente, Habusha dirigió equipos de administración de productos en grandes ISV (Symantec, Veritas y otros) y nuevas empresas. Es el cofundador de … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original