La mayoría de las aplicaciones de hoy se implementan con vulnerabilidades y muchas nunca se revisan.


El experto en AppSec dice que la ciberseguridad debería ser parte del proceso de desarrollo desde el principio.

Karen Roby de TechRepublic habló con Manish Gupta, fundador y CEO de ShiftLeft, sobre la ciberseguridad en el proceso de desarrollo. La siguiente es una transcripción editada de su conversación.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Contenido imprescindible para desarrolladores

Karen Roby: Estamos impulsados ​​por el software, por supuesto, todo lo que hacemos y todo se está moviendo a la nube y las cosas suceden tan rápido, la velocidad a la que las cosas cambian y se actualizan. Quiero decir, es alucinante, Manish, cuando realmente lo piensas. Y, desafortunadamente, con esta forma de entrega y la velocidad, la seguridad es esa pieza realmente importante que queda atrás. Antes de hablar sobre lo que se puede hacer, ¿cómo podemos cambiar esto, solucionarlo? ¿Cuán vulnerables somos? Con la seguridad quedando fuera de la ecuación a menudo cuando se trata de application, ¿dónde vemos que somos vulnerables?

Manish Gupta: Por supuesto. Una estadística importante que me viene a la mente es que el 95% de las aplicaciones que se implementan, que se envían, son vulnerables durante al menos algún tiempo durante un año.

Karen Roby: Guau. Ese es un número fuerte.

Manish Gupta: Ciertamente así es. El sesenta por ciento de las vulnerabilidades que encontramos nunca se solucionaron.

Karen Roby: Entonces, solo esperamos y oramos para que alguien no se aproveche de eso. ¿Derecha?

Manish Gupta: Sí. Supongo que la parte importante aquí es aceptar la verdad de que las empresas viven para complacer a sus clientes, para satisfacer los requisitos, para hacer crecer los ingresos. Y la seguridad en la medida en que le pide a la empresa que se desacelere para que la seguridad pueda de alguna manera ayudar a que la empresa sea más segura, ¿nos sorprende que la seguridad siempre se quede atrás? No deberíamos estarlo. Hemos estado haciendo esto durante casi 20 años. Por eso inicié la empresa ShiftLeft, que es change-still left. La strategy de que para continuar produciendo program con todas sus vulnerabilidades lo implementamos en producción y luego esperamos que las soluciones implementadas, como firewalls y antivirus, protejan de alguna manera mágicamente esta aplicación, es fundamentalmente errónea. Y que tenemos que mejorar en la escritura de software de manera más segura, y eso solo se puede hacer si podemos cambiar la seguridad a la izquierda y hacerlo tan rápido como los desarrolladores quieran escribir código.

VER: El ataque SolarWinds nos hace desconfiar del software package que compramos (TechRepublic)

Karen Roby: Déjame retroceder un poco. Antes de hablar sobre los desarrolladores específicamente y lo que deben hacer, dé algunos ejemplos. ¿Dónde estamos viendo que esta vulnerabilidad realmente nos ha costado o cuesta a las empresas, solo un par de ejemplos?

Manish Gupta: Oh, hay muchos. Por supuesto, los famosos ataques, brechas del pasado reciente, comencemos con SolarWinds, que fue, por supuesto, un ataque bastante complejo en su tipo. Pero en los últimos cinco años, ya sea Funds A single, si fue Equifax y tantas otras compañías de computer software que fueron violadas. Pero también algunas de nuestras leyes, para poder compartir públicamente cuando una empresa es violada, son tan laxas que muchas de las infracciones que ocurren, el público nunca se da cuenta.

Pero estoy seguro de que si estás entre la audiencia, o tú mismo, Karen, si aprovechas algunas de estas innovaciones centradas en el application, estoy seguro de que de vez en cuando probablemente recibirás un correo electrónico, «Hola Karen , fuimos violados. Su contraseña ahora está siendo robada. Le recomendamos que vaya a cambiarla «. Y esto ha sucedido tantas veces, Condition Farm, Allstate. Es difícil encontrar una empresa que no haya pasado por eso que crear una empresa que haya sido violada.

Karen Roby: Creo que la gente, no quiero decir que está insensible a eso, pero es como, «Ok, recibí otro aviso. Recibí otro correo electrónico. Necesitas cambiar esto». Quiero decir, eso es una especie de lugar común, desafortunadamente.

Manish Gupta: Sí, y esa es la parte triste. Supongo que esto es paralelo a las cinco etapas del duelo. Hemos llegado a aceptarlo. Creo que ahí radica una gran diferencia entre el dolor, que ya ha sucedido, y un incidente de seguridad que aún no ha sucedido. Podemos esforzarnos por mejorar. Podemos esforzarnos. Por supuesto, hemos visto ataques a nivel de aplicación como Equifax y Funds Just one, y más recientemente SolarWinds.

Estaba hablando con un CISO el otro día y lo dijo muy amablemente. Dijo: «Manish, el ataque SolarWinds es como envenenar el pozo. Confiamos, por ejemplo, en nuestro suministro de agua. De manera muy related, confiamos en nuestros proveedores de software program. Usted y yo, como consumidores, compramos program. Por supuesto, nunca preguntamos una pregunta. Lo implementamos en nuestra máquina y le otorgamos todo tipo de derechos. Bueno, las empresas hacen lo mismo. Ahora, si esa misma confianza que depositamos en el computer software puede romperse, puede verse comprometida, esto también conduce a la apatía , ¿indiferencia? Ese es un lugar bastante aterrador para estar. Yo, por mi parte, definitivamente quiero esforzarme por mejorar.

VER: Cómo el ataque SolarWinds puede afectar la ciberseguridad de su organización (TechRepublic)

Karen Roby: Sí, ciertamente, y supongo que esa es la pregunta. Si el tren va por las vías y estas empresas, como dijiste, son el resultado remaining y satisfacen a los clientes o accionistas o quien sea, entonces, ¿cómo se trabaja la seguridad para decir: «Oh, espera un segundo. No, no , no, no, no, nos estamos adelantando aquí «. ¿Cómo cambiamos eso?

Manish Gupta: Si divide el problema en sus propios ingredientes, existen las siguientes cosas. Uno, velocidad, por supuesto, como acabamos de hablar. Solíamos obtener una versión de software package en seis meses. Ahora obtenemos cien mejoras de funciones en un día determinado de empresas altamente ágiles. Entonces, claramente, la velocidad es muy importante. Atrás quedaron los días en los que podíamos ejecutar un análisis de código una vez a la semana y arrojarlo sobre la pared a los desarrolladores. Una vez a la semana ya es demasiado tarde, una vez al día es demasiado tarde. Entonces, lo que eso significa es que cada vez que hacemos un cambio, a medida que los desarrolladores cambian el código, existe la posibilidad de que se introduzca una vulnerabilidad. Y tan pronto como un escáner ve un cambio, necesita escanear y proporcionar la información al desarrollador diciendo: «Oye, lo que sea que hayas cambiado causó que se produjera esta vulnerabilidad». La velocidad de escaneo se vuelve muy importante, pero esto tiene otras ventajas. Hemos descubierto que si un desarrollador es informado de inmediato de ciertas vulnerabilidades que su trabajo ha causado, puede corregir esa vulnerabilidad con un 70% de eficiencia en comparación con los modelos históricos.

La segunda parte es que hice mi licenciatura de cuatro años en ciencias de la computación. Nunca tomé un curso de ciberseguridad y esa es solo la naturaleza del problema. El mundo demanda muchos desarrolladores. Habrá como 25 millones de ellos. Todos están estudiando informática, programación, desarrollo de program, pero nadie toma un curso de ciberseguridad. Y por lo tanto, otra persona muy importante es la seguridad de las aplicaciones esa es su área de especialización. Pero históricamente no hemos tenido la colaboración entre desarrolladores y AppSec. Ambos son igualmente importantes para solucionar este problema, por lo que las herramientas que no se han ocupado de establecer la colaboración no han avanzado realmente en la meta.

Eso es lo que estamos tratando de hacer en ShiftLeft, es la plataforma misma, los mismos flujos de trabajo están diseñados para la colaboración. Entonces, si usted es un desarrollador, desarrollo de software package y estoy en seguridad de aplicaciones, cada vez que escribe computer software, en lugar de que yo vaya a usted después del hecho, ya he establecido mis requisitos como reglas en su desarrollo de application. práctica. Y entonces es la velocidad es precisión. Si sigo acudiendo a ti con un montón de falsos positivos, estoy llorando lobo. Tarde o temprano empezarás a ignorarme. Eso es importante. Y finalmente está el flujo de trabajo: ¿cómo podemos colaborar para permitirle ejecutar rápidamente para desarrollar funciones, pero también para ser más seguro?

Ver también

20210402-shiftleft-karen.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/04/05/073c59c4-92d9-4c79-990f-5cf2e4d96814/resize/770x/b6035b07c8de48eb2cb62109757bb /20210402-shiftleft-karen.jpg

Karen Roby de TechRepublic habló con Manish Gupta, fundador y CEO de ShiftLeft, sobre la ciberseguridad en el proceso de desarrollo.

Imagen: Mackenzie Burke



Enlace a la noticia unique