Cambiando el paradigma moderno de AppSec


El estado true de la seguridad de las aplicaciones
El énfasis en la protección de las aplicaciones en desarrollo no ha dado como resultado la reducción de infracciones que antes se esperaba. De hecho, las infracciones son cada vez más comunes y peligrosas. La prueba únicamente en el desarrollo es un enfoque de DAST hacia atrás que no puede proteger las aplicaciones de ser violadas en producción.

Las organizaciones necesitan desarrollar y entregar aplicaciones seguras rápidamente. Desafortunadamente, esta mentalidad de «necesidad de velocidad» puede dejar las aplicaciones vulnerables a los ataques. El paradigma tradicional del ciclo de vida del desarrollo de program (SDLC) ya no funciona, ya que crea silos funcionales entre DevOps y SecOps.

Esto puede generar vulnerabilidades en las aplicaciones una vez que están en producción. El marco de seguridad de aplicaciones moderno proporciona una mejor manera.

El marco moderno de AppSec
Si el objetivo final de las pruebas de seguridad de aplicaciones es un futuro digital libre de infracciones, las organizaciones deben adoptar un enfoque de avance de DAST que tenga en cuenta toda la superficie de ataque, incorpore pruebas de aplicaciones dinámicas continuas e integre conocimientos de DAST para aumentar la eficacia de SAST y el computer software. análisis de composición.

framework_full.png

Modern day AppSec Framework ofrece un prepare funcional que las organizaciones pueden utilizar para desarrollar y entregar aplicaciones seguras, independientemente de dónde se encuentren en su viaje de desarrollo de aplicaciones o seguridad. El marco colapsa los modelos tradicionales en cuatro componentes que se enfocan en los resultados comerciales y correlacionan estos resultados con medidas tácticas que pueden adoptarse de manera transversal. El resultado final es un programa de seguridad de aplicaciones que se ejecuta sin problemas que potencia tanto a los equipos de seguridad como a los de desarrollo.

Estos son los cuatro componentes clave que componen Modern-day AppSec Framework:

  • Gobernancia: Los factores generales a considerar incluyen la gestión de activos de aplicaciones y la clasificación de riesgos, el cumplimiento normativo, las mejores prácticas en todo el programa AppSec y la definición de métricas del programa de manera proactiva para demostrar el éxito del programa a lo largo del tiempo.
  • Identificación: Independientemente de la metodología de desarrollo, las organizaciones deben poder identificar errores y fallas, aprovechando soluciones como la gestión de la superficie de ataque, el escaneo continuo y automatizado y las pruebas puntuales para obtener una imagen clara del panorama de amenazas.
  • Remediación: Una vez que una organización tiene un mapeo completo de su superficie de ataque e identifica las vulnerabilidades de seguridad, necesita desarrollar un proceso para realizar un seguimiento de lo que se ha probado, por qué medios y cuándo. Esto permite a los equipos de seguridad priorizar lo que debe solucionarse mediante el uso del contexto empresarial para comprender qué problemas son más importantes. Esto también permitirá a los equipos de desarrollo identificar y corregir primero las vulnerabilidades priorizadas.
  • Prevención: El siguiente paso es escalar los esfuerzos en todo el programa de seguridad de aplicaciones en su totalidad para evitar futuras infracciones. Esto se logra mediante una combinación de capacitación, modelado de amenazas, adherencia a los marcos de seguridad y operacionalización de las soluciones de seguridad de las aplicaciones. Es importante que las soluciones y los procesos en todos los componentes del marco se complementen entre sí.

Haciendo que todo funcione
Entonces, ¿dónde comienza una organización a poner en funcionamiento Present day AppSec Framework en sus propios procesos y estructura? Esto comienza con la identificación de dónde está su programa hoy y dónde debe estar mañana.

Antes de adoptar cualquier programa nuevo, las organizaciones deben realizar una auditoría de su programa true para tener en cuenta las herramientas que se utilizan, quién las está utilizando y qué procesos están actualmente en funcionamiento. Este proceso de descubrimiento ayudará a establecer un punto de partida desde el cual una organización puede comenzar a poner en funcionamiento el marco moderno de AppSec. Después de esta fase de descubrimiento, las organizaciones pueden comenzar a recorrer los desafíos fundamentales asociados con cada componente del marco y elaborar una hoja de ruta procesable.

Para obtener una descripción detallada del proceso de puesta en funcionamiento, NTT Software Safety recomienda descargar nuestro «Libro blanco sobre cómo hacer que todo funcione.«

Muy poco de la implementación de Modern-day AppSec Framework es técnicamente desafiante. Más bien, es más un desafío humano y organizacional. Si bien determinar cómo escalar los esfuerzos en todo el programa de seguridad de aplicaciones puede parecer abrumador al principio, las organizaciones que adopten Contemporary AppSec Framework pronto se darán cuenta de todo el potencial de su programa de seguridad de aplicaciones.

Comuníquese con Seguridad de aplicaciones de NTT
NTT Software Safety ofrece varias soluciones para ayudar a las organizaciones a madurar su programa de seguridad de aplicaciones y cerrar la brecha de comunicación entre SecOps y DevOps. Al proporcionar datos confiables, las organizaciones pueden tomar decisiones informadas, reducir su riesgo y ver la seguridad como un programa escalable, repetible y medible. Los servicios profesionales de seguridad de aplicaciones de NTT trabajan con las organizaciones para proporcionar métodos sólidos y viables mediante los cuales involucrar a los equipos de DevOps y mejorar los marcos de seguridad, al tiempo que respaldan el nivel de habilidad actual dentro de la infraestructura genuine de una organización. El equipo de servicios profesionales de NTT ayuda a las organizaciones a trazar un plan de madurez para su programa de seguridad de aplicaciones genuine y recomienda los siguientes pasos necesarios para alcanzar sus objetivos generales de seguridad.

Independientemente de dónde se encuentre una organización en su viaje de seguridad de aplicaciones, NTT Software Stability puede ayudar al brindar las soluciones, los servicios y la experiencia adecuados que los ayudarán a alcanzar sus objetivos comerciales e impulsar la adopción de una visión de seguridad de aplicaciones exitosa.

¿Listo para aprender más? Contáctenos hoy para solicitar una demostración.

Sobre el Autor

Eric_Rodriguez_WhiteHat_headshot_150x125.png

Eric Rodríguez es director de generación de demanda y marketing and advertising electronic en NTT Software Security. Antes de NTT Software Security, Eric ocupó puestos de liderazgo en marketing en empresas de tecnología como CBI Cybersecurity, UserZoom y Nexum. Eric tiene un MBA de la Universidad de Michigan-Dearborn y un BBA de la Universidad de Toledo.



Enlace a la noticia initial