Repensar el software package en la jerarquía organizacional



En algún momento de su carrera, todos probablemente hayan visto uno de esos gráficos de jerarquía operativa que definen quién informa a quién en una organización. A veces simplemente llamado un Organigráma, es una herramienta útil para que las personas sepan quién trabaja para ellos y quiénes son sus jefes. Por ejemplo, en un organigrama típico, el jefe de un grupo de codificación podría informar al director de desarrollo de productos, quien a su vez informa al vicepresidente de innovación. ¿Quién no ha mirado uno de esos gráficos para tratar de encontrar su pequeño bloque personalized ubicado en algún lugar?

Hay una cosa que casi todos los organigramas tienen en común, independientemente del tamaño de la empresa u otros factores. En su mayor parte, todos los bloques de construcción en esos gráficos representan humanos o grupos de humanos. No estamos en el punto en que las máquinas puedan supervisar a los humanos, por lo que, por ahora, los organigramas son un asunto exclusivamente humano. Pero, ¿nuestro software package también necesita una jerarquía organizativa?

Por supuesto, no estoy sugiriendo que agreguemos application a los organigramas de nuestra empresa. Nadie quiere tener una aplicación para un jefe. ¿Cómo les pedirías un aumento? Sin embargo, al ayudar a definir las responsabilidades de nuestras aplicaciones y software package dentro de una estrecha jerarquía y hacer cumplir esas políticas con privilegios mínimos, podemos asegurarnos de que nuestras aplicaciones y application también sobrevivan y prosperen a pesar del panorama de amenazas devastadoramente duro que se presenta en su contra.

Los ataques a aplicaciones y program alcanzan un máximo histórico

Los atacantes en estos días, y los bots y el software automatizado que funcionan para ellos, están constantemente buscando cualquier error en las defensas para explotar. Si bien todo el application está siendo atacado, los ataques más dañinos se realizan contra las interfaces de programación de aplicaciones o API. A menudo son flexibles y únicos, y en ocasiones incluso se crean sobre la marcha según sea necesario en el proceso de desarrollo.

Las API son sin duda flexibles, pero también suelen ser demasiado autorizado por sus funciones. Los desarrolladores tienden a otorgarles muchos permisos para que puedan, por ejemplo, continuar funcionando incluso cuando el programa que están ayudando a administrar continúa desarrollándose y cambiando. Pero eso significa que si un atacante los compromete, obtienen mucho más que solo los derechos de acceso, por ejemplo, a una parte de una base de datos específica. Incluso pueden capturar derechos de administrador cercano a una red completa.

No es de extrañar que varias empresas de investigación de seguridad digan que la gran mayoría de los ataques de robo de credenciales en la actualidad se realizan contra program como las API. Akamai pone ese número en 75% del totalmientras que Gartner también dice que vulnerabilidades relacionadas con las API se han convertido en el vector de ataque más frecuente. Y el informe más reciente de Salt Labs muestra ataques contra las API. aumentando en casi un 700% en comparación con el año pasado.

Creación de un organigrama para computer software

Una de las formas en que las organizaciones están luchando contra las amenazas de robo de credenciales es imponiendo privilegios mínimos o incluso confianza cero dentro de sus redes. Esto limita a los usuarios a recibir permisos apenas suficientes para realizar sus tareas. Ese acceso a menudo está más restringido por factores como el tiempo y la ubicación. De esa manera, incluso si un ataque de robo de credenciales tiene éxito, no le hará mucho bien al atacante, ya que solo tendrá permiso para realizar funciones limitadas por un breve período de tiempo.

El privilegio mínimo es una buena defensa, pero normalmente solo se aplica a usuarios humanos. Tendemos a olvidar que las API también tienen privilegios elevados, pero a menudo no están tan supervisadas. Esa es una de las razones por las que manage de acceso roto es ahora el enemigo público número uno, según el Open up World wide web Software Stability Task (OWASP).

Es fácil decir que la solución a este problema crítico es simplemente aplicar privilegios mínimos al program. Pero es mucho más difícil de implementar. Primero, los desarrolladores deben ser conscientes de los peligros. Y luego, en el futuro, las API y otro software package deben colocarse oficialmente, o al menos visualizarse, como parte de un organigrama dentro de la purple donde residirá. Por ejemplo, si se supone que una API debe obtener datos de vuelos en tiempo genuine como parte de una aplicación de reserva, entonces no hay motivo para que también pueda conectarse con los sistemas de nómina o finanzas. En el organigrama del computer software, no habría líneas directas o incluso punteadas que conectaran esos sistemas.

Probablemente no sea realista que los desarrolladores creen un organigrama que muestre los miles o incluso millones de API que operan en su organización. Pero ser conscientes del peligro que representan y restringir sus permisos a lo que necesitan para hacer su trabajo contribuirá en gran medida a detener los ataques desenfrenados de robo de credenciales que todos enfrentan en estos días. Comienza con la conciencia y termina con el tratamiento de las API y el software package con el mismo escrutinio que los usuarios humanos.



Enlace a la noticia authentic