En el vertiginoso panorama de la ciberseguridad, la seguridad de los productos ocupa un lugar central. DevSecOps interviene, fusionando a la perfección las prácticas de seguridad en DevOps, lo que permite a los equipos afrontar los desafíos. Sumerjámonos en DevSecOps y exploremos cómo la colaboración puede darle a su equipo la ventaja para luchar contra los cibervillanos.
Seguridad de aplicaciones y seguridad de productos
Lamentablemente, los equipos de seguridad de aplicaciones a menudo intervienen tarde en el proceso de desarrollo. Mantienen el nivel de seguridad del software expuesto, asegurando la integridad y confidencialidad de los datos consumidos o producidos. Se enfocan en proteger los flujos de datos, aislar los entornos con firewalls e implementar una sólida autenticación de usuarios y control de acceso.
Los equipos de seguridad de productos tienen como objetivo garantizar la confiabilidad intrínseca de las aplicaciones. Recomiendan herramientas y recursos, poniéndolos a disposición de desarrolladores y operaciones. En el enfoque DevSecOps, cada equipo es responsable de la seguridad de las aplicaciones que crea. Estos equipos aplican prácticas de codificación seguras, realizan pruebas estáticas y dinámicas y se aseguran de que las aplicaciones sean resistentes a la explotación, los datos confidenciales permanezcan seguros y las aplicaciones puedan manejar cargas y ataques.
Reforzar la seguridad del producto
El gremio de SecOps, que interviene en los equipos de productos, generalmente tiene un rol multifuncional, asegurando la consistencia entre los proyectos por razones tanto tecnológicas como financieras. Animan a los equipos de DevOps a usar las herramientas de seguridad seleccionadas y garantizar una implementación adecuada. Este paso racionaliza los recursos de seguridad y una mayor colaboración permite que cada equipo de DevOps se beneficie del trabajo y la experiencia de los demás.
Podría haber una forma sencilla de fortalecer la seguridad del producto con herramientas colaborativas:
1 — Planificar la mitigación
En caso de un incidente de seguridad o vulnerabilidad, saber que el daño potencial está identificado y controlado es obligatorio para SecOps. Esta es la razón por la que ofrecer información de perfiles y formas para que los usuarios puedan aislar el software se encuentra entre las mejores cosas que pueden hacer. Puede comenzar con el uso de contenedores con privilegios limitados, pero el diseño de un perfil de seguridad puede ir un paso más allá. Proporcionar el perfil de AppArmor o los filtros Seccomp garantiza que, incluso si la aplicación se ve comprometida, tanto el potencial del atacante como la superficie de ataque permanecen altamente restringidos y conocidos. Los equipos forenses y de respuesta a incidentes se lo agradecerán.
2 — Identificar el comportamiento anormal
Los desarrolladores pueden identificar señales de error durante el desarrollo de la aplicación, generalmente en forma de mensajes de error en los registros. Los equipos de DevOps pueden determinar si ciertas ocurrencias de errores significan un comportamiento anormal u ofensivo al categorizar los mensajes de error y asociarlos con un comportamiento anormal en repositorios de artefactos compartidos en Github o cualquier otra plataforma colaborativa. El uso de registros estructurados también facilita mucho su análisis posterior.
3 — Comparar, contar y correlacionar
Estos indicadores deben compararse, contarse y correlacionarse. Múltiples intentos fallidos de autenticación o intentos de enviar datos o formatos de documentos incorrectos son marcadores fiables de un comportamiento inesperado. Confiar en una herramienta centralizada como SIEM para esta tarea puede contradecir algunos principios de DevOps. En su lugar, las decisiones de aplicación deben tomarse de forma rápida y local, adaptándose al ritmo de la aplicación según sea necesario. Existen numerosos lenguajes de descripción que permiten la generación de escenarios de comportamiento directamente a partir de los datos proporcionados por el desarrollador con una integración mínima en el proceso de CI/CD.
4 — Actúa
Una vez que se identifica el comportamiento desviado, se deben tomar medidas para proteger la aplicación. Las acciones pueden incluir ralentizar un flujo que podría dañar las capacidades de procesamiento de una aplicación, revocar el acceso de un atacante o prohibir su IP. Aquellos con un SOAR pueden usarlo para responder rápidamente a eventos de seguridad, mientras que otros pueden preferir la toma de decisiones descentralizada utilizando herramientas como MultitudSec para interactuar con interfaces web, servidores de autenticación o firewalls.
5 — Comparte señales de seguridad
Como SecOps a menudo trabaja con varios equipos de DevOps, las herramientas que reconocen comportamientos anormales y ofrecen respuestas graduadas son útiles. Compartir señales de seguridad permite que cada equipo de DevOps se beneficie de las experiencias de los demás. Al asociar un escenario con cada biblioteca de código para caracterizar el comportamiento anormal, se ahorra tiempo cada vez que otro equipo usa esa biblioteca. Los escenarios almacenados en repositorios locales son accesibles para todos, lo que permite crear un marco de seguridad para cada aplicación que los integra. Al final, asegurar las aplicaciones depende en gran medida de la experiencia adquirida previamente por todos los equipos de DevSecOps.
6 — Comparte más
Las herramientas colaborativas permiten compartir señales de ataque, utilizando marcos como MITRE ATT&CK, por ejemplo. Una fuente agresiva prohibida por comportamiento ofensivo en una aplicación puede prohibirse en todas las aplicaciones de la empresa. Por ejemplo, cada Motor de seguridad CrowdSec podría compartir señales a escala local o global, por lo que las direcciones IP de los atacantes se reconocen y bloquean de inmediato, protegiendo las aplicaciones y los datos y aliviando la carga de las infraestructuras de seguridad.
Más fuertes juntos
Los equipos de DevSecOps se unen para proteger sus aplicaciones, fomentando la colaboración para una confiabilidad y seguridad de datos de primer nivel. Adoptar herramientas que aprovechan la experiencia colectiva eleva la protección contra una creciente horda de ciberdelincuentes. Al compartir señales de ataque y aprovechar la información de fuentes múltiples, las organizaciones se fortalecen al unísono y se enfrentan a las ciberamenazas. En última instancia, se trata de trabajar en equipo, demostrando que somos una fuerza imparable contra los ciberataques.
Puede hacer una demostración de la herramienta colaborativa mencionada en el artículo visitando https://booking.crowdsec.net/book-a-demo
Nota: Este artículo fue escrito por Jerome Clauzade en CrowdSec.