Imagina que estás considerando un auto nuevo para tu familia. Antes de realizar una compra, evalúa sus calificaciones de seguridad, eficiencia de combustible y confiabilidad. Incluso puede tomarlo para una prueba de manejo para asegurarse de que satisfaga sus necesidades. El mismo enfoque debe aplicarse a los productos de software y hardware antes de integrarlos en el entorno de una organización. Al igual que no compraría un automóvil sin conocer sus características de seguridad, no debe implementar software sin comprender los riesgos que introduce.
La creciente amenaza de los ataques de la cadena de suministro
Los ciberdelincuentes han reconocido que, en lugar de atacar una organización de frente, pueden infiltrarse a través de la cadena de suministro de software, como deslizar piezas falsificadas en una línea de ensamblaje. Según el 2024 Informe de la cadena de suministro de sonatype State of the Softwarelos atacantes se infiltran en ecosistemas de código abierto a un ritmo alarmante, con más de 512,847 paquetes maliciosos detectados solo el año pasado, un aumento del 156% respecto al año anterior. Las herramientas y procesos de seguridad tradicionales a menudo pierden estas amenazas, dejando a las organizaciones sin preparación.
Un ejemplo importante en 2024 fue un ataque de cadena de suministro de un año descubierto en el índice de paquetes de Python (PYPI). Los atacantes cargaron paquetes maliciosos disfrazados de herramientas legítimas de chatbot de IA, con la esperanza de engañar a los desarrolladores para que los integren en sus proyectos. Estos paquetes contenían un código dañino diseñado para robar datos confidenciales y ejecutar comandos remotos en sistemas infectados. Debido a que PYPI se usa ampliamente en varias industrias, este ataque tuvo el potencial de comprometer miles de aplicaciones antes de los investigadores de seguridad de Kaspersky detectado e informado la actividad maliciosa. Este incidente destaca cómo los atacantes están explotando cada vez más repositorios de confianza para distribuir malware, reforzando la necesidad de medidas adicionales en profundidad al evaluar el software.
Un enfoque práctico para la evaluación de riesgos: pruebas de seguridad del producto
Las organizaciones necesitan una forma estructurada y repetible para evaluar los riesgos de software y hardware antes de introducirlos en sus entornos. Este proceso, conocido como prueba de seguridad del producto (PST), se trata de responder preguntas clave:
- ¿Qué riesgos introduce este producto en mi red?
- ¿Deberíamos usar este producto o hay una alternativa más segura?
- Si lo usamos, ¿qué mitigaciones se deben establecer para minimizar el riesgo?
PST no se trata solo de escanear para vulnerabilidades, se trata de comprender cómo se comporta un producto en su entorno específico y determinar su impacto general en el riesgo. Dado la gran cantidad de componentes de terceros utilizados en la TI moderna, no es realista analizar cada paquete de software por igual. En cambio, los equipos de seguridad deben priorizar sus esfuerzos en función del impacto comercial y la exposición a la superficie de ataque. Las aplicaciones de alto privilegio que se comunican con frecuencia con servicios externos deben someterse a pruebas de seguridad del producto, mientras que las aplicaciones de menor riesgo pueden evaluarse a través de métodos automatizados o menos intensivos en recursos. Ya sea antes de la implementación o como un análisis retrospectivo, un enfoque estructurado para PST asegura que las organizaciones se centren en asegurar primero los activos más críticos mientras mantienen la integridad general del sistema.
Aprender a pensar en rojo, actuar azul
El Sans Sec568 curso está diseñado para desarrollar habilidades prácticas en PST. Se centra en las pruebas de caja negra, un método que simula condiciones del mundo real donde el código fuente no está disponible. Esto lo hace altamente aplicable para evaluar productos de terceros sobre los que las organizaciones no tienen control directo. El curso sigue el principio de Think Red, ACT Blue: al aprender tácticas ofensivas, las organizaciones pueden defenderse mejor contra ellas.
Si bien las pruebas de seguridad del producto nunca evitarán una violación de un tercero fuera de su control, es necesario permitir que las organizaciones tomen decisiones informadas sobre su postura defensiva y estrategia de respuesta. Muchas organizaciones siguen un proceso estándar de identificación de una necesidad, seleccionar un producto e implementarlo sin una evaluación de seguridad profunda. Esta falta de escrutinio puede dejarlos luchando para determinar el impacto cuando ocurre un ataque de la cadena de suministro.
Al incorporar PST en el proceso de toma de decisiones, los equipos de seguridad obtienen documentación crítica, incluido el mapeo de dependencia, los modelos de amenazas y las mitigaciones específicas adaptadas a la tecnología en uso. Este enfoque proactivo reduce la incertidumbre, lo que permite respuestas más rápidas y efectivas cuando surgen vulnerabilidades. En lugar de confiar únicamente en las mitigaciones de la industria amplias, las organizaciones con documentación PST pueden implementar controles de seguridad específicos que minimizan el riesgo antes de que ocurra una violación.
¿Quién aprovecha las pruebas de seguridad del producto?
Independientemente del título del trabajo, tener una base sólida en las pruebas de seguridad de productos conduce a una mejor postura de seguridad y preparación dentro de toda la organización. Si bien el ajuste obvio es que los equipos de pruebas de seguridad de productos pueden aprovechar estas metodologías para evaluar el software de terceros, así como sus propios productos internos, las pruebas de seguridad de productos no se limitan a un rol específico. Este es un valioso conjunto de habilidades que mejora varias posiciones dentro de una organización. Los auditores de seguridad pueden usar PST para adaptar las evaluaciones de las necesidades únicas de riesgos y cumplimiento de una organización, mientras que los probadores de penetración pueden ir más allá de los simples escaneos de vulnerabilidad para analizar protocolos desconocidos y software patentado. Los desarrolladores de aplicaciones se benefician al comprender cómo los atacantes explotan los defectos de seguridad, ayudándoles a escribir un código más seguro desde el principio, mientras que los analistas de SOC pueden usar estas habilidades para detectar y mitigar las amenazas introducidas por el nuevo software y el hardware. Incluso los tomadores de decisiones obtienen información de PST, ya que les ayuda a tomar decisiones informadas sobre el riesgo, las inversiones de seguridad y las estrategias de mitigación. Es importante recordar que es imposible detectar, mitigar, explotar o desarrollar lo que no entendemos.
Para obtener experiencia práctica en pruebas de seguridad de productos, considere asistir a la SEC568 en Orlando del 13 al 18 de abril de 2024. Esta capacitación proporcionará la base técnica necesaria para evaluar la seguridad de software y hardware de manera efectiva. Al igual que tomar un automóvil para una prueba de manejo antes de comprar, la aplicación de un enfoque estructurado para las pruebas de seguridad de productos permite a las organizaciones comprender completamente los riesgos potenciales antes de la implementación. Siguiendo una metodología repetible, los equipos de seguridad pueden reducir los riesgos y estar mejor preparados para futuras amenazas.
Nota: Este artículo fue escrito por expertos y aportado por Douglas McKee, director ejecutivo de Amenay Research en Sonicwall, así como el autor principal e instructor de SANS SEC568.
About the Author
