El enfoque de “desplazamiento (seguridad)” a la izquierda en el ciclo de vida de desarrollo de software (SDLC) significa iniciar la seguridad antes en el proceso. A medida que las organizaciones se dieron cuenta de que el software nunca sale a la perfecci\u00f3n y est\u00e1 plagado de muchos agujeros, errores y vulnerabilidades de l\u00f3gica empresarial explotables que requieren volver a corregir y parchear, entendieron que crear software seguro requiere incorporar y consolidar numerosos recursos.<\/p>\n
Esta conclusi\u00f3n llev\u00f3 a los l\u00edderes de DevOps e I+D a ser proactivos, adquiriendo tecnolog\u00eda para encontrar y cerrar estas brechas con anticipaci\u00f3n, con el objetivo de reducir el costo y el esfuerzo mientras mejoran la calidad de sus resultados. <\/p>\n
Con emergentes integrales tecnolog\u00eda de validaci\u00f3n de seguridad continua<\/a>los beneficios demostrados de ‘cambiar a la izquierda’ como parte fundamental de SDLC ahora se pueden aplicar a su programa de seguridad cibern\u00e9tica, con resultados que superan con creces los aspectos puramente t\u00e9cnicos de la gesti\u00f3n de la postura de seguridad. <\/p>\n A nivel de desarrollo, la conceptualizaci\u00f3n de SDLC es el resultado de la convergencia de numerosas l\u00edneas de pensamiento para optimizar el proceso. Desde una perspectiva de seguridad cibern\u00e9tica, el mismo proceso de convergencia de ideas condujo al concepto de implementar un programa continuo de garant\u00eda de seguridad mediante la implementaci\u00f3n de los fundamentos de Gesti\u00f3n de postura de seguridad extendida (XSPM)<\/a> tecnolog\u00eda.<\/p>\n Al igual que SDLC, XSPM nace de la necesidad de tener en cuenta todo el ciclo de vida de la gesti\u00f3n de la postura de seguridad, incluida la validaci\u00f3n desde una perspectiva ofensiva. Desde que se acu\u00f1\u00f3 el t\u00e9rmino “desplazamiento a la izquierda”, ha surgido una pl\u00e9tora de soluciones de detecci\u00f3n y respuesta integrables en el proceso de CI\/CD. Sin embargo, incluso postulando una pila de herramientas de detecci\u00f3n y respuesta avanzadas perfectamente integradas y optimizadas, a\u00fan sufrir\u00e1 una falla estructural. Detectar y responder es un enfoque reactivo que deja la iniciativa en manos del atacante y presupone la capacidad de detectar todos y cada uno de los ataques.<\/p>\n En realidad, la naturaleza cada vez m\u00e1s din\u00e1mica del panorama de las amenazas cibern\u00e9ticas y la naturaleza asim\u00e9trica de la defensa cibern\u00e9tica (un atacante solo necesita tener \u00e9xito una vez, mientras que los defensores deben bloquear todos los ataques) significa que centrarse exclusivamente en el enfoque de detecci\u00f3n y respuesta reactiva es similar a luchar en la \u00faltima guerra. Ha llegado el momento de cambiar a un cambio m\u00e1s a la izquierda hacia la integraci\u00f3n de un proceso de validaci\u00f3n de seguridad continuo proactivo.<\/p>\n XSPM incluye todos los elementos de validaci\u00f3n de seguridad continua y los organiza en un ciclo de vida de cuatro etapas de postura de seguridad: Evaluar, Optimizar, Racionalizar, Asegurar.<\/p>\n La optimizaci\u00f3n de los programas de seguridad cibern\u00e9tica facilitada por el marco y la tecnolog\u00eda de XSPM proporciona una mejor utilizaci\u00f3n de los fondos y recursos invertidos en seguridad cibern\u00e9tica. La reducci\u00f3n de la superposici\u00f3n, la minimizaci\u00f3n de la ventana de aplicaci\u00f3n de parches, la priorizaci\u00f3n de la carga de trabajo, el establecimiento de KPI y otros beneficios resultan directamente de la integraci\u00f3n de la seguridad desde el principio en lugar de retrospectivamente. <\/p>\n Para lograr esta optimizaci\u00f3n combinada de la asignaci\u00f3n de recursos y la postura de seguridad, tanto los l\u00edderes de seguridad como los de administraci\u00f3n de riesgos primero deben establecer una l\u00ednea de base validada y identificable. Con datos que emanan exclusivamente de una matriz de detecci\u00f3n y respuesta, la realidad es un proceso secuencial no optimizado que empuja el paso de validaci\u00f3n de seguridad proactiva al final de la cola y resulta en el antagonismo de los equipos de SOC y DevOps en silos. Los objetivos desalineados entre los equipos conducen a un flujo ca\u00f3tico de informaci\u00f3n contradictoria que dificulta el proceso de toma de decisiones, ralentiza las operaciones y puede conducir a una implementaci\u00f3n no segura.<\/p>\n Cuando las pruebas de seguridad solo se activan al final del SDLC, los retrasos causados \u200b\u200ben la implementaci\u00f3n debido a las brechas de seguridad cr\u00edticas descubiertas provocan rupturas entre los equipos de DevOps y SOC. La seguridad a menudo queda relegada a un segundo plano y no hay mucha colaboraci\u00f3n cuando se introduce una nueva herramienta o m\u00e9todo, como lanzar ataques simulados ocasionales contra la canalizaci\u00f3n de CI\/CD. <\/p>\n Por el contrario, una vez que se integra un enfoque de validaci\u00f3n de seguridad continuo e integral en el SDLC, la invocaci\u00f3n diaria de emulaciones de t\u00e9cnicas de ataque a trav\u00e9s de la tecnolog\u00eda XSPM integrada de automatizaci\u00f3n identifica errores de configuraci\u00f3n en una etapa temprana del proceso, lo que incentiva una estrecha colaboraci\u00f3n entre DevSecOps y DevOps. Con la colaboraci\u00f3n integrada entre equipos a lo largo del ciclo de vida de desarrollo de software y seguridad, trabajando con visibilidad inmediata sobre las implicaciones de seguridad, la alineaci\u00f3n de objetivos de ambos equipos elimina conflictos y fricciones anteriores que surgen de la pol\u00edtica interna. <\/p>\n Cambiar a la extrema izquierda con una validaci\u00f3n de seguridad continua e integral le permite comenzar a mapear y comprender las inversiones realizadas en diversas tecnolog\u00edas de detecci\u00f3n y respuesta e implementar hallazgos para adelantarse a las t\u00e9cnicas de ataque a lo largo de la cadena de destrucci\u00f3n y proteger los requisitos funcionales reales.<\/p>\n El proceso equipa a los equipos de TI con todo lo que necesitan para identificar oportunidades que solidifiquen y estabilicen la gesti\u00f3n de la postura de seguridad desde el principio, evitando costosos retrasos en la implementaci\u00f3n y minimizando el riesgo de intentos de filtraci\u00f3n exitosos, mientras que los equipos de SOC obtienen datos precisos sobre los cuales construir una amenaza. estrategia informada.<\/p>\n \u00bfC\u00f3mo va a ser proactivo hoy sobre la postura de seguridad de su empresa?<\/p>\n Nota –<\/b> Este art\u00edculo est\u00e1 escrito y contribuido por Ben Zilberman, director de marketing de productos de Cymulate<\/a>.<\/p>\n <\/p>\n<\/div>\nEl ciclo de vida de la gesti\u00f3n de la postura de seguridad<\/h2>\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1654521488_236_\u00a1Ser-proactivo-Desplazar-validacion-de-seguridad-a-la-izquierda.jpg\")
<\/div>\n\n
La productividad supera a la seguridad, hagamos que la seguridad sea productiva <\/h4>\n
Combinando los dos para un software seguro: los beneficios de hornear XSPM en SDLC<\/h4>\n
Crear resultados exponenciales<\/h2>\n