Análisis del sector de la ciberseguridad: Otra vulnerabilidad recurrente que debemos corregir
Análisis del sector de la ciberseguridad: Otra vulnerabilidad recurrente que debemos corregir
Una versión de este artículo apareció en Ayuda a la seguridad de la red. Se ha actualizado y sindicado aquí.
He pasado mi carrera encontrando, arreglando, discutiendo y desmenuzando vulnerabilidades de software, de una forma u otra. Sé que cuando se trata de algunos errores de seguridad comunes, a pesar de estar en nuestra órbita desde los años 90, siguen plagando nuestro software y causando grandes problemas, a pesar de que la solución (a menudo simple) se conoce desde hace casi el mismo tiempo. Realmente parece el Día de la Marmota, en el que nosotros, como industria, parecemos hacer lo mismo una y otra vez y esperar un resultado diferente.
Sin embargo, hay otro pequeño problema. No estamos recibiendo un asesoramiento realista, ni las soluciones más rápidas, para combatir el incesante ataque que supone la ciberseguridad moderna. Por supuesto, cada brecha es diferente a su manera, y hay numerosos vectores de ataque que pueden ser explotados en el software vulnerable. Los consejos genéricos viables serán limitados, pero el enfoque de las mejores prácticas parece más defectuoso cada hora.
En este sentido, tengo que preguntarme por qué gran parte de los comentarios y análisis en torno a la ciberseguridad han omitido las soluciones que realmente abordan la causa raíz de tantas vulnerabilidades: los seres humanos. El más reciente Hype Cycle de Gartner para la seguridad de las aplicaciones, y The State of Application Security 2021 de Forrester, ambas biblias para los expertos en seguridad que sin duda ayudan a dar forma a su programa y a la adopción potencial de productos, se centran casi por completo en las herramientas. Un informe de Aberdeen de 2017 mostraba lo desordenada que se había vuelto la pila tecnológica de seguridad media, con los CISO gestionando cientos de productos como parte de sus estrategias de seguridad; cuatro años después, estamos lidiando con más riesgos, más vulnerabilidades y más adiciones a las crecientes bestias de la pila tecnológica.
Las herramientas de seguridad son imprescindibles, pero tenemos que mirar más allá y restablecer el equilibrio del componente humano de la defensa de la seguridad.
La automatización es el futuro. Por qué debemos preocuparnos por el elemento humano de la ciberseguridad?
Prácticamente todo en nuestras vidas está impulsado por el software, y es cierto que la automatización está sustituyendo los elementos humanos que antes estaban presentes en tantas industrias. Es un signo de progreso en un mundo que se digitaliza a gran velocidad, con la IA y el aprendizaje automático como temas de actualidad que mantienen a muchas organizaciones centradas en el futuro.
Entonces, ¿por qué un enfoque de la ciberseguridad centrado en el ser humano sería algo más que una solución anticuada para un problema que avanza tecnológicamente? El hecho de que se hayan robado miles de millones de registros de datos en las filtraciones del año pasado, incluida la más reciente filtración de Facebook que afectó a más de 500 millones de cuentas, debería indicar que no estamos haciendo lo suficiente (o adoptando el enfoque adecuado) para dar un serio contragolpe a los actores de las amenazas.
Las herramientas de ciberseguridad son un componente muy necesario de la ciberdefensa, y las herramientas siempre tendrán un lugar. Los analistas han dado en el clavo al recomendar las últimas herramientas en un enfoque de mitigación de riesgos para las empresas, y eso no cambiará. Sin embargo, dado que la calidad del código (y, por definición, la seguridad) es difícil de gestionar con el volumen de producción de código, las herramientas no pueden hacer el trabajo solas. Hasta la fecha, no existe ninguna herramienta que lo haga:
- Buscar todas las vulnerabilidades, en todos los idiomas:marco de trabajo
- Escanear a velocidad
- Minimizar la doble manipulación causada por los falsos positivos y negativos
Las herramientas pueden ser lentas, engorrosas y poco manejables. Pero, sobre todo, sólo encuentran problemas, no los arreglan ni recomiendan soluciones. Esto último requiere que los expertos en seguridad, que son escasos y están sobrecargados de trabajo, hurguen en la basura para encontrar un tesoro en los interminables resultados de las pruebas y los escaneos.
El hecho es que, según el Informe del Índice de Inteligencia de Ciberseguridad de IBM, el error humano desempeña un papel en el 95% de todas las violaciones de datos que tienen éxito. Casi la mitad de ellas están directamente relacionadas con vulnerabilidades del software, muchas de las cuales podrían paliarse si hubiera una mayor adhesión a la codificación segura y a la concienciación en las primeras fases del SDLC. Sin embargo, para que esto ocurra, es fundamental centrarse más y mejor en la educación de los desarrolladores, además de hacerla intrínseca a su flujo de trabajo.
Nos guste o no, los seres humanos están profundamente arraigados en el proceso de desarrollo de software, y la ciberseguridad es un problema abrumadoramente humano. Las herramientas no van a ser la solución definitiva para corregir un defecto fundamental de nuestro enfoque, pero pueden desempeñar un papel de apoyo clave en la remodelación de las soluciones humanas.
¿Y si construyéramos mejores herramientas (y muchas)?
Las herramientas de seguridad mejoran constantemente. Las herramientas SAST/DAST/IAST han recorrido un largo camino, mejorando en velocidad e inteligencia, y el RASP debería ser una seria consideración defensiva en muchos entornos de aplicación. Cortafuegos, gestores de secretos, aplicaciones de seguridad en la nube y en la red: todo ello es evidente.
Los seres humanos siempre pueden esforzarse por hacer mejores herramientas, pero la innovación no está a la altura de las necesidades de seguridad y protección de datos del mundo digital en el que vivimos. Las herramientas se construyen, en su mayor parte, pensando en los robots. Pueden estar ahí para ayudar a los desarrolladores y al equipo de seguridad a escanear, supervisar o proteger el código, pero la interacción es muy limitada, y muy pocas soluciones pretenden elevar la conciencia de seguridad o mejorar las habilidades básicas que pueden conducir a mejores resultados de seguridad.
De hecho, más de la mitad de las empresas ni siquiera saben si las herramientas les funcionan, ni confían en que puedan evitar una violación de datos devastadora. Este es un sentimiento muy pobre, y en una industria obsesionada con las herramientas que carece de apoyo para un enfoque diferente, tiende a solidificar el statu quo y los problemas internos.
¿Cómo puede una organización aprovechar un enfoque de la seguridad basado en el ser humano?
No hay duda de que adelantarse a las tendencias de la tecnología de seguridad de las aplicaciones es beneficioso, e incluso puede ayudar a priorizar las actualizaciones o consolidaciones en una pila tecnológica hinchada, pero renunciar a atacar la causa raíz del software vulnerable -nosotros, meros humanos- nos va a mantener en el lado perdedor del frente de batalla de la ciberseguridad.
Si queremos tomarnos en serio la disminución del número de vulnerabilidades de seguridad a nivel de código, los desarrolladores deben recibir las bases para lograr compartir la responsabilidad de la seguridad. Necesitan una formación pertinente y práctica, así como formación en el puesto de trabajo, y herramientas funcionales que no interrumpan su flujo de trabajo ni conviertan la seguridad en una tarea de desarrollo. Lo ideal sería que algunas herramientas se centraran en los desarrolladores y se crearan teniendo en cuenta su experiencia como usuarios.
A día de hoy, no existe ningún programa formal de certificación de seguridad para desarrolladores, pero todas las empresas pueden beneficiarse de la evaluación comparativa y del crecimiento de las habilidades de codificación segura, acabando con las vulnerabilidades comunes a tiempo y a menudo, y antes de que esa gran pila tecnológica tenga que entrar en acción y ralentizar todo.
Un equipo de desarrolladores conscientes de la seguridad es un tesoro oculto para cualquier organización, pero como todo lo que vale la pena tener, llevará tiempo y esfuerzo implementar un equipo de ensueño eficaz. Para conseguir que los desarrolladores se preocupen por la seguridad y consideren la codificación segura como una base de la calidad del código, es necesario que toda la organización se comprometa a dar prioridad a la seguridad. Y cuando equipos enteros se conciencian del impacto positivo que pueden tener en la eliminación de vulnerabilidades comunes a medida que se escribe el código, no hay ninguna herramienta en la Tierra que pueda competir.
Pieter Danhieux
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
Análisis del sector de la ciberseguridad: Otra vulnerabilidad recurrente que debemos corregir
Una versión de este artículo apareció en Ayuda a la seguridad de la red. Se ha actualizado y sindicado aquí.
He pasado mi carrera encontrando, arreglando, discutiendo y desmenuzando vulnerabilidades de software, de una forma u otra. Sé que cuando se trata de algunos errores de seguridad comunes, a pesar de estar en nuestra órbita desde los años 90, siguen plagando nuestro software y causando grandes problemas, a pesar de que la solución (a menudo simple) se conoce desde hace casi el mismo tiempo. Realmente parece el Día de la Marmota, en el que nosotros, como industria, parecemos hacer lo mismo una y otra vez y esperar un resultado diferente.
Sin embargo, hay otro pequeño problema. No estamos recibiendo un asesoramiento realista, ni las soluciones más rápidas, para combatir el incesante ataque que supone la ciberseguridad moderna. Por supuesto, cada brecha es diferente a su manera, y hay numerosos vectores de ataque que pueden ser explotados en el software vulnerable. Los consejos genéricos viables serán limitados, pero el enfoque de las mejores prácticas parece más defectuoso cada hora.
En este sentido, tengo que preguntarme por qué gran parte de los comentarios y análisis en torno a la ciberseguridad han omitido las soluciones que realmente abordan la causa raíz de tantas vulnerabilidades: los seres humanos. El más reciente Hype Cycle de Gartner para la seguridad de las aplicaciones, y The State of Application Security 2021 de Forrester, ambas biblias para los expertos en seguridad que sin duda ayudan a dar forma a su programa y a la adopción potencial de productos, se centran casi por completo en las herramientas. Un informe de Aberdeen de 2017 mostraba lo desordenada que se había vuelto la pila tecnológica de seguridad media, con los CISO gestionando cientos de productos como parte de sus estrategias de seguridad; cuatro años después, estamos lidiando con más riesgos, más vulnerabilidades y más adiciones a las crecientes bestias de la pila tecnológica.
Las herramientas de seguridad son imprescindibles, pero tenemos que mirar más allá y restablecer el equilibrio del componente humano de la defensa de la seguridad.
La automatización es el futuro. Por qué debemos preocuparnos por el elemento humano de la ciberseguridad?
Prácticamente todo en nuestras vidas está impulsado por el software, y es cierto que la automatización está sustituyendo los elementos humanos que antes estaban presentes en tantas industrias. Es un signo de progreso en un mundo que se digitaliza a gran velocidad, con la IA y el aprendizaje automático como temas de actualidad que mantienen a muchas organizaciones centradas en el futuro.
Entonces, ¿por qué un enfoque de la ciberseguridad centrado en el ser humano sería algo más que una solución anticuada para un problema que avanza tecnológicamente? El hecho de que se hayan robado miles de millones de registros de datos en las filtraciones del año pasado, incluida la más reciente filtración de Facebook que afectó a más de 500 millones de cuentas, debería indicar que no estamos haciendo lo suficiente (o adoptando el enfoque adecuado) para dar un serio contragolpe a los actores de las amenazas.
Las herramientas de ciberseguridad son un componente muy necesario de la ciberdefensa, y las herramientas siempre tendrán un lugar. Los analistas han dado en el clavo al recomendar las últimas herramientas en un enfoque de mitigación de riesgos para las empresas, y eso no cambiará. Sin embargo, dado que la calidad del código (y, por definición, la seguridad) es difícil de gestionar con el volumen de producción de código, las herramientas no pueden hacer el trabajo solas. Hasta la fecha, no existe ninguna herramienta que lo haga:
- Buscar todas las vulnerabilidades, en todos los idiomas:marco de trabajo
- Escanear a velocidad
- Minimizar la doble manipulación causada por los falsos positivos y negativos
Las herramientas pueden ser lentas, engorrosas y poco manejables. Pero, sobre todo, sólo encuentran problemas, no los arreglan ni recomiendan soluciones. Esto último requiere que los expertos en seguridad, que son escasos y están sobrecargados de trabajo, hurguen en la basura para encontrar un tesoro en los interminables resultados de las pruebas y los escaneos.
El hecho es que, según el Informe del Índice de Inteligencia de Ciberseguridad de IBM, el error humano desempeña un papel en el 95% de todas las violaciones de datos que tienen éxito. Casi la mitad de ellas están directamente relacionadas con vulnerabilidades del software, muchas de las cuales podrían paliarse si hubiera una mayor adhesión a la codificación segura y a la concienciación en las primeras fases del SDLC. Sin embargo, para que esto ocurra, es fundamental centrarse más y mejor en la educación de los desarrolladores, además de hacerla intrínseca a su flujo de trabajo.
Nos guste o no, los seres humanos están profundamente arraigados en el proceso de desarrollo de software, y la ciberseguridad es un problema abrumadoramente humano. Las herramientas no van a ser la solución definitiva para corregir un defecto fundamental de nuestro enfoque, pero pueden desempeñar un papel de apoyo clave en la remodelación de las soluciones humanas.
¿Y si construyéramos mejores herramientas (y muchas)?
Las herramientas de seguridad mejoran constantemente. Las herramientas SAST/DAST/IAST han recorrido un largo camino, mejorando en velocidad e inteligencia, y el RASP debería ser una seria consideración defensiva en muchos entornos de aplicación. Cortafuegos, gestores de secretos, aplicaciones de seguridad en la nube y en la red: todo ello es evidente.
Los seres humanos siempre pueden esforzarse por hacer mejores herramientas, pero la innovación no está a la altura de las necesidades de seguridad y protección de datos del mundo digital en el que vivimos. Las herramientas se construyen, en su mayor parte, pensando en los robots. Pueden estar ahí para ayudar a los desarrolladores y al equipo de seguridad a escanear, supervisar o proteger el código, pero la interacción es muy limitada, y muy pocas soluciones pretenden elevar la conciencia de seguridad o mejorar las habilidades básicas que pueden conducir a mejores resultados de seguridad.
De hecho, más de la mitad de las empresas ni siquiera saben si las herramientas les funcionan, ni confían en que puedan evitar una violación de datos devastadora. Este es un sentimiento muy pobre, y en una industria obsesionada con las herramientas que carece de apoyo para un enfoque diferente, tiende a solidificar el statu quo y los problemas internos.
¿Cómo puede una organización aprovechar un enfoque de la seguridad basado en el ser humano?
No hay duda de que adelantarse a las tendencias de la tecnología de seguridad de las aplicaciones es beneficioso, e incluso puede ayudar a priorizar las actualizaciones o consolidaciones en una pila tecnológica hinchada, pero renunciar a atacar la causa raíz del software vulnerable -nosotros, meros humanos- nos va a mantener en el lado perdedor del frente de batalla de la ciberseguridad.
Si queremos tomarnos en serio la disminución del número de vulnerabilidades de seguridad a nivel de código, los desarrolladores deben recibir las bases para lograr compartir la responsabilidad de la seguridad. Necesitan una formación pertinente y práctica, así como formación en el puesto de trabajo, y herramientas funcionales que no interrumpan su flujo de trabajo ni conviertan la seguridad en una tarea de desarrollo. Lo ideal sería que algunas herramientas se centraran en los desarrolladores y se crearan teniendo en cuenta su experiencia como usuarios.
A día de hoy, no existe ningún programa formal de certificación de seguridad para desarrolladores, pero todas las empresas pueden beneficiarse de la evaluación comparativa y del crecimiento de las habilidades de codificación segura, acabando con las vulnerabilidades comunes a tiempo y a menudo, y antes de que esa gran pila tecnológica tenga que entrar en acción y ralentizar todo.
Un equipo de desarrolladores conscientes de la seguridad es un tesoro oculto para cualquier organización, pero como todo lo que vale la pena tener, llevará tiempo y esfuerzo implementar un equipo de ensueño eficaz. Para conseguir que los desarrolladores se preocupen por la seguridad y consideren la codificación segura como una base de la calidad del código, es necesario que toda la organización se comprometa a dar prioridad a la seguridad. Y cuando equipos enteros se conciencian del impacto positivo que pueden tener en la eliminación de vulnerabilidades comunes a medida que se escribe el código, no hay ninguna herramienta en la Tierra que pueda competir.
