Para que los desarrolladores ayuden a matar a la bestia de la ciberdelincuencia, la formación es una búsqueda en dos partes

Publicado el 04 de febrero de 2021
por el doctor Matias Madou
ESTUDIO DE CASO

Para que los desarrolladores ayuden a matar a la bestia de la ciberdelincuencia, la formación es una búsqueda en dos partes

Publicado el 04 de febrero de 2021
por el doctor Matias Madou
Ver recurso
Ver recurso

Una versión de este artículo apareció en DevOps.com. Se ha actualizado y sindicado aquí.

El campo de juego entre los héroes y los villanos de la ciberseguridad es notoriamente injusto. Los datos sensibles son el nuevo oro, y los atacantes se adaptan rápidamente para burlar las defensas, explotando los fallos de seguridad grandes y pequeños para obtener un potencial botín.

El volumen de código que se produce es demasiado grande para que los expertos en seguridad -cada vez más escasos- puedan enfrentarse a él, y el creciente coste de las violaciones de datos es la prueba de que algo tiene que ceder. Afortunadamente, por el bien de nuestra seguridad digital y la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a incorporar a los desarrolladores en el viaje de la seguridad desde el principio del proceso de desarrollo de software. Se les está reconociendo como la primera línea de defensa contra los ciberatacantes, con el poder de eliminar las vulnerabilidades comunes a su alcance.

Sin embargo, sus capacidades defensivas sólo son tan buenas como la formación que reciben, y eso es otro guante que los equipos de seguridad deben correr. Para muchos desarrolladores que reciben formación en codificación segura en el trabajo, su principal desafío es mantenerse despiertos durante las actividades que no requieren intervención y que no son efectivas, ni les inspiran a mantener la seguridad en primer plano. El vídeo sin alma courses no nos está llevando a ese punto, los eventos anuales simbólicos de "marcar la casilla" son una pérdida de tiempo, y nadie está ganando contra el potencial actor de la amenaza maliciosa que está esperando para saltar en una pequeña ventana de oportunidad.

En esta etapa de nuestra industria, hemos descubierto que la educación contextual y práctica que se imparte en lenguajes y marcos de programación relevantes, con retos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.

Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a acabar con las vulnerabilidades comunes, pero la segunda fase es donde los escenarios deben ser reales para una fuerza defensiva supercargada y consciente de la seguridad.

El aprendizaje con andamios es fundamental en la educación de adultos

Cuando se trata de una formación extracurricular courses o en el puesto de trabajo, a menudo se pasa por alto que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación se suma a esta base y está estructurada de manera que permite una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.

La educación con andamiaje es un método de aprendizaje potente y positivo que trata de activar y mejorar la experiencia previa, al tiempo que continúa construyendo nuevas habilidades -en trozos manejables- que permiten al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, se trata de una metodología que se complementa con buenas dosis de demostración, ayudas visuales y exploración dirigida por el alumno.

Si relacionamos este enfoque con la formación en seguridad de los desarrolladores, no es de extrañar que se prefiera desde hace tiempo el método dinámico de aprender haciendo en lugar de la monotonía del aprendizaje estático basado en la teoría. Los desarrolladores son libres de ser los dueños de su dominio, y deben ver que su tiempo está bien empleado.

En ese sentido, aprender a codificar de forma segura en un entorno hiperrelevante y contextual es clave, pero el "nivel superior" de este paso es ver un exploit de código vulnerable en acción. Con el contexto de las vistas del frontend y del backend una al lado de la otra, hay un vínculo tangible entre las acciones realizadas durante el proceso de codificación, y lo que un atacante puede hacer potencialmente con esquinas cortadas, configuraciones erróneas, o accidentes que no son detectados y remediados.

Pase de la retirada a la aplicación para un enfoque de seguridad verdaderamente preventivo

Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas de la educación, y es una bestia bastante rara, incluso con las opciones de formación de seguridad más modernas para los desarrolladores. El trabajo fundacional dedicado a perfeccionar las habilidades para detectar y remediar las vulnerabilidades, y recordar esa experiencia para eliminar los mismos errores en el código a medida que se escribe es extremadamente importante, pero no es el cuadro completo. Ver cómo un código vulnerable es explotado por un actor malintencionado añade una poderosa capa de contexto, que realmente hace hincapié en la importancia de asegurar el código, y aplicar los conocimientos de seguridad ganados con esfuerzo para cerrar cada ventana de oportunidad.

Está generalmente aceptado que a los desarrolladores no les gusta la seguridad, y les gusta aún menos la formación en seguridad. Sus experiencias con los especialistas en seguridad de las aplicaciones pueden ser muy frías, y el retrabajo causado por el equipo de seguridad que devuelve el código vulnerable a los desarrolladores para que lo corrijan es la perdición de su existencia. Para un equipo de ingenieros que ya está muy disperso, la seguridad es un problema ajeno, no su prioridad, y un obstáculo para su creatividad natural y su objetivo principal de crear funcionalidades. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiado riesgo para los datos del mundo para que esta mentalidad continúe.

Un proceso funcional de DevSecOps hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de un aprendizaje aplicado en el que puedan interactuar con un exploit simulado y ver el impacto de un código mal protegido contribuye en gran medida a que los desarrolladores se pongan de acuerdo con esos molestos responsables de la seguridad de las aplicaciones (que no son tan malos después de todo).

El aprendizaje interactivo prepara a los desarrolladores para la lucha de jefes

En el momento de redactar este informe, se habían producido dos importantes filtraciones en un periodo de 7 días: Razer anunció que se habían expuesto más de 100.000 registros de datos sensibles, mientras que la cadena de suministros de oficina Staples también informó de una filtración de datos similar. Más de mil millones de registros sensibles han sido expuestos en lo que va de 2020, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores maliciosos tienen la sartén por el mango, y los desarrolladores conscientes de la seguridad son muy necesarios para servir como primera línea de defensa.

Losretos interactivos que se centran en la simulación de tales infracciones hacen que los desarrolladores pasen de la memoria pasiva a la aplicación de habilidades que tienen un impacto en la verdadera lucha de jefes: detener a los atacantes en su camino.

Ver recurso
Ver recurso

Autor

Doctor Matias Madou

Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.

Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.

¿Quieres más?

Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.

Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.

Ver blog
¿Quieres más?

Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores

Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.

Centro de recursos

Para que los desarrolladores ayuden a matar a la bestia de la ciberdelincuencia, la formación es una búsqueda en dos partes

Publicado el 22 de enero de 2024
Por el doctor Matias Madou

Una versión de este artículo apareció en DevOps.com. Se ha actualizado y sindicado aquí.

El campo de juego entre los héroes y los villanos de la ciberseguridad es notoriamente injusto. Los datos sensibles son el nuevo oro, y los atacantes se adaptan rápidamente para burlar las defensas, explotando los fallos de seguridad grandes y pequeños para obtener un potencial botín.

El volumen de código que se produce es demasiado grande para que los expertos en seguridad -cada vez más escasos- puedan enfrentarse a él, y el creciente coste de las violaciones de datos es la prueba de que algo tiene que ceder. Afortunadamente, por el bien de nuestra seguridad digital y la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a incorporar a los desarrolladores en el viaje de la seguridad desde el principio del proceso de desarrollo de software. Se les está reconociendo como la primera línea de defensa contra los ciberatacantes, con el poder de eliminar las vulnerabilidades comunes a su alcance.

Sin embargo, sus capacidades defensivas sólo son tan buenas como la formación que reciben, y eso es otro guante que los equipos de seguridad deben correr. Para muchos desarrolladores que reciben formación en codificación segura en el trabajo, su principal desafío es mantenerse despiertos durante las actividades que no requieren intervención y que no son efectivas, ni les inspiran a mantener la seguridad en primer plano. El vídeo sin alma courses no nos está llevando a ese punto, los eventos anuales simbólicos de "marcar la casilla" son una pérdida de tiempo, y nadie está ganando contra el potencial actor de la amenaza maliciosa que está esperando para saltar en una pequeña ventana de oportunidad.

En esta etapa de nuestra industria, hemos descubierto que la educación contextual y práctica que se imparte en lenguajes y marcos de programación relevantes, con retos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.

Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a acabar con las vulnerabilidades comunes, pero la segunda fase es donde los escenarios deben ser reales para una fuerza defensiva supercargada y consciente de la seguridad.

El aprendizaje con andamios es fundamental en la educación de adultos

Cuando se trata de una formación extracurricular courses o en el puesto de trabajo, a menudo se pasa por alto que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación se suma a esta base y está estructurada de manera que permite una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.

La educación con andamiaje es un método de aprendizaje potente y positivo que trata de activar y mejorar la experiencia previa, al tiempo que continúa construyendo nuevas habilidades -en trozos manejables- que permiten al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, se trata de una metodología que se complementa con buenas dosis de demostración, ayudas visuales y exploración dirigida por el alumno.

Si relacionamos este enfoque con la formación en seguridad de los desarrolladores, no es de extrañar que se prefiera desde hace tiempo el método dinámico de aprender haciendo en lugar de la monotonía del aprendizaje estático basado en la teoría. Los desarrolladores son libres de ser los dueños de su dominio, y deben ver que su tiempo está bien empleado.

En ese sentido, aprender a codificar de forma segura en un entorno hiperrelevante y contextual es clave, pero el "nivel superior" de este paso es ver un exploit de código vulnerable en acción. Con el contexto de las vistas del frontend y del backend una al lado de la otra, hay un vínculo tangible entre las acciones realizadas durante el proceso de codificación, y lo que un atacante puede hacer potencialmente con esquinas cortadas, configuraciones erróneas, o accidentes que no son detectados y remediados.

Pase de la retirada a la aplicación para un enfoque de seguridad verdaderamente preventivo

Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas de la educación, y es una bestia bastante rara, incluso con las opciones de formación de seguridad más modernas para los desarrolladores. El trabajo fundacional dedicado a perfeccionar las habilidades para detectar y remediar las vulnerabilidades, y recordar esa experiencia para eliminar los mismos errores en el código a medida que se escribe es extremadamente importante, pero no es el cuadro completo. Ver cómo un código vulnerable es explotado por un actor malintencionado añade una poderosa capa de contexto, que realmente hace hincapié en la importancia de asegurar el código, y aplicar los conocimientos de seguridad ganados con esfuerzo para cerrar cada ventana de oportunidad.

Está generalmente aceptado que a los desarrolladores no les gusta la seguridad, y les gusta aún menos la formación en seguridad. Sus experiencias con los especialistas en seguridad de las aplicaciones pueden ser muy frías, y el retrabajo causado por el equipo de seguridad que devuelve el código vulnerable a los desarrolladores para que lo corrijan es la perdición de su existencia. Para un equipo de ingenieros que ya está muy disperso, la seguridad es un problema ajeno, no su prioridad, y un obstáculo para su creatividad natural y su objetivo principal de crear funcionalidades. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiado riesgo para los datos del mundo para que esta mentalidad continúe.

Un proceso funcional de DevSecOps hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de un aprendizaje aplicado en el que puedan interactuar con un exploit simulado y ver el impacto de un código mal protegido contribuye en gran medida a que los desarrolladores se pongan de acuerdo con esos molestos responsables de la seguridad de las aplicaciones (que no son tan malos después de todo).

El aprendizaje interactivo prepara a los desarrolladores para la lucha de jefes

En el momento de redactar este informe, se habían producido dos importantes filtraciones en un periodo de 7 días: Razer anunció que se habían expuesto más de 100.000 registros de datos sensibles, mientras que la cadena de suministros de oficina Staples también informó de una filtración de datos similar. Más de mil millones de registros sensibles han sido expuestos en lo que va de 2020, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores maliciosos tienen la sartén por el mango, y los desarrolladores conscientes de la seguridad son muy necesarios para servir como primera línea de defensa.

Losretos interactivos que se centran en la simulación de tales infracciones hacen que los desarrolladores pasen de la memoria pasiva a la aplicación de habilidades que tienen un impacto en la verdadera lucha de jefes: detener a los atacantes en su camino.

Nos gustaría contar con su permiso para enviarle información sobre nuestros productos y/o temas relacionados con la codificación segura. Siempre trataremos sus datos personales con el máximo cuidado y nunca los venderemos a otras empresas con fines de marketing.

Para enviar el formulario, habilite las cookies "Analytics". Siéntase libre de desactivarlas de nuevo una vez que haya terminado.