Jefe de Tecnología, Director y Cofundador
Doctor Matias Madou
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Esta vulnerabilidad puede producirse cuando los programadores no implementan correctamente las reglas de lógica empresarial, lo que podría dejar sus aplicaciones vulnerables a diferentes tipos de ataques en caso de que un usuario malintencionado decida explotarlas.
Si alguna vez hubo algo que arruinó la Navidad en la industria de la ciberseguridad, es una devastadora violación de datos que va camino de convertirse en el mayor evento de ciberespionaje registrado que afecte al gobierno de los Estados Unidos.
Una vez más, la causa principal del hackeo de Equifax es una vulnerabilidad de una aplicación web. Este tipo de vulnerabilidades existen desde hace más de una década, pero siguen siendo tan relevantes en la actualidad.
Los ataques por inyección, el infame rey de las vulnerabilidades (por categoría), han perdido el primer puesto ante la interrupción del control de acceso como lo peor de lo peor, y los desarrolladores deben tomar nota.
En general, se deben incluir comprobaciones de autorización a nivel de objeto para cada función que acceda a una fuente de datos mediante una entrada del usuario, y no hacerlo conlleva un gran riesgo.
Un curso seleccionado que contenga los módulos exactos en los que tus desarrolladores deberían demostrar su competencia tendrá un gran impacto y les permitirá empezar a trabajar de inmediato en lo que respecta a las mejores prácticas de seguridad en su trabajo diario.
Cambiar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, donde incluso los dispositivos aparentemente simples, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás.
Debemos llegar a una etapa en la que la seguridad se considere una responsabilidad compartida en toda la organización y en todo el SDLC. Sin duda, esto es posible cuando te comprometes con un entorno DevSecOps completo y con un gran apoyo.
La vulnerabilidad de control de acceso a nivel de función que falta permite a los usuarios realizar funciones que deberían restringirse o les permite acceder a recursos que deben protegerse.
La autenticación suele actuar como puerta de entrada tanto a una aplicación como, potencialmente, al resto de la red, por lo que son objetivos tentadores para los atacantes. Si un proceso de autenticación se interrumpe o es vulnerable, es muy probable que los atacantes descubran esa debilidad y la exploten.
El desarrollo de software ya no es una isla y, si tenemos en cuenta todos los aspectos del riesgo impulsado por el software (desde la nube, los sistemas integrados en electrodomésticos y vehículos, nuestra infraestructura crítica, sin mencionar las API que lo conectan todo), la superficie de ataque no tiene fronteras y está fuera de control.
Se puede decir con seguridad que los últimos dos años han supuesto una transformación para los estándares de ciberseguridad y, si bien no son obligatorios, todas las organizaciones deberían tener el objetivo de seguir su ejemplo y analizar las prácticas de seguridad de los proveedores como si formaran parte de su propio programa de seguridad interno.
La vulnerabilidad de asignación masiva nació como resultado de muchos marcos modernos que alentaban a los desarrolladores a usar funciones que vinculan automáticamente la entrada de los clientes a variables de código y objetos internos.
Empezamos a pensar en lo que podríamos hacer para reducir las barreras que impiden obtener formación cuando la necesitas y en cómo implementar el microaprendizaje en tu flujo de trabajo de una manera más fluida.
Los desarrolladores no tendrán un impacto positivo en la reducción de vulnerabilidades sin una comprensión básica de cómo funcionan las vulnerabilidades, por qué son peligrosas, qué patrones las causan y qué patrones de diseño o codificación las arreglan en un contexto que tenga sentido en su mundo. Un enfoque escalonado permite a los distintos niveles de conocimiento obtener una visión completa de lo que significa programar de forma segura, defender una base de código y posicionarse como desarrollador preocupado por la seguridad.
Los ataques de día cero, por definición, no dan tiempo a los desarrolladores para encontrar y corregir las vulnerabilidades existentes que podrían explotarse, porque el actor de la amenaza fue el primero en entrar. El daño ya está hecho y, a continuación, se pone manos a la obra para arreglar el daño causado tanto al software como a la reputación de la empresa. Los atacantes siempre tienen una ventaja, y cerrar esa ventaja en la medida de lo posible es crucial.
Esta es la primera parte de una serie de dos partes sobre el cumplimiento exitoso de PCI-DSS dentro de una organización. En este capítulo, detallamos cómo los especialistas de AppSec pueden trabajar en estrecha colaboración con los directores de desarrollo para empoderar a los desarrolladores, fortalecer el SSDLC y obtener resultados específicos a partir de la legislación general.
Ya sabemos que hay demasiadas cosas que hacer en una jornada laboral, entonces, ¿qué incentivo tienen los desarrolladores para ir a un aula o cambiar de contexto para seguir cinco pasos y acceder a una formación basada en la teoría estática?
Hay algunas razones por las que las herramientas de AppSec no se utilizan como cabría esperar, y se trata menos de las herramientas y su funcionalidad, y más de cómo se integran con un programa de seguridad en su conjunto.
Nos gustaría destacar a uno de nuestros expertos, Oscar Quintas. Forma parte de nuestro equipo de contenido de productos y trabaja como investigador sénior de seguridad. También es nuestro hechicero residente en todo lo relacionado con la infraestructura como código (IaC).
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
Esta vulnerabilidad se produce cuando se reciben demasiadas solicitudes al mismo tiempo y la API no tiene suficientes recursos informáticos para gestionar esas solicitudes. En ese caso, la API puede dejar de estar disponible o dejar de responder a las nuevas solicitudes.
Cuando se trata de luchar contra los ciberdelincuentes, debemos mantenernos lo más en sintonía posible con ellos, adelantándonos a sus áreas de juego con una mentalidad preventiva. Aquí es donde creo que podrían empezar a causar sensación el año que viene:
Sin un control de acceso a nivel de infraestructura en perfecto orden, se abre toda una empresa a los atacantes, quienes pueden usar esa vulnerabilidad como puerta de entrada para espiar sin autorización o para realizar un ataque total.
Los ciberataques son cada vez más frecuentes y las amenazas que afectan a la infraestructura basada en Linux son cada vez más comunes, con el objetivo final de tener la oportunidad de abrir un cofre de botín de datos confidenciales almacenados en la nube.
La mecánica real detrás de esta vulnerabilidad es similar a la de otras, pero la exposición excesiva de datos, en este caso, se define como la participación de datos legalmente protegidos o altamente confidenciales.
Al igual que el software basado en la web, las API y los dispositivos móviles, el código vulnerable de los sistemas integrados puede explotarse si un atacante lo descubre en estado salvaje.
Esta es la segunda parte de una miniserie sobre el cumplimiento de PCI-DSS dentro de una organización. En este último capítulo, detallamos cómo los directores de tecnología de la información y los directores de seguridad informática pueden liderar desde arriba para reducir el riesgo cibernético y hacer que el proceso sea fluido, exitoso... y tal vez un poco divertido para los desarrolladores.
La falla de registro y monitoreo insuficientes se produce principalmente como resultado de un plan de ciberseguridad fallido en lo que respecta al registro de todos los intentos de autenticación fallidos, el acceso denegado y los errores de validación de entrada.
Hoy en día, tener datos críticos como contraseñas, información personal y registros financieros codificados mientras están en reposo es la piedra angular de cualquier defensa de ciberseguridad.
La reciente orden ejecutiva de ciberseguridad de la Administración Biden sin duda ha hecho que la industria de la seguridad hable, especialmente a aquellos que buscan convencer a los desarrolladores de la importancia de aplicar las mejores prácticas de codificación segura en su trabajo diario.
Necesitamos reforzar un enfoque humano de las mejores prácticas de ciberseguridad, y obtendremos mejores resultados que si dependemos en gran medida de la automatización, las herramientas y la reacción a los problemas que ya se han incorporado y descubierto.
Los desarrolladores se encuentran entre los que conocen más de cerca el código, además de las configuraciones de seguridad y el control de acceso. Hay que fomentar sus habilidades en materia de seguridad y, para alcanzar los altos estándares descritos por el NIST, una estructura de cursos prácticos podría ser la forma más eficaz de abordarla, especialmente en el caso de grupos de desarrolladores grandes.
Nos complace anunciar el lanzamiento de una nueva función en la plataforma Secure Code Warrior: Missions. Esta nueva categoría de desafíos es la siguiente fase de la formación en seguridad para desarrolladores, ya que permite a los usuarios dejar de recordar los conocimientos de seguridad para aplicarlos en un entorno de simulación real.
Ya sea que la incomodidad provenga de las incógnitas de una nueva forma de trabajar, de un poco de desconfianza o quizás de no creer en el trabajo remoto, me parece que las empresas que se resisten a ello tienden a quedarse atrás en términos de atraer a los mejores talentos, mantener el alcance global y, francamente, adaptarse a los tiempos.
La clave de la mayoría de la seguridad informática en estos días son las contraseñas. Incluso si se emplean otros métodos de seguridad, como la autenticación de dos factores o la biometría, la mayoría de las organizaciones siguen empleando la seguridad basada en contraseñas como un elemento de su protección.
Secure Code Warrior ha creado una GitHub Action que aporta el aprendizaje contextual al escaneo de código de GitHub. Esto significa que los desarrolladores pueden usar una acción de terceros, como la Snyk Container Action, para encontrar vulnerabilidades y, luego, aumentar el resultado con un aprendizaje hiperrelevante y específico para CWE.
Las herramientas de análisis estático y pruebas de penetración (más conocidas como SAST) son solo una parte del proceso general para mitigar los riesgos de seguridad, ya que funcionan de forma bastante independiente de lo que hacemos nosotros, ¡hasta que el código nos devuelva para corregirlo, por supuesto!
El código de un cierto nivel de calidad es, por definición, también seguro, pero no todo el código seguro es necesariamente de buena calidad. ¿Empezar «a la izquierda de la izquierda» es la fórmula para garantizar estándares de codificación puros y seguros?
El comportamiento que induce la vulnerabilidad en el que nos vamos a centrar aquí es el uso de código de fuentes que no son de confianza, una práctica aparentemente benigna que está causando grandes problemas.
Esta vulnerabilidad es más bien un problema humano o de administración que permite que las API antiguas permanezcan en su lugar mucho después de que deberían haber sido reemplazadas por versiones más nuevas y seguras.
Muchas empresas que se están esforzando por alcanzar sus objetivos en materia de ciberseguridad han implementado un programa oficial de promoción de la seguridad, que otorga las principales responsabilidades de seguridad (desde el enlace entre los equipos y el apoyo general hasta la supervisión de las mejores prácticas) a las personas que demuestren aptitud y pasión por ese puesto.
Rust incorpora elementos conocidos y funcionales de los lenguajes de uso común, siguiendo una filosofía diferente que elimina la complejidad, al tiempo que introduce rendimiento y seguridad.
Es probable que sea un poco más frecuente en las API, pero los atacantes suelen intentar encontrar fallos sin parches y archivos o directorios desprotegidos en cualquier parte de la red. Encontrarse con una API que tiene habilitada la depuración o las funciones de seguridad deshabilitadas solo facilita un poco su nefasta labor.
Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevos estándares para capacitar a los desarrolladores para que puedan producir software de mayor calidad.
En ocasiones, las aplicaciones también compartirán datos con otros programas como parte de una carga de trabajo general. A menos que la capa de transporte esté protegida, es vulnerable tanto a la intromisión externa como a la visualización interna no autorizada.
Todas las organizaciones pueden aprovechar el Mes de la Concientización sobre la Ciberseguridad para actualizar su conciencia de seguridad y, este año, ¡también lanzaremos una nueva aplicación gratuita para la comunidad de programadores!
Una relación que se basa en los cimientos inestables de la desconfianza es, bueno, mejor abordarla con bajas expectativas. Lamentablemente, este puede ser el estado de la relación de trabajo entre los desarrolladores y el equipo de AppSec dentro de una organización.
Los errores de configuración de seguridad, especialmente los de permisos inadecuados, ocurren con mayor frecuencia cuando un desarrollador crea un nuevo usuario o concede permiso para una aplicación como herramienta para realizar una tarea.
Los atacantes siempre intentarán encontrar primero las vulnerabilidades que puedan explotarse fácilmente e incluso pueden utilizar un script para analizar las debilidades más comunes. Es como un ladrón que comprueba todos los coches de una calle para ver si alguna puerta está abierta, lo que es mucho más fácil que romper una ventana.
Con una escasez persistente de habilidades que contrasta con la avalancha de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Es hora de que analicemos honestamente nuestra madurez general en materia de ciberseguridad y evaluemos las ventajas rápidas y viables que tenemos ante nosotros.
Los CISO se encuentran en una posición cada vez más difícil: proteger más activos, enviar más código, reducir una mayor superficie de ataque y hacerlo con recursos financieros que disminuyen rápidamente. Es un hecho ineludible que la ciberseguridad se considera un factor de costes y, a pesar de que el programa de seguridad de una organización es lo que impide que un actor de amenazas se convierta en el desastroso titular del mañana, los líderes de seguridad deben hacer más para vender y demostrar el valor empresarial general del departamento, en un lenguaje que tenga sentido para el órgano ejecutivo.
Nuestro último artículo de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de seguridad mediante el diseño a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
El creciente enfoque en el código seguro y los principios de seguridad desde el diseño requiere que los desarrolladores estén capacitados en ciberseguridad desde el inicio del SDLC, con herramientas como la puntuación de confianza de Secure Code Warrior que ayudan a medir y mejorar su progreso.
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje extraídos del trabajo realizado por más de 250 000 alumnos de más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Encontrar datos significativos sobre el éxito de las iniciativas de Secure-by-Design es notoriamente difícil. Los CISO suelen enfrentarse a desafíos cuando intentan demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel personal como empresarial. Sin mencionar que es particularmente difícil para las empresas obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a «adoptar la seguridad y la resiliencia desde el diseño». La clave para que las iniciativas de seguridad desde el diseño funcionen no es solo dotar a los desarrolladores de las habilidades necesarias para garantizar la seguridad del código, sino también garantizar a los reguladores que esas habilidades existen. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos los datos internos recopilados de más de 250 000 desarrolladores, las opiniones de los clientes basadas en datos y los estudios públicos. Aprovechando esta agregación de puntos de datos, nuestro objetivo es comunicar una visión del estado actual de las iniciativas de seguridad mediante el diseño en varios mercados verticales. El informe detalla por qué este espacio está infrautilizado actualmente, el importante impacto que un programa de mejora de habilidades exitoso puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de una base de código.
El debate sobre la IA no tiene que ver con el uso, sino con la aplicación. Descubra cómo equilibrar la necesidad de aumentar la productividad de la IA con una seguridad sólida confiando en desarrolladores que comprenden perfectamente su código.
En este documento técnico, el experto en seguridad y CTO y cofundador de Secure Code Warrior, Matias Madou, Ph.D., analizará los seis pilares que necesita para implantar una educación y capacitación en seguridad eficaces para su grupo de desarrollo. Las lecciones aprendidas de diez ejecutivos que implementaron programas de seguridad a nivel empresarial y los obstáculos más comunes que hay que evitar en el camino hacia el éxito.
