Los codificadores conquistan la infraestructura de seguridad como una serie de códigos: funciones de seguridad deshabilitadas.
Las amenazas a la ciberseguridad en estos días son omnipresentes e incesantes. A medida que se digitalizan más facetas de nuestras vidas, más arriesgan los ciberdelincuentes: hay demasiado código que proteger y los datos privados son demasiado valiosos. Y, bueno, tratar de mantenerse al día y defender todos los aspectos de la superficie de ataque una vez desplegados los programas se ha vuelto casi imposible.
Hay enfoques que pueden aliviar algunos de estos síntomas, y uno de ellos se hace evidente cuando las organizaciones inteligentes adoptan el concepto de infraestructura como código (IaC). Por supuesto, como ocurre con cualquier desarrollo, hay algunos obstáculos de seguridad que sortear. Y dado que los desarrolladores están trabajando en el código que genera la infraestructura vital para alojar las aplicaciones, la concienciación sobre la seguridad es fundamental en cada etapa del proceso.
Entonces, ¿cómo haría exactamente un desarrollador nuevo en un entorno de servidor en la nube para mejorar sus habilidades, aprender los entresijos y abordar la construcción con una mayor conciencia de seguridad? Hemos creado la próxima serie Coders Conquer Security para abordar las vulnerabilidades más comunes de IaC, y los próximos blogs se centrarán en las medidas que usted, el desarrollador, puede tomar para empezar a implementar una infraestructura segura como código en su propia organización.
Vamos a empezar.
Hay una fábula del Viejo Oeste estadounidense sobre un hombre que estaba paranoico pensando que los bandidos atacarían y robarían su casa. Para compensarlo, invirtió en todo tipo de medidas de seguridad, como instalar una puerta de entrada muy fuerte, tapar todas sus ventanas y tener muchas armas al alcance de la mano. Todavía le robaron una noche mientras dormía porque se olvidó de cerrar la puerta lateral. Los bandidos simplemente encontraron la seguridad desactivada y rápidamente se aprovecharon de la situación.
Tener las funciones de seguridad deshabilitadas en su infraestructura es muy parecido a eso. Incluso si su red cuenta con una infraestructura de seguridad sólida, no sirve de mucho si se han desactivado algunos elementos.
Permítanme plantear un desafío antes de sumergirnos:
Visita el enlace de arriba y accederás a nuestra plataforma de formación gamificada, donde podrás intentar eliminar una vulnerabilidad de una función de seguridad desactivada ahora mismo. (Atención: Se abrirá en Kubernetes, pero usa el menú desplegable y podrás elegir entre Docker, CloudFormation, Terraform y Ansible).
¿Cómo te fue? Si aún tienes trabajo por hacer, sigue leyendo:
Las funciones de seguridad se pueden desactivar por diversos motivos. Algunas aplicaciones y marcos pueden estar deshabilitados de forma predeterminada y primero deben activarse para que empiecen a funcionar. También es posible que los administradores hayan desactivado funciones de seguridad específicas para poder realizar determinadas tareas con mayor facilidad sin tener que enfrentarse a desafíos o bloqueos constantes (por ejemplo, hacer público un bucket de AWS S3). Una vez finalizado su trabajo, es posible que se olviden de reactivar las funciones deshabilitadas. También es posible que prefieran dejarlas desactivadas para facilitar su trabajo en el futuro.
¿Por qué las funciones de seguridad deshabilitadas son tan peligrosas?
Tener una o más funciones de seguridad deshabilitadas es malo por un par de razones. Por un lado, la función de seguridad se incluyó en los recursos de la infraestructura para protegerla contra un exploit, una amenaza o una vulnerabilidad conocidos. Si está deshabilitada, no podrá proteger sus recursos.
Los atacantes siempre intentarán encontrar primero las vulnerabilidades que puedan explotarse fácilmente e incluso pueden utilizar un script para analizar las debilidades más comunes. Es como un ladrón que comprueba todos los coches de una calle para ver si alguna puerta está abierta, lo que es mucho más fácil que romper una ventana. Los piratas informáticos se sorprenderán al descubrir que una defensa de seguridad común está inactiva. Pero cuando eso suceda, no tardarán mucho en explotarla.
En segundo lugar, tener una buena seguridad y luego desactivarla crea una falsa sensación de seguridad. Los administradores pueden pensar que están protegidos contra las amenazas más comunes si no saben que alguien ha desactivado esas defensas.
Como ejemplo de cómo un atacante podría aprovechar una función de seguridad deshabilitada, considere la función de seguridad de AWS S3 de bloquear el acceso público. Con el bloqueo del acceso público de Amazon S3, los administradores de cuentas y los propietarios de buzones pueden configurar fácilmente controles centralizados para limitar el acceso público a sus recursos de Amazon S3. Sin embargo, algunos administradores que tienen problemas para acceder al bucket de S3 deciden hacerlo público para completar la tarea lo antes posible. Si se olvida de habilitar esa función de seguridad, el atacante tendrá acceso total a la información almacenada en ese bucket de S3, lo que no solo provocará la divulgación de la información, sino que también incurrirá en costes adicionales debido a los gastos de transferencia de datos.
Comparemos algunos códigos del mundo real; consulte estos fragmentos de CloudFormation:
Vulnerable:
Cubo corporativo:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
blockPublicACLS: falso
BlockPublicPolicy: falso
ignorePublicacls: falso
restrictPublicBuckets: falso
Configuración de control de versiones:
Estado: Activado
Cifrado de cubos:
Configuración de cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256"
Seguro:
Cubo corporativo:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
BlockPublicACLS: verdadero
BlockPublicPolicy: verdadero
ignorePublicacls: verdadero
RestrictPublicBuckets: verdadero
Configuración de control de versiones:
Estado: Activado
Cifrado de cubos:
Configuración de cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256"
Prevenir las funciones de seguridad deshabilitadas
Impedir que las funciones de seguridad deshabilitadas perjudiquen negativamente a su organización es tanto una cuestión de política como de práctica. Debe existir una política firme que establezca que las funciones de seguridad solo deben deshabilitarse en circunstancias muy específicas. Deben registrarse los incidentes en los que las funciones deban deshabilitarse temporalmente para solucionar un problema o actualizar las aplicaciones. Una vez completado el trabajo necesario, se deben comprobar las funciones para asegurarse de que se han reactivado por completo.
Si una función de seguridad debe deshabilitarse permanentemente para agilizar las operaciones, se deben proporcionar otras protecciones a los datos afectados para garantizar que los piratas informáticos no puedan acceder a ellos si no existe la protección predeterminada. Si se ha desactivado una función de protección necesaria, solo es cuestión de tiempo que un atacante encuentre la puerta abierta y aproveche la situación.
Obtenga más información, desafíese a sí mismo:
Echa un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas y vulnerabilidades de seguridad.
¿Está listo para encontrar y corregir esta vulnerabilidad ahora que ha leído la publicación? ¡Es hora de hacerlo!Pruebe un desafío de seguridad gamificado para iMac en la plataforma Secure Code Warrior mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Esta es una serie semanal que cubre nuestras ocho principales vulnerabilidades de infraestructura como código. ¡Vuelva la semana que viene para obtener más información!
Los atacantes siempre intentarán encontrar primero las vulnerabilidades que puedan explotarse fácilmente e incluso pueden utilizar un script para analizar las debilidades más comunes. Es como un ladrón que comprueba todos los coches de una calle para ver si alguna puerta está abierta, lo que es mucho más fácil que romper una ventana.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Las amenazas a la ciberseguridad en estos días son omnipresentes e incesantes. A medida que se digitalizan más facetas de nuestras vidas, más arriesgan los ciberdelincuentes: hay demasiado código que proteger y los datos privados son demasiado valiosos. Y, bueno, tratar de mantenerse al día y defender todos los aspectos de la superficie de ataque una vez desplegados los programas se ha vuelto casi imposible.
Hay enfoques que pueden aliviar algunos de estos síntomas, y uno de ellos se hace evidente cuando las organizaciones inteligentes adoptan el concepto de infraestructura como código (IaC). Por supuesto, como ocurre con cualquier desarrollo, hay algunos obstáculos de seguridad que sortear. Y dado que los desarrolladores están trabajando en el código que genera la infraestructura vital para alojar las aplicaciones, la concienciación sobre la seguridad es fundamental en cada etapa del proceso.
Entonces, ¿cómo haría exactamente un desarrollador nuevo en un entorno de servidor en la nube para mejorar sus habilidades, aprender los entresijos y abordar la construcción con una mayor conciencia de seguridad? Hemos creado la próxima serie Coders Conquer Security para abordar las vulnerabilidades más comunes de IaC, y los próximos blogs se centrarán en las medidas que usted, el desarrollador, puede tomar para empezar a implementar una infraestructura segura como código en su propia organización.
Vamos a empezar.
Hay una fábula del Viejo Oeste estadounidense sobre un hombre que estaba paranoico pensando que los bandidos atacarían y robarían su casa. Para compensarlo, invirtió en todo tipo de medidas de seguridad, como instalar una puerta de entrada muy fuerte, tapar todas sus ventanas y tener muchas armas al alcance de la mano. Todavía le robaron una noche mientras dormía porque se olvidó de cerrar la puerta lateral. Los bandidos simplemente encontraron la seguridad desactivada y rápidamente se aprovecharon de la situación.
Tener las funciones de seguridad deshabilitadas en su infraestructura es muy parecido a eso. Incluso si su red cuenta con una infraestructura de seguridad sólida, no sirve de mucho si se han desactivado algunos elementos.
Permítanme plantear un desafío antes de sumergirnos:
Visita el enlace de arriba y accederás a nuestra plataforma de formación gamificada, donde podrás intentar eliminar una vulnerabilidad de una función de seguridad desactivada ahora mismo. (Atención: Se abrirá en Kubernetes, pero usa el menú desplegable y podrás elegir entre Docker, CloudFormation, Terraform y Ansible).
¿Cómo te fue? Si aún tienes trabajo por hacer, sigue leyendo:
Las funciones de seguridad se pueden desactivar por diversos motivos. Algunas aplicaciones y marcos pueden estar deshabilitados de forma predeterminada y primero deben activarse para que empiecen a funcionar. También es posible que los administradores hayan desactivado funciones de seguridad específicas para poder realizar determinadas tareas con mayor facilidad sin tener que enfrentarse a desafíos o bloqueos constantes (por ejemplo, hacer público un bucket de AWS S3). Una vez finalizado su trabajo, es posible que se olviden de reactivar las funciones deshabilitadas. También es posible que prefieran dejarlas desactivadas para facilitar su trabajo en el futuro.
¿Por qué las funciones de seguridad deshabilitadas son tan peligrosas?
Tener una o más funciones de seguridad deshabilitadas es malo por un par de razones. Por un lado, la función de seguridad se incluyó en los recursos de la infraestructura para protegerla contra un exploit, una amenaza o una vulnerabilidad conocidos. Si está deshabilitada, no podrá proteger sus recursos.
Los atacantes siempre intentarán encontrar primero las vulnerabilidades que puedan explotarse fácilmente e incluso pueden utilizar un script para analizar las debilidades más comunes. Es como un ladrón que comprueba todos los coches de una calle para ver si alguna puerta está abierta, lo que es mucho más fácil que romper una ventana. Los piratas informáticos se sorprenderán al descubrir que una defensa de seguridad común está inactiva. Pero cuando eso suceda, no tardarán mucho en explotarla.
En segundo lugar, tener una buena seguridad y luego desactivarla crea una falsa sensación de seguridad. Los administradores pueden pensar que están protegidos contra las amenazas más comunes si no saben que alguien ha desactivado esas defensas.
Como ejemplo de cómo un atacante podría aprovechar una función de seguridad deshabilitada, considere la función de seguridad de AWS S3 de bloquear el acceso público. Con el bloqueo del acceso público de Amazon S3, los administradores de cuentas y los propietarios de buzones pueden configurar fácilmente controles centralizados para limitar el acceso público a sus recursos de Amazon S3. Sin embargo, algunos administradores que tienen problemas para acceder al bucket de S3 deciden hacerlo público para completar la tarea lo antes posible. Si se olvida de habilitar esa función de seguridad, el atacante tendrá acceso total a la información almacenada en ese bucket de S3, lo que no solo provocará la divulgación de la información, sino que también incurrirá en costes adicionales debido a los gastos de transferencia de datos.
Comparemos algunos códigos del mundo real; consulte estos fragmentos de CloudFormation:
Vulnerable:
Cubo corporativo:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
blockPublicACLS: falso
BlockPublicPolicy: falso
ignorePublicacls: falso
restrictPublicBuckets: falso
Configuración de control de versiones:
Estado: Activado
Cifrado de cubos:
Configuración de cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256"
Seguro:
Cubo corporativo:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
BlockPublicACLS: verdadero
BlockPublicPolicy: verdadero
ignorePublicacls: verdadero
RestrictPublicBuckets: verdadero
Configuración de control de versiones:
Estado: Activado
Cifrado de cubos:
Configuración de cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256"
Prevenir las funciones de seguridad deshabilitadas
Impedir que las funciones de seguridad deshabilitadas perjudiquen negativamente a su organización es tanto una cuestión de política como de práctica. Debe existir una política firme que establezca que las funciones de seguridad solo deben deshabilitarse en circunstancias muy específicas. Deben registrarse los incidentes en los que las funciones deban deshabilitarse temporalmente para solucionar un problema o actualizar las aplicaciones. Una vez completado el trabajo necesario, se deben comprobar las funciones para asegurarse de que se han reactivado por completo.
Si una función de seguridad debe deshabilitarse permanentemente para agilizar las operaciones, se deben proporcionar otras protecciones a los datos afectados para garantizar que los piratas informáticos no puedan acceder a ellos si no existe la protección predeterminada. Si se ha desactivado una función de protección necesaria, solo es cuestión de tiempo que un atacante encuentre la puerta abierta y aproveche la situación.
Obtenga más información, desafíese a sí mismo:
Echa un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas y vulnerabilidades de seguridad.
¿Está listo para encontrar y corregir esta vulnerabilidad ahora que ha leído la publicación? ¡Es hora de hacerlo!Pruebe un desafío de seguridad gamificado para iMac en la plataforma Secure Code Warrior mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Esta es una serie semanal que cubre nuestras ocho principales vulnerabilidades de infraestructura como código. ¡Vuelva la semana que viene para obtener más información!
Las amenazas a la ciberseguridad en estos días son omnipresentes e incesantes. A medida que se digitalizan más facetas de nuestras vidas, más arriesgan los ciberdelincuentes: hay demasiado código que proteger y los datos privados son demasiado valiosos. Y, bueno, tratar de mantenerse al día y defender todos los aspectos de la superficie de ataque una vez desplegados los programas se ha vuelto casi imposible.
Hay enfoques que pueden aliviar algunos de estos síntomas, y uno de ellos se hace evidente cuando las organizaciones inteligentes adoptan el concepto de infraestructura como código (IaC). Por supuesto, como ocurre con cualquier desarrollo, hay algunos obstáculos de seguridad que sortear. Y dado que los desarrolladores están trabajando en el código que genera la infraestructura vital para alojar las aplicaciones, la concienciación sobre la seguridad es fundamental en cada etapa del proceso.
Entonces, ¿cómo haría exactamente un desarrollador nuevo en un entorno de servidor en la nube para mejorar sus habilidades, aprender los entresijos y abordar la construcción con una mayor conciencia de seguridad? Hemos creado la próxima serie Coders Conquer Security para abordar las vulnerabilidades más comunes de IaC, y los próximos blogs se centrarán en las medidas que usted, el desarrollador, puede tomar para empezar a implementar una infraestructura segura como código en su propia organización.
Vamos a empezar.
Hay una fábula del Viejo Oeste estadounidense sobre un hombre que estaba paranoico pensando que los bandidos atacarían y robarían su casa. Para compensarlo, invirtió en todo tipo de medidas de seguridad, como instalar una puerta de entrada muy fuerte, tapar todas sus ventanas y tener muchas armas al alcance de la mano. Todavía le robaron una noche mientras dormía porque se olvidó de cerrar la puerta lateral. Los bandidos simplemente encontraron la seguridad desactivada y rápidamente se aprovecharon de la situación.
Tener las funciones de seguridad deshabilitadas en su infraestructura es muy parecido a eso. Incluso si su red cuenta con una infraestructura de seguridad sólida, no sirve de mucho si se han desactivado algunos elementos.
Permítanme plantear un desafío antes de sumergirnos:
Visita el enlace de arriba y accederás a nuestra plataforma de formación gamificada, donde podrás intentar eliminar una vulnerabilidad de una función de seguridad desactivada ahora mismo. (Atención: Se abrirá en Kubernetes, pero usa el menú desplegable y podrás elegir entre Docker, CloudFormation, Terraform y Ansible).
¿Cómo te fue? Si aún tienes trabajo por hacer, sigue leyendo:
Las funciones de seguridad se pueden desactivar por diversos motivos. Algunas aplicaciones y marcos pueden estar deshabilitados de forma predeterminada y primero deben activarse para que empiecen a funcionar. También es posible que los administradores hayan desactivado funciones de seguridad específicas para poder realizar determinadas tareas con mayor facilidad sin tener que enfrentarse a desafíos o bloqueos constantes (por ejemplo, hacer público un bucket de AWS S3). Una vez finalizado su trabajo, es posible que se olviden de reactivar las funciones deshabilitadas. También es posible que prefieran dejarlas desactivadas para facilitar su trabajo en el futuro.
¿Por qué las funciones de seguridad deshabilitadas son tan peligrosas?
Tener una o más funciones de seguridad deshabilitadas es malo por un par de razones. Por un lado, la función de seguridad se incluyó en los recursos de la infraestructura para protegerla contra un exploit, una amenaza o una vulnerabilidad conocidos. Si está deshabilitada, no podrá proteger sus recursos.
Los atacantes siempre intentarán encontrar primero las vulnerabilidades que puedan explotarse fácilmente e incluso pueden utilizar un script para analizar las debilidades más comunes. Es como un ladrón que comprueba todos los coches de una calle para ver si alguna puerta está abierta, lo que es mucho más fácil que romper una ventana. Los piratas informáticos se sorprenderán al descubrir que una defensa de seguridad común está inactiva. Pero cuando eso suceda, no tardarán mucho en explotarla.
En segundo lugar, tener una buena seguridad y luego desactivarla crea una falsa sensación de seguridad. Los administradores pueden pensar que están protegidos contra las amenazas más comunes si no saben que alguien ha desactivado esas defensas.
Como ejemplo de cómo un atacante podría aprovechar una función de seguridad deshabilitada, considere la función de seguridad de AWS S3 de bloquear el acceso público. Con el bloqueo del acceso público de Amazon S3, los administradores de cuentas y los propietarios de buzones pueden configurar fácilmente controles centralizados para limitar el acceso público a sus recursos de Amazon S3. Sin embargo, algunos administradores que tienen problemas para acceder al bucket de S3 deciden hacerlo público para completar la tarea lo antes posible. Si se olvida de habilitar esa función de seguridad, el atacante tendrá acceso total a la información almacenada en ese bucket de S3, lo que no solo provocará la divulgación de la información, sino que también incurrirá en costes adicionales debido a los gastos de transferencia de datos.
Comparemos algunos códigos del mundo real; consulte estos fragmentos de CloudFormation:
Vulnerable:
Cubo corporativo:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
blockPublicACLS: falso
BlockPublicPolicy: falso
ignorePublicacls: falso
restrictPublicBuckets: falso
Configuración de control de versiones:
Estado: Activado
Cifrado de cubos:
Configuración de cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256"
Seguro:
Cubo corporativo:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
BlockPublicACLS: verdadero
BlockPublicPolicy: verdadero
ignorePublicacls: verdadero
RestrictPublicBuckets: verdadero
Configuración de control de versiones:
Estado: Activado
Cifrado de cubos:
Configuración de cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256"
Prevenir las funciones de seguridad deshabilitadas
Impedir que las funciones de seguridad deshabilitadas perjudiquen negativamente a su organización es tanto una cuestión de política como de práctica. Debe existir una política firme que establezca que las funciones de seguridad solo deben deshabilitarse en circunstancias muy específicas. Deben registrarse los incidentes en los que las funciones deban deshabilitarse temporalmente para solucionar un problema o actualizar las aplicaciones. Una vez completado el trabajo necesario, se deben comprobar las funciones para asegurarse de que se han reactivado por completo.
Si una función de seguridad debe deshabilitarse permanentemente para agilizar las operaciones, se deben proporcionar otras protecciones a los datos afectados para garantizar que los piratas informáticos no puedan acceder a ellos si no existe la protección predeterminada. Si se ha desactivado una función de protección necesaria, solo es cuestión de tiempo que un atacante encuentre la puerta abierta y aproveche la situación.
Obtenga más información, desafíese a sí mismo:
Echa un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas y vulnerabilidades de seguridad.
¿Está listo para encontrar y corregir esta vulnerabilidad ahora que ha leído la publicación? ¡Es hora de hacerlo!Pruebe un desafío de seguridad gamificado para iMac en la plataforma Secure Code Warrior mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Esta es una serie semanal que cubre nuestras ocho principales vulnerabilidades de infraestructura como código. ¡Vuelva la semana que viene para obtener más información!
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Las amenazas a la ciberseguridad en estos días son omnipresentes e incesantes. A medida que se digitalizan más facetas de nuestras vidas, más arriesgan los ciberdelincuentes: hay demasiado código que proteger y los datos privados son demasiado valiosos. Y, bueno, tratar de mantenerse al día y defender todos los aspectos de la superficie de ataque una vez desplegados los programas se ha vuelto casi imposible.
Hay enfoques que pueden aliviar algunos de estos síntomas, y uno de ellos se hace evidente cuando las organizaciones inteligentes adoptan el concepto de infraestructura como código (IaC). Por supuesto, como ocurre con cualquier desarrollo, hay algunos obstáculos de seguridad que sortear. Y dado que los desarrolladores están trabajando en el código que genera la infraestructura vital para alojar las aplicaciones, la concienciación sobre la seguridad es fundamental en cada etapa del proceso.
Entonces, ¿cómo haría exactamente un desarrollador nuevo en un entorno de servidor en la nube para mejorar sus habilidades, aprender los entresijos y abordar la construcción con una mayor conciencia de seguridad? Hemos creado la próxima serie Coders Conquer Security para abordar las vulnerabilidades más comunes de IaC, y los próximos blogs se centrarán en las medidas que usted, el desarrollador, puede tomar para empezar a implementar una infraestructura segura como código en su propia organización.
Vamos a empezar.
Hay una fábula del Viejo Oeste estadounidense sobre un hombre que estaba paranoico pensando que los bandidos atacarían y robarían su casa. Para compensarlo, invirtió en todo tipo de medidas de seguridad, como instalar una puerta de entrada muy fuerte, tapar todas sus ventanas y tener muchas armas al alcance de la mano. Todavía le robaron una noche mientras dormía porque se olvidó de cerrar la puerta lateral. Los bandidos simplemente encontraron la seguridad desactivada y rápidamente se aprovecharon de la situación.
Tener las funciones de seguridad deshabilitadas en su infraestructura es muy parecido a eso. Incluso si su red cuenta con una infraestructura de seguridad sólida, no sirve de mucho si se han desactivado algunos elementos.
Permítanme plantear un desafío antes de sumergirnos:
Visita el enlace de arriba y accederás a nuestra plataforma de formación gamificada, donde podrás intentar eliminar una vulnerabilidad de una función de seguridad desactivada ahora mismo. (Atención: Se abrirá en Kubernetes, pero usa el menú desplegable y podrás elegir entre Docker, CloudFormation, Terraform y Ansible).
¿Cómo te fue? Si aún tienes trabajo por hacer, sigue leyendo:
Las funciones de seguridad se pueden desactivar por diversos motivos. Algunas aplicaciones y marcos pueden estar deshabilitados de forma predeterminada y primero deben activarse para que empiecen a funcionar. También es posible que los administradores hayan desactivado funciones de seguridad específicas para poder realizar determinadas tareas con mayor facilidad sin tener que enfrentarse a desafíos o bloqueos constantes (por ejemplo, hacer público un bucket de AWS S3). Una vez finalizado su trabajo, es posible que se olviden de reactivar las funciones deshabilitadas. También es posible que prefieran dejarlas desactivadas para facilitar su trabajo en el futuro.
¿Por qué las funciones de seguridad deshabilitadas son tan peligrosas?
Tener una o más funciones de seguridad deshabilitadas es malo por un par de razones. Por un lado, la función de seguridad se incluyó en los recursos de la infraestructura para protegerla contra un exploit, una amenaza o una vulnerabilidad conocidos. Si está deshabilitada, no podrá proteger sus recursos.
Los atacantes siempre intentarán encontrar primero las vulnerabilidades que puedan explotarse fácilmente e incluso pueden utilizar un script para analizar las debilidades más comunes. Es como un ladrón que comprueba todos los coches de una calle para ver si alguna puerta está abierta, lo que es mucho más fácil que romper una ventana. Los piratas informáticos se sorprenderán al descubrir que una defensa de seguridad común está inactiva. Pero cuando eso suceda, no tardarán mucho en explotarla.
En segundo lugar, tener una buena seguridad y luego desactivarla crea una falsa sensación de seguridad. Los administradores pueden pensar que están protegidos contra las amenazas más comunes si no saben que alguien ha desactivado esas defensas.
Como ejemplo de cómo un atacante podría aprovechar una función de seguridad deshabilitada, considere la función de seguridad de AWS S3 de bloquear el acceso público. Con el bloqueo del acceso público de Amazon S3, los administradores de cuentas y los propietarios de buzones pueden configurar fácilmente controles centralizados para limitar el acceso público a sus recursos de Amazon S3. Sin embargo, algunos administradores que tienen problemas para acceder al bucket de S3 deciden hacerlo público para completar la tarea lo antes posible. Si se olvida de habilitar esa función de seguridad, el atacante tendrá acceso total a la información almacenada en ese bucket de S3, lo que no solo provocará la divulgación de la información, sino que también incurrirá en costes adicionales debido a los gastos de transferencia de datos.
Comparemos algunos códigos del mundo real; consulte estos fragmentos de CloudFormation:
Vulnerable:
Cubo corporativo:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
blockPublicACLS: falso
BlockPublicPolicy: falso
ignorePublicacls: falso
restrictPublicBuckets: falso
Configuración de control de versiones:
Estado: Activado
Cifrado de cubos:
Configuración de cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256"
Seguro:
Cubo corporativo:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
BlockPublicACLS: verdadero
BlockPublicPolicy: verdadero
ignorePublicacls: verdadero
RestrictPublicBuckets: verdadero
Configuración de control de versiones:
Estado: Activado
Cifrado de cubos:
Configuración de cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256"
Prevenir las funciones de seguridad deshabilitadas
Impedir que las funciones de seguridad deshabilitadas perjudiquen negativamente a su organización es tanto una cuestión de política como de práctica. Debe existir una política firme que establezca que las funciones de seguridad solo deben deshabilitarse en circunstancias muy específicas. Deben registrarse los incidentes en los que las funciones deban deshabilitarse temporalmente para solucionar un problema o actualizar las aplicaciones. Una vez completado el trabajo necesario, se deben comprobar las funciones para asegurarse de que se han reactivado por completo.
Si una función de seguridad debe deshabilitarse permanentemente para agilizar las operaciones, se deben proporcionar otras protecciones a los datos afectados para garantizar que los piratas informáticos no puedan acceder a ellos si no existe la protección predeterminada. Si se ha desactivado una función de protección necesaria, solo es cuestión de tiempo que un atacante encuentre la puerta abierta y aproveche la situación.
Obtenga más información, desafíese a sí mismo:
Echa un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas y vulnerabilidades de seguridad.
¿Está listo para encontrar y corregir esta vulnerabilidad ahora que ha leído la publicación? ¡Es hora de hacerlo!Pruebe un desafío de seguridad gamificado para iMac en la plataforma Secure Code Warrior mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Esta es una serie semanal que cubre nuestras ocho principales vulnerabilidades de infraestructura como código. ¡Vuelva la semana que viene para obtener más información!
Tabla de contenido
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
