Los codificadores conquistan la infraestructura de seguridad como una serie de códigos: funciones de seguridad desactivadas.
Hoy en día, las amenazas a la ciberseguridad son omnipresentes e incesantes. A medida que más y más facetas de nuestra vida se digitalizan, más altos son los retos para los ciberdelincuentes: hay demasiado código que proteger y los datos privados tienen demasiado valor. Pues bien, intentar seguir y defender todos los aspectos de la superficie de ataque tras la implementación de los programas se ha vuelto casi imposible.
Algunos enfoques pueden mitigar algunos de estos síntomas, y uno de ellos es evidente cuando las organizaciones inteligentes adoptan el concepto de infraestructura como código (IaC). Por supuesto, como en cualquier desarrollo, existen obstáculos de seguridad que hay que superar. Y dado que los desarrolladores trabajan en el código que genera una infraestructura vital para alojar las aplicaciones, la concienciación sobre la seguridad es esencial en cada etapa del proceso.
Entonces, ¿cómo podría un desarrollador principiante en un entorno de servidor en la nube mejorar sus habilidades, aprender los entresijos del oficio y abordar la versión con una mayor concienciación sobre la seguridad? Hemos creado la próxima serie Coders Conquer Security para combatir las vulnerabilidades comunes de IaC, y los próximos blogs se centrarán en las medidas que usted, como desarrollador, puede tomar para comenzar a implementar una infraestructura segura en forma de código en su propia organización.
Allons-y.
Existe una fábula del Lejano Oeste americano sobre un hombre paranoico con la idea de que unos bandidos atacarían y robarían su propiedad. Para compensarlo, invirtió en todo tipo de medidas de seguridad, como instalar una puerta de entrada muy sólida, cerrar todas las ventanas y tener a mano numerosas armas. Aun así, una noche le robaron mientras dormía porque se había olvidado de cerrar con llave la puerta lateral. Los bandidos simplemente encontraron la seguridad deficiente y rápidamente aprovecharon la situación.
Desactivar las funciones de seguridad de su infraestructura es algo parecido a eso. Aunque su red cuente con una infraestructura de seguridad robusta, no servirá de nada si se han desactivado algunos elementos.
Permítanme plantearles un reto antes de entrar en materia:
Haga clic en el enlace anterior y será redirigido a nuestra plataforma de formación gamificada, donde podrá intentar neutralizar una vulnerabilidad de seguridad desactivada ahora mismo. (Atención: se abrirá en Kubernetes, pero utilice el menú desplegable y podrá elegir entre Docker, CloudFormation, Terraform y Ansible).
¿Cómo te las arreglaste? Si aún te queda trabajo por hacer, lee lo siguiente:
Las funciones de seguridad pueden desactivarse por diversas razones. Con algunas aplicaciones y marcos, pueden estar desactivadas por defecto y deben activarse primero para empezar a funcionar. También es posible que los administradores hayan desactivado funciones de seguridad específicas para poder realizar más fácilmente ciertas tareas sin verse constantemente puestos a prueba o bloqueados (por ejemplo, hacer público un compartimento AWS S3). Una vez finalizado su trabajo, es posible que se olviden de volver a activar las funciones desactivadas. También podrían preferir dejarlas desactivadas para facilitar su trabajo en el futuro.
¿Por qué son tan peligrosas las funciones de seguridad desactivadas?
La desactivación de una o varias funciones de seguridad es perjudicial por varias razones. Por un lado, la función de seguridad se ha integrado en los recursos de la infraestructura para protegerse contra un exploit, una amenaza o una vulnerabilidad conocidos. Si se desactiva, no podrá proteger sus recursos.
Los atacantes siempre intentarán encontrar primero las vulnerabilidades fácilmente explotables e incluso pueden utilizar un script para corregir las debilidades comunes. Es un poco como un ladrón que inspecciona todos los coches de una calle para ver si las puertas están desbloqueadas, lo cual es mucho más fácil que romper una ventana. Los piratas informáticos pueden sorprenderse al descubrir que una defensa de seguridad común está inactiva. Pero cuando esto ocurra, no tardarán mucho en explotarla.
En segundo lugar, implementar una buena seguridad y luego desactivarla crea una falsa sensación de seguridad. Los administradores pueden pensar que están protegidos contra las amenazas comunes si no saben que alguien ha desactivado estas defensas.
Como ejemplo de cómo un atacante podría aprovechar una función de seguridad desactivada, consideremos la función de seguridad de AWS S3 que consiste en bloquear el acceso público. Con el acceso público bloqueado a Amazon S3, los administradores de cuentas y los propietarios de compartimentos pueden configurar fácilmente controles centralizados para limitar el acceso público a sus recursos de Amazon S3. Sin embargo, algunos administradores que encuentran problemas al acceder al compartimento S3 deciden hacerlo público para completar la tarea lo más rápido posible. Si se olvida de activar esta función de seguridad, un atacante tendrá acceso completo a la información almacenada en ese compartimento S3, lo que no solo provocará la divulgación de información, sino también costes adicionales debido a los gastos de transferencia de datos.
Comparaciones del código real; eche un vistazo a estos extractos de CloudFormation:
Vulnerable:
Seau d'entreprise:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
Bloqueo de ACL públicas: falso
Política de bloqueo público: falso
Ignorar ACL públicas: falso
Restringir buckets públicos: falso
Configuración de versiones:
Estado: Activado
Cifrado del bucket:
Configuración del cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256»
Seguro:
Seau d'entreprise:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
Bloqueo de ACL públicas: verdadero
Política de bloqueo público: verdadero
Ignorar ACL públicas: verdadero
Restringir buckets públicos: verdadero
Configuración de versiones:
Estado: Activado
Cifrado del bucket:
Configuración del cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256»
Prevención de funciones de seguridad desactivadas
Evitar que las funciones de seguridad desactivadas perjudiquen a su organización es tanto una cuestión de política como de práctica. Debe existir una política firme que estipule que las funciones de seguridad solo deben desactivarse en circunstancias muy específicas. Deben registrarse los incidentes en los que sea necesario desactivar temporalmente las funciones para resolver un problema o actualizar aplicaciones. Una vez finalizado el trabajo necesario, se debe comprobar que las funciones se han reactivado por completo.
Si una función de seguridad debe desactivarse definitivamente para optimizar las operaciones, deben proporcionarse otras protecciones a los datos afectados para impedir que los piratas informáticos accedan a ellos en ausencia de la protección predeterminada. Si se ha desactivado una función de protección necesaria, es solo cuestión de tiempo que un atacante encuentre esa puerta abierta y aproveche la situación.
Aprenda más, póngase retos:
Consulte el Secure Code Warrior en las páginas del blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos causados por otras fallas de seguridad y vulnerabilidades.
¿Está listo para encontrar y corregir esta vulnerabilidad ahora que ha leído el artículo? Es horade probar un desafío de seguridad gamificado sobre IaC en la plataforma Secure Code Warrior perfeccionar y actualizar todas sus habilidades en materia de ciberseguridad.
Esta serie semanal cubre nuestras ocho principales vulnerabilidades relacionadas con la infraestructura como código; ¡vuelve la semana que viene para obtener más información!
Los atacantes siempre intentarán encontrar primero las vulnerabilidades fácilmente explotables e incluso pueden utilizar un script para corregir las debilidades comunes. Es un poco como un ladrón que inspecciona todos los coches de una calle para ver si las puertas están desbloqueadas, lo cual es mucho más fácil que romper una ventana.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Hoy en día, las amenazas a la ciberseguridad son omnipresentes e incesantes. A medida que más y más facetas de nuestra vida se digitalizan, más altos son los retos para los ciberdelincuentes: hay demasiado código que proteger y los datos privados tienen demasiado valor. Pues bien, intentar seguir y defender todos los aspectos de la superficie de ataque tras la implementación de los programas se ha vuelto casi imposible.
Algunos enfoques pueden mitigar algunos de estos síntomas, y uno de ellos es evidente cuando las organizaciones inteligentes adoptan el concepto de infraestructura como código (IaC). Por supuesto, como en cualquier desarrollo, existen obstáculos de seguridad que hay que superar. Y dado que los desarrolladores trabajan en el código que genera una infraestructura vital para alojar las aplicaciones, la concienciación sobre la seguridad es esencial en cada etapa del proceso.
Entonces, ¿cómo podría un desarrollador principiante en un entorno de servidor en la nube mejorar sus habilidades, aprender los entresijos del oficio y abordar la versión con una mayor concienciación sobre la seguridad? Hemos creado la próxima serie Coders Conquer Security para combatir las vulnerabilidades comunes de IaC, y los próximos blogs se centrarán en las medidas que usted, como desarrollador, puede tomar para comenzar a implementar una infraestructura segura en forma de código en su propia organización.
Allons-y.
Existe una fábula del Lejano Oeste americano sobre un hombre paranoico con la idea de que unos bandidos atacarían y robarían su propiedad. Para compensarlo, invirtió en todo tipo de medidas de seguridad, como instalar una puerta de entrada muy sólida, cerrar todas las ventanas y tener a mano numerosas armas. Aun así, una noche le robaron mientras dormía porque se había olvidado de cerrar con llave la puerta lateral. Los bandidos simplemente encontraron la seguridad deficiente y rápidamente aprovecharon la situación.
Desactivar las funciones de seguridad de su infraestructura es algo parecido a eso. Aunque su red cuente con una infraestructura de seguridad robusta, no servirá de nada si se han desactivado algunos elementos.
Permítanme plantearles un reto antes de entrar en materia:
Haga clic en el enlace anterior y será redirigido a nuestra plataforma de formación gamificada, donde podrá intentar neutralizar una vulnerabilidad de seguridad desactivada ahora mismo. (Atención: se abrirá en Kubernetes, pero utilice el menú desplegable y podrá elegir entre Docker, CloudFormation, Terraform y Ansible).
¿Cómo te las arreglaste? Si aún te queda trabajo por hacer, lee lo siguiente:
Las funciones de seguridad pueden desactivarse por diversas razones. Con algunas aplicaciones y marcos, pueden estar desactivadas por defecto y deben activarse primero para empezar a funcionar. También es posible que los administradores hayan desactivado funciones de seguridad específicas para poder realizar más fácilmente ciertas tareas sin verse constantemente puestos a prueba o bloqueados (por ejemplo, hacer público un compartimento AWS S3). Una vez finalizado su trabajo, es posible que se olviden de volver a activar las funciones desactivadas. También podrían preferir dejarlas desactivadas para facilitar su trabajo en el futuro.
¿Por qué son tan peligrosas las funciones de seguridad desactivadas?
La desactivación de una o varias funciones de seguridad es perjudicial por varias razones. Por un lado, la función de seguridad se ha integrado en los recursos de la infraestructura para protegerse contra un exploit, una amenaza o una vulnerabilidad conocidos. Si se desactiva, no podrá proteger sus recursos.
Los atacantes siempre intentarán encontrar primero las vulnerabilidades fácilmente explotables e incluso pueden utilizar un script para corregir las debilidades comunes. Es un poco como un ladrón que inspecciona todos los coches de una calle para ver si las puertas están desbloqueadas, lo cual es mucho más fácil que romper una ventana. Los piratas informáticos pueden sorprenderse al descubrir que una defensa de seguridad común está inactiva. Pero cuando esto ocurra, no tardarán mucho en explotarla.
En segundo lugar, implementar una buena seguridad y luego desactivarla crea una falsa sensación de seguridad. Los administradores pueden pensar que están protegidos contra las amenazas comunes si no saben que alguien ha desactivado estas defensas.
Como ejemplo de cómo un atacante podría aprovechar una función de seguridad desactivada, consideremos la función de seguridad de AWS S3 que consiste en bloquear el acceso público. Con el acceso público bloqueado a Amazon S3, los administradores de cuentas y los propietarios de compartimentos pueden configurar fácilmente controles centralizados para limitar el acceso público a sus recursos de Amazon S3. Sin embargo, algunos administradores que encuentran problemas al acceder al compartimento S3 deciden hacerlo público para completar la tarea lo más rápido posible. Si se olvida de activar esta función de seguridad, un atacante tendrá acceso completo a la información almacenada en ese compartimento S3, lo que no solo provocará la divulgación de información, sino también costes adicionales debido a los gastos de transferencia de datos.
Comparaciones del código real; eche un vistazo a estos extractos de CloudFormation:
Vulnerable:
Seau d'entreprise:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
Bloqueo de ACL públicas: falso
Política de bloqueo público: falso
Ignorar ACL públicas: falso
Restringir buckets públicos: falso
Configuración de versiones:
Estado: Activado
Cifrado del bucket:
Configuración del cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256»
Seguro:
Seau d'entreprise:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
Bloqueo de ACL públicas: verdadero
Política de bloqueo público: verdadero
Ignorar ACL públicas: verdadero
Restringir buckets públicos: verdadero
Configuración de versiones:
Estado: Activado
Cifrado del bucket:
Configuración del cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256»
Prevención de funciones de seguridad desactivadas
Evitar que las funciones de seguridad desactivadas perjudiquen a su organización es tanto una cuestión de política como de práctica. Debe existir una política firme que estipule que las funciones de seguridad solo deben desactivarse en circunstancias muy específicas. Deben registrarse los incidentes en los que sea necesario desactivar temporalmente las funciones para resolver un problema o actualizar aplicaciones. Una vez finalizado el trabajo necesario, se debe comprobar que las funciones se han reactivado por completo.
Si una función de seguridad debe desactivarse definitivamente para optimizar las operaciones, deben proporcionarse otras protecciones a los datos afectados para impedir que los piratas informáticos accedan a ellos en ausencia de la protección predeterminada. Si se ha desactivado una función de protección necesaria, es solo cuestión de tiempo que un atacante encuentre esa puerta abierta y aproveche la situación.
Aprenda más, póngase retos:
Consulte el Secure Code Warrior en las páginas del blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos causados por otras fallas de seguridad y vulnerabilidades.
¿Está listo para encontrar y corregir esta vulnerabilidad ahora que ha leído el artículo? Es horade probar un desafío de seguridad gamificado sobre IaC en la plataforma Secure Code Warrior perfeccionar y actualizar todas sus habilidades en materia de ciberseguridad.
Esta serie semanal cubre nuestras ocho principales vulnerabilidades relacionadas con la infraestructura como código; ¡vuelve la semana que viene para obtener más información!
Hoy en día, las amenazas a la ciberseguridad son omnipresentes e incesantes. A medida que más y más facetas de nuestra vida se digitalizan, más altos son los retos para los ciberdelincuentes: hay demasiado código que proteger y los datos privados tienen demasiado valor. Pues bien, intentar seguir y defender todos los aspectos de la superficie de ataque tras la implementación de los programas se ha vuelto casi imposible.
Algunos enfoques pueden mitigar algunos de estos síntomas, y uno de ellos es evidente cuando las organizaciones inteligentes adoptan el concepto de infraestructura como código (IaC). Por supuesto, como en cualquier desarrollo, existen obstáculos de seguridad que hay que superar. Y dado que los desarrolladores trabajan en el código que genera una infraestructura vital para alojar las aplicaciones, la concienciación sobre la seguridad es esencial en cada etapa del proceso.
Entonces, ¿cómo podría un desarrollador principiante en un entorno de servidor en la nube mejorar sus habilidades, aprender los entresijos del oficio y abordar la versión con una mayor concienciación sobre la seguridad? Hemos creado la próxima serie Coders Conquer Security para combatir las vulnerabilidades comunes de IaC, y los próximos blogs se centrarán en las medidas que usted, como desarrollador, puede tomar para comenzar a implementar una infraestructura segura en forma de código en su propia organización.
Allons-y.
Existe una fábula del Lejano Oeste americano sobre un hombre paranoico con la idea de que unos bandidos atacarían y robarían su propiedad. Para compensarlo, invirtió en todo tipo de medidas de seguridad, como instalar una puerta de entrada muy sólida, cerrar todas las ventanas y tener a mano numerosas armas. Aun así, una noche le robaron mientras dormía porque se había olvidado de cerrar con llave la puerta lateral. Los bandidos simplemente encontraron la seguridad deficiente y rápidamente aprovecharon la situación.
Desactivar las funciones de seguridad de su infraestructura es algo parecido a eso. Aunque su red cuente con una infraestructura de seguridad robusta, no servirá de nada si se han desactivado algunos elementos.
Permítanme plantearles un reto antes de entrar en materia:
Haga clic en el enlace anterior y será redirigido a nuestra plataforma de formación gamificada, donde podrá intentar neutralizar una vulnerabilidad de seguridad desactivada ahora mismo. (Atención: se abrirá en Kubernetes, pero utilice el menú desplegable y podrá elegir entre Docker, CloudFormation, Terraform y Ansible).
¿Cómo te las arreglaste? Si aún te queda trabajo por hacer, lee lo siguiente:
Las funciones de seguridad pueden desactivarse por diversas razones. Con algunas aplicaciones y marcos, pueden estar desactivadas por defecto y deben activarse primero para empezar a funcionar. También es posible que los administradores hayan desactivado funciones de seguridad específicas para poder realizar más fácilmente ciertas tareas sin verse constantemente puestos a prueba o bloqueados (por ejemplo, hacer público un compartimento AWS S3). Una vez finalizado su trabajo, es posible que se olviden de volver a activar las funciones desactivadas. También podrían preferir dejarlas desactivadas para facilitar su trabajo en el futuro.
¿Por qué son tan peligrosas las funciones de seguridad desactivadas?
La desactivación de una o varias funciones de seguridad es perjudicial por varias razones. Por un lado, la función de seguridad se ha integrado en los recursos de la infraestructura para protegerse contra un exploit, una amenaza o una vulnerabilidad conocidos. Si se desactiva, no podrá proteger sus recursos.
Los atacantes siempre intentarán encontrar primero las vulnerabilidades fácilmente explotables e incluso pueden utilizar un script para corregir las debilidades comunes. Es un poco como un ladrón que inspecciona todos los coches de una calle para ver si las puertas están desbloqueadas, lo cual es mucho más fácil que romper una ventana. Los piratas informáticos pueden sorprenderse al descubrir que una defensa de seguridad común está inactiva. Pero cuando esto ocurra, no tardarán mucho en explotarla.
En segundo lugar, implementar una buena seguridad y luego desactivarla crea una falsa sensación de seguridad. Los administradores pueden pensar que están protegidos contra las amenazas comunes si no saben que alguien ha desactivado estas defensas.
Como ejemplo de cómo un atacante podría aprovechar una función de seguridad desactivada, consideremos la función de seguridad de AWS S3 que consiste en bloquear el acceso público. Con el acceso público bloqueado a Amazon S3, los administradores de cuentas y los propietarios de compartimentos pueden configurar fácilmente controles centralizados para limitar el acceso público a sus recursos de Amazon S3. Sin embargo, algunos administradores que encuentran problemas al acceder al compartimento S3 deciden hacerlo público para completar la tarea lo más rápido posible. Si se olvida de activar esta función de seguridad, un atacante tendrá acceso completo a la información almacenada en ese compartimento S3, lo que no solo provocará la divulgación de información, sino también costes adicionales debido a los gastos de transferencia de datos.
Comparaciones del código real; eche un vistazo a estos extractos de CloudFormation:
Vulnerable:
Seau d'entreprise:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
Bloqueo de ACL públicas: falso
Política de bloqueo público: falso
Ignorar ACL públicas: falso
Restringir buckets públicos: falso
Configuración de versiones:
Estado: Activado
Cifrado del bucket:
Configuración del cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256»
Seguro:
Seau d'entreprise:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
Bloqueo de ACL públicas: verdadero
Política de bloqueo público: verdadero
Ignorar ACL públicas: verdadero
Restringir buckets públicos: verdadero
Configuración de versiones:
Estado: Activado
Cifrado del bucket:
Configuración del cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256»
Prevención de funciones de seguridad desactivadas
Evitar que las funciones de seguridad desactivadas perjudiquen a su organización es tanto una cuestión de política como de práctica. Debe existir una política firme que estipule que las funciones de seguridad solo deben desactivarse en circunstancias muy específicas. Deben registrarse los incidentes en los que sea necesario desactivar temporalmente las funciones para resolver un problema o actualizar aplicaciones. Una vez finalizado el trabajo necesario, se debe comprobar que las funciones se han reactivado por completo.
Si una función de seguridad debe desactivarse definitivamente para optimizar las operaciones, deben proporcionarse otras protecciones a los datos afectados para impedir que los piratas informáticos accedan a ellos en ausencia de la protección predeterminada. Si se ha desactivado una función de protección necesaria, es solo cuestión de tiempo que un atacante encuentre esa puerta abierta y aproveche la situación.
Aprenda más, póngase retos:
Consulte el Secure Code Warrior en las páginas del blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos causados por otras fallas de seguridad y vulnerabilidades.
¿Está listo para encontrar y corregir esta vulnerabilidad ahora que ha leído el artículo? Es horade probar un desafío de seguridad gamificado sobre IaC en la plataforma Secure Code Warrior perfeccionar y actualizar todas sus habilidades en materia de ciberseguridad.
Esta serie semanal cubre nuestras ocho principales vulnerabilidades relacionadas con la infraestructura como código; ¡vuelve la semana que viene para obtener más información!
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Hoy en día, las amenazas a la ciberseguridad son omnipresentes e incesantes. A medida que más y más facetas de nuestra vida se digitalizan, más altos son los retos para los ciberdelincuentes: hay demasiado código que proteger y los datos privados tienen demasiado valor. Pues bien, intentar seguir y defender todos los aspectos de la superficie de ataque tras la implementación de los programas se ha vuelto casi imposible.
Algunos enfoques pueden mitigar algunos de estos síntomas, y uno de ellos es evidente cuando las organizaciones inteligentes adoptan el concepto de infraestructura como código (IaC). Por supuesto, como en cualquier desarrollo, existen obstáculos de seguridad que hay que superar. Y dado que los desarrolladores trabajan en el código que genera una infraestructura vital para alojar las aplicaciones, la concienciación sobre la seguridad es esencial en cada etapa del proceso.
Entonces, ¿cómo podría un desarrollador principiante en un entorno de servidor en la nube mejorar sus habilidades, aprender los entresijos del oficio y abordar la versión con una mayor concienciación sobre la seguridad? Hemos creado la próxima serie Coders Conquer Security para combatir las vulnerabilidades comunes de IaC, y los próximos blogs se centrarán en las medidas que usted, como desarrollador, puede tomar para comenzar a implementar una infraestructura segura en forma de código en su propia organización.
Allons-y.
Existe una fábula del Lejano Oeste americano sobre un hombre paranoico con la idea de que unos bandidos atacarían y robarían su propiedad. Para compensarlo, invirtió en todo tipo de medidas de seguridad, como instalar una puerta de entrada muy sólida, cerrar todas las ventanas y tener a mano numerosas armas. Aun así, una noche le robaron mientras dormía porque se había olvidado de cerrar con llave la puerta lateral. Los bandidos simplemente encontraron la seguridad deficiente y rápidamente aprovecharon la situación.
Desactivar las funciones de seguridad de su infraestructura es algo parecido a eso. Aunque su red cuente con una infraestructura de seguridad robusta, no servirá de nada si se han desactivado algunos elementos.
Permítanme plantearles un reto antes de entrar en materia:
Haga clic en el enlace anterior y será redirigido a nuestra plataforma de formación gamificada, donde podrá intentar neutralizar una vulnerabilidad de seguridad desactivada ahora mismo. (Atención: se abrirá en Kubernetes, pero utilice el menú desplegable y podrá elegir entre Docker, CloudFormation, Terraform y Ansible).
¿Cómo te las arreglaste? Si aún te queda trabajo por hacer, lee lo siguiente:
Las funciones de seguridad pueden desactivarse por diversas razones. Con algunas aplicaciones y marcos, pueden estar desactivadas por defecto y deben activarse primero para empezar a funcionar. También es posible que los administradores hayan desactivado funciones de seguridad específicas para poder realizar más fácilmente ciertas tareas sin verse constantemente puestos a prueba o bloqueados (por ejemplo, hacer público un compartimento AWS S3). Una vez finalizado su trabajo, es posible que se olviden de volver a activar las funciones desactivadas. También podrían preferir dejarlas desactivadas para facilitar su trabajo en el futuro.
¿Por qué son tan peligrosas las funciones de seguridad desactivadas?
La desactivación de una o varias funciones de seguridad es perjudicial por varias razones. Por un lado, la función de seguridad se ha integrado en los recursos de la infraestructura para protegerse contra un exploit, una amenaza o una vulnerabilidad conocidos. Si se desactiva, no podrá proteger sus recursos.
Los atacantes siempre intentarán encontrar primero las vulnerabilidades fácilmente explotables e incluso pueden utilizar un script para corregir las debilidades comunes. Es un poco como un ladrón que inspecciona todos los coches de una calle para ver si las puertas están desbloqueadas, lo cual es mucho más fácil que romper una ventana. Los piratas informáticos pueden sorprenderse al descubrir que una defensa de seguridad común está inactiva. Pero cuando esto ocurra, no tardarán mucho en explotarla.
En segundo lugar, implementar una buena seguridad y luego desactivarla crea una falsa sensación de seguridad. Los administradores pueden pensar que están protegidos contra las amenazas comunes si no saben que alguien ha desactivado estas defensas.
Como ejemplo de cómo un atacante podría aprovechar una función de seguridad desactivada, consideremos la función de seguridad de AWS S3 que consiste en bloquear el acceso público. Con el acceso público bloqueado a Amazon S3, los administradores de cuentas y los propietarios de compartimentos pueden configurar fácilmente controles centralizados para limitar el acceso público a sus recursos de Amazon S3. Sin embargo, algunos administradores que encuentran problemas al acceder al compartimento S3 deciden hacerlo público para completar la tarea lo más rápido posible. Si se olvida de activar esta función de seguridad, un atacante tendrá acceso completo a la información almacenada en ese compartimento S3, lo que no solo provocará la divulgación de información, sino también costes adicionales debido a los gastos de transferencia de datos.
Comparaciones del código real; eche un vistazo a estos extractos de CloudFormation:
Vulnerable:
Seau d'entreprise:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
Bloqueo de ACL públicas: falso
Política de bloqueo público: falso
Ignorar ACL públicas: falso
Restringir buckets públicos: falso
Configuración de versiones:
Estado: Activado
Cifrado del bucket:
Configuración del cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256»
Seguro:
Seau d'entreprise:
Tipo: AWS: :S3: :Bucket
Propiedades:
Configuración del bloque de acceso público:
Bloqueo de ACL públicas: verdadero
Política de bloqueo público: verdadero
Ignorar ACL públicas: verdadero
Restringir buckets públicos: verdadero
Configuración de versiones:
Estado: Activado
Cifrado del bucket:
Configuración del cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256»
Prevención de funciones de seguridad desactivadas
Evitar que las funciones de seguridad desactivadas perjudiquen a su organización es tanto una cuestión de política como de práctica. Debe existir una política firme que estipule que las funciones de seguridad solo deben desactivarse en circunstancias muy específicas. Deben registrarse los incidentes en los que sea necesario desactivar temporalmente las funciones para resolver un problema o actualizar aplicaciones. Una vez finalizado el trabajo necesario, se debe comprobar que las funciones se han reactivado por completo.
Si una función de seguridad debe desactivarse definitivamente para optimizar las operaciones, deben proporcionarse otras protecciones a los datos afectados para impedir que los piratas informáticos accedan a ellos en ausencia de la protección predeterminada. Si se ha desactivado una función de protección necesaria, es solo cuestión de tiempo que un atacante encuentre esa puerta abierta y aproveche la situación.
Aprenda más, póngase retos:
Consulte el Secure Code Warrior en las páginas del blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos causados por otras fallas de seguridad y vulnerabilidades.
¿Está listo para encontrar y corregir esta vulnerabilidad ahora que ha leído el artículo? Es horade probar un desafío de seguridad gamificado sobre IaC en la plataforma Secure Code Warrior perfeccionar y actualizar todas sus habilidades en materia de ciberseguridad.
Esta serie semanal cubre nuestras ocho principales vulnerabilidades relacionadas con la infraestructura como código; ¡vuelve la semana que viene para obtener más información!
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
