Fondo

Blue Prism es el líder mundial en automatización inteligente para la empresa; una empresa tecnológica apasionante que crea software y herramientas de vanguardia que ayudan a las organizaciones a mantenerse ágiles, eficientes y competitivas. Durante dos décadas, se han asegurado de que algunas de las mejores y más revolucionarias empresas del mundo puedan innovar a gran velocidad, al tiempo que les ayudan a superar los retos globales y empresariales. Ahora Blue Prism está madurando rápidamente hacia la siguiente fase de sus operaciones.

Maria Morris, ingeniera superior de seguridad de aplicaciones en Blue Prism, trabaja en primera línea para mantener su envidiable programa de seguridad de primera clase. Su dedicación a mantener una sólida cultura de mejores prácticas de seguridad, colaboración interfuncional y concienciación es fundamental para el despliegue eficaz de software seguro dentro de la organización. Como parte de sus iniciativas, María buscaba una solución de formación práctica que pudiera seguir inspirando a la cohorte de desarrollo para que aumentara su concienciación sobre la seguridad y sus habilidades de codificación segura, utilizando código del mundo real.

El reto

Blue Prism vive y respira el éxito de sus clientes. Con un fuerte enfoque en la seguridad, así como en la automatización de procesos robóticos (RPA) con IA de vanguardia, no es de extrañar que tantas empresas de la lista Global 2000 confíen en sus productos y servicios. Por supuesto, esta confianza conlleva una gran responsabilidad, y la necesidad de que la seguridad esté en la vanguardia de cada proceso y decisión es imprescindible.

Con la necesidad de garantizar el cumplimiento de la legislación en materia de seguridad, como PCI-DSS, HIPAA, FISMA y FIPS, es esencial poder mitigar las vulnerabilidades comunes, aunque potentes, que aparecen en el Top 10 de OWASP y en el SANSTop 25 Most Dangerous Software Weaknesses (CWE). Para hacerlo de forma eficaz, deben capacitar a sus expertos en seguridad en las siguientes áreas

"Somos muy buenos contratando a personas que dan prioridad a la seguridad. A todo el mundo le gusta la seguridad; en las reuniones, es una de las tres cosas más importantes de las que se habla. ¿Podemos hacerlo más seguro? Siempre está en primer plano, porque la seguridad es importante, como debe ser", dice María.

La aplicación

María y su equipo abogan por un enfoque de "giro a la izquierda" de la seguridad del software, dándole prioridad desde el principio en cada fase del ciclo de vida del desarrollo de software:

"Si empiezas siendo seguro, no tienes que 'convertirte' en seguro; esto último es mucho más difícil de conseguir. Reduce la carga y el tiempo de trabajo de los desarrolladores. Reduce el riesgo de volver a tratar los problemas e intentar solucionarlos cuando el software ya está instalado en los entornos de los usuarios. La clave está en hacerlo bien a la primera", afirma María.

Su cohorte de desarrollo se selecciona cuidadosamente por su interés en la seguridad, y la floreciente cultura de seguridad de Blue Prism contribuye a que prosperen sus conocimientos en la materia. Ella pudo utilizar Secure Code Warrior's Learning Platform para ayudar a evaluar y reforzar las habilidades existentes, construir sobre el conocimiento y la experiencia previa y ponerse manos a la obra con los retos de seguridad en el código que es familiar para ellos:

"A los desarrolladores les gustó Secure Code Warrior al instante: no ha habido fricción alguna para que quisieran participar, utilizar y comprometerse con la plataforma", dice María. "Fue una forma estupenda de reforzar los conocimientos que ya tenían, al tiempo que les permitía aprender cosas nuevas".

Blue Prism lleva su aprendizaje al siguiente nivel utilizando también la función Courses , lo que permite a Maria crear itinerarios curados y precisos para sus desarrolladores que se alinean con la estrategia y ayudan a alcanzar los objetivos de seguridad en la empresa.

"A los desarrolladores les gusta mi courses, lo cual está muy bien. Intento que sean muy específicos para los proyectos actuales, como el curso de 'tratamiento de datos sensibles'. Hago que el material sea muy pertinente. Utilizo vídeos como recapitulación y luego planteo ejercicios sobre el tema, seguidos de un assessment al final. A los desarrolladores les gusta este enfoque porque tienen poco tiempo. Quieren algo tangible para sentir que han conseguido algo grande", dice María.

El resultado

El equipo de Blue Prism puso en marcha una formación eficaz y atractiva y courses para que su cohorte de desarrollo perfeccionara las habilidades que sustentan su programa de seguridad, el mejor de su clase. Su enfoque altamente positivo de la seguridad hizo que Secure Code Warrior encajara a la perfección en su organización, consolidando la formación que es tan crucial para lograr el cumplimiento normativo y escalar la seguridad a gran velocidad a través de los numerosos productos y servicios que impulsan algunas de las empresas más grandes del mundo.

El uso que hace María de itinerarios de aprendizaje curados contrasta totalmente con la formación genérica y puntual que tan a menudo se ve en otras empresas. Esto le permite ampliar la parte educativa de su estrategia de seguridad con gran efecto, destacando aún más la dedicación de Blue Prism a la calidad y a las iniciativas que dan prioridad al cliente.

"Tenemos mucha suerte porque nuestros desarrolladores también creen en la filosofía de la excelencia tecnológica. No quieren limitarse a cumplir lo que pone en el papel. Quieren hacer lo correcto. Quieren saber que nuestro producto es seguro y quieren tener la seguridad de que si pasa algo, no va a ser porque Blue Prism haya sido ese único punto de fallo. Esta confianza en el producto es lo que marca la diferencia", afirma María.

"¡Gracias por organizarlo! Estuvo muy, muy bien. Es difícil saber cómo será hasta que te pones manos a la obra. Pero es una forma estupenda de aprender. Generalmente conozco toda la teoría, pero que me den código de trabajo para probarlo es realmente efectivo." Ben, desarrollador de Blue Prism, comentarios tras un tournament

Tournament Torsión: El impulso de ASRG a la seguridad del software de automoción

El Automotive Security Research Group es una organización sin ánimo de lucro dedicada a concienciar y apoyar el desarrollo de la seguridad para el sector de la automoción, centrándose en encontrar y promover soluciones que hagan que los productos de automoción sean más seguros y protegidos. En estos momentos, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y valiente mundo tecnológico para la industria, con una enorme dependencia cada vez mayor del software que impulsa los vehículos y las aplicaciones del ecosistema, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención y defender la seguridad del software dentro de la industria de la automoción.

Esta concienciación, y lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los vectores potenciales de ataque y el riesgo cibernético se amplíen con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI ha advertido recientemente de que los atacantes tienen como objetivo la industria automovilística estadounidense, y que la gran mayoría de las infracciones son el resultado de datos confidenciales sin cifrar. Esto, sumado a ataques como la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a dar forma y mantener las normas de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma Secure Code Warrior, concretamente la función Tournaments . Diseñada para atraer a los desarrolladores a través de una competición amistosa y gamificada, aumentar su concienciación sobre la seguridad y ayudarles a perfeccionar sus habilidades de codificación segura, ASRG estudió cómo Secure Code Warrior podía despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las compuertas a riesgos inaceptables.

‍

¿Dónde están los vectores de ataque típicos en el software de automoción?

Al analizar las posibles vías de acceso de los atacantes al software de automoción, existen muchas posibilidades, como detalla informe exhaustivo de Allot.

Por muy concienciados que estén con la seguridad, los desarrolladores no pueden ayudar a defenderse de todas ellas (ni se debería esperar que lo hicieran: para algo existen los especialistas en AppSec), pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, como por ejemplo:

Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave

‍

¿Hasta qué punto es grave la situación de un vehículo comprometido?

Es bastante obvio para el ciudadano de a pie que la mayoría de los vehículos no son seguros al 100%, y que se asume un elemento de riesgo al utilizarlos. Las averías de los vehículos, los accidentes, la conducción bajo los efectos del alcohol... todo ello puede tener consecuencias mortales para el usuario.

Pero, ¿y si esa avería catastrófica del vehículo hubiera sido causada a distancia, como resultado de un ciberataque especialmente malintencionado? Durante mucho tiempo se ha sugerido que el mundo se tomará en serio la ciberseguridad cuando haya consecuencias que pongan en peligro la vida, pero la realidad es que ya estamos en ese territorio y, sin intervención, la situación no hará más que agravarse.

En 2015, unos investigadores de seguridad consiguieron "apagar" el motor de un Jeep Cherokee mientras circulaba por una autopista; utilizando un conocido exploit de día cero en el software del sistema, pudieron controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante puede tener sobre un vehículo y sus ocupantes. Desde entonces, millones de vehículos conectados han llegado a nuestras carreteras, y cada uno de ellos representa millones de líneas de código que deben protegerse.

La tecnología de los vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una inmensa presión sobre sus creadores, especialmente los equipos responsables de enviar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria del automóvil compartan la responsabilidad de la seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones y apoyo en materia de seguridad. Su sitio web global Secure Code Warrior tournament pretendía implicar, evaluar e inspirar a más de 100 desarrolladores representantes de las secciones de ASRG de todo el mundo. Participando en competiciones amistosas y en actividades de formación, trataron de resolver retos de codificación segura directamente relacionados con los problemas a los que se enfrenta el software predominante en su sector.

La tecnología de los vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una inmensa tensión para sus creadores, especialmente los equipos responsables de enviar el código que impulsa las comodidades del mañana.

‍

Datos y cifras de tournament y ensayos de formación

Esto indica un alto grado de compromiso y el deseo de seguir jugando, dos subproductos enormemente beneficiosos de las técnicas de gamificación en la formación y la educación.

La formación y tournaments pueden impartirse en los lenguajes y frameworks que desee cada desarrollador, garantizando que los retos sean hiperrelevantes y utilizando código del mundo real con el que se encontrarían en su trabajo diario. Este enfoque contextual del aprendizaje garantiza una entrega rápida de los contenidos más importantes para resolver los problemas más frecuentes en el SDLC de la organización.

El perfil de promotor más común entre los participantes 

‍

‍

Otros hallazgos significativos:

Global ASRG Virtual Secure Coding Tournament: Puntuación de código seguro por idioma

Global ASRG Virtual Secure Coding Tournament: Puntuación de código seguro por vulnerabilidad

Aunque todos los participantes mostraron cierto dominio de los lenguajes y marcos de trabajo elegidos, no hubo ningún área de vulnerabilidad que se considerara "100% segura" o dominada, y la puntuación media de precisión fue del 67%. No se espera que ningún desarrollador se convierta en un experto en seguridad, pero tournaments es una excelente manera de introducir normas de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a aplastar errores de seguridad comunes en el código... especialmente cuando ese código puede conducir al control de acceso remoto del vehículo de alguien, o algo peor.

Tournament perspectivas sobre la vulnerabilidad y los factores de riesgo basados en las competencias

El ASRG tournament y las iniciativas de formación se centraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:

Después de miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de atención deben seguir siendo el control de acceso, el almacenamiento de datos sensibles y, como prioridad, las vulnerabilidades de corrupción de memoria. Esta última es un potencial exploit conocido no solo en los vehículos ultraconectados, sino en muchos otros dispositivos IoT.

Un fallo de este tipo fue descubierto recientemente por el Equipo de Experiencia del Cliente Assessment & Penetration Team (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, dejándolos vulnerables a la corrupción de memoria hasta que se cree y aplique un parche. En estos tiempos de dispositivos con muchos sensores que recopilan datos en tiempo real de múltiples puntos del entorno, el botín podría ser importante para un atacante, incluso si no es posible el control remoto del dispositivo. 

El equipo de ASRG ha creado unos recursos increíbles para los desarrolladores que necesitan actuar en el ámbito de la seguridad del automóvil, con su directorio de herramientas y soluciones probadas, su completa wiki y su potente comunidad global. Estas iniciativas de grupos independientes son lo que se necesita para impulsar el cambio a nivel popular, y su voluntad de probar cosas nuevas y forjar las bases de la concienciación sobre seguridad en sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.

Retorno de la inversión al invertir ahora en las mejores prácticas de codificación segura

Un estudio publicado por SAE International y el Software IntegrityGroup de Synopsys reveló que, en lo que se refiere a garantizar la seguridad de las tecnologías conectadas y protegerlas de las ciberamenazas existentes y emergentes, el sector de la automoción iba muy por detrás de muchos otros.

Se trata de una tendencia preocupante, pero no irreversible, sobre todo si tenemos en cuenta que organizaciones como ASRG luchan por mantener la seguridad en el primer plano de la industria, al tiempo que arrojan luz sobre las soluciones, herramientas y formación necesarias para que las empresas automovilísticas construyan un programa de seguridad blindado.

Su experiencia en la dirección de un sitio web muy atractivo y global Secure Code Warrior Tournament les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades para seguir aprendiendo, las estadísticas de precisión de los retos de codificación segura y las vulnerabilidades clave en las que centrarse, según las necesidades de la industria.

Entonces, ¿cuál sería la rentabilidad estimada de transformar un programa de seguridad dentro de una organización, inculcando la concienciación y la acción en materia de seguridad desde el principio del SDLC? Veámoslo:

Para una empresa que identifique incluso un número modesto de vulnerabilidades anuales en sus auditorías de seguridad, los costes potenciales de detección y corrección pueden ser significativos. Y, dependiendo de en qué punto del proceso se revelen estos molestos fallos, el precio de la corrección puede aumentar drásticamente, incluso para las correcciones "sencillas": hasta treinta veces el coste de una corrección tardía, frente a una que se detectó y corrigió al principio.

Retorno de la inversión

Esta estimación de tres puntos muestra el impacto potencial, tanto financiero como diario, de tres ahorros diferentes que permite la formación,tournaments y la transformación cultural de SecureCode Warrior.

‍

Ahorro potencial anual

‍