En el discurso de apertura del 2022 Sombrero Negro conferencia de seguridad, cris krebs, el ex director de seguridad cibernética del Departamento de Seguridad Nacional, afirmó que la seguridad empeorará antes de mejorar. ¿Por qué? Krebs dijo que "el software sigue siendo vulnerable porque los beneficios de los productos inseguros superan con creces las desventajas". En lugar de garantizar la seguridad, el enfoque en todo el ciclo de vida del desarrollo de software (SDLC) es vencer a la competencia en el mercado. De hecho, la innovación a menudo se ve en desacuerdo con la seguridad: la primera se cree que es rápida y productiva, y la segunda es un obstáculo que sofoca el desarrollo rápido de aplicaciones. Esta vista está demostrando estar desactualizada en el panorama actual de amenazas.
Con los ataques cibernéticos en aumento, la cadena de suministro de software es un objetivo popular para los ciberdelincuentes que reconocen la gran interrupción que causan al infectar código inseguro. Por ejemplo, el ahora infame Log4Shell La vulnerabilidad planteaba tal riesgo porque el Log4j de código abierto se usa con tanta frecuencia en aplicaciones de software y servicios en línea en todo el mundo, y explotar la vulnerabilidad requiere muy poca experiencia. Más recientemente, el 25,000 complementos maliciosos que se encuentran en los sitios de WordPress resaltan el riesgo de ciberseguridad que enfrentan muchas empresas, a pesar de creer que estaban usando aplicaciones y programas seguros dentro de sus sitios web.
Por lo tanto, la innovación y la seguridad deben verse a través de una sola lente; uno no es posible sin el otro. Aún más importante, la seguridad ya no puede ser responsabilidad de un equipo aislado. Debe ser una prioridad para todos en SDLC.
El dilema de AppSec
A pesar de una mayor inversión en el desarrollo de aplicaciones, no se le está dando la misma importancia a la seguridad. En un espacio tan competitivo, los primeros en moverse tienden a obtener la recompensa. Aquellos que ingresan al mercado con su "primer producto viable" probablemente estén buscando cómo este producto puede servir a los clientes, no cómo se puede usar de manera segura. Con estas altas expectativas, las demandas de código para los desarrolladores han aumentado. 100 equipos en los últimos 10 años, con un 92% sintiéndose presionado para escribir código más rápido. Combine esto con el hecho de que 53% no tienen capacitación profesional en codificación segura, mientras que el número de nuevas vulnerabilidades dentro del NIST La base de datos nacional de vulnerabilidades ha aumentado más de un 200 % en los últimos años, y parece que estamos en un dilema de seguridad de aplicaciones.
Sin embargo, no es un dilema irresoluble. La solución requiere un cambio completo en la forma en que muchos ven la codificación y la innovación, con un enfoque específico en la mentalidad de las personas. Pone la seguridad primero y reconoce que está bien ser más lento en el mercado si el producto final es más seguro. De acuerdo a ley de boehm, “el costo de encontrar y corregir un defecto crece exponencialmente con el tiempo”, un concepto que puede beneficiar el resultado final de las organizaciones que priorizan la seguridad desde el principio.
Establecer esta mentalidad de seguridad primero es crucial, no solo para el equipo de desarrollo, sino para todos los que desempeñan un papel dentro del SDLC. Los gerentes de productos y proyectos, DevOps, diseñadores de experiencia de usuario (UX) y profesionales de control de calidad (QA) influirán en el resultado final y, por lo tanto, deben reconocer el dilema actual para la seguridad de las aplicaciones y cómo se puede superar este desafío.
Conseguir la educación integrada correctamente
Si los equipos no entienden porque una mentalidad de seguridad primero es tan importante dentro del desarrollo de aplicaciones, que nunca van a comprar cómo se puede lograr Por lo tanto, la educación en seguridad de aplicaciones integrada y continua para toda la organización de desarrollo nunca ha sido tan importante. Para aquellos que crean el código, es importante brindar un aprendizaje fundamental antes de los ejercicios prácticos que hablan directamente de los problemas que enfrentan a diario. Esta educación específica para desarrolladores debe llevarse a cabo en paralelo con los programas básicos y avanzados de capacitación en seguridad de aplicaciones para aquellos con roles en el SDLC que no necesariamente necesitan experiencia práctica. Este tipo de iniciativas empoderará a todo el equipo para pensar de manera diferente, tomar decisiones más informadas e integrar la seguridad en todos los aspectos del desarrollo.
Sin embargo, es importante que las organizaciones entiendan que la seguridad de las aplicaciones evoluciona y cambia constantemente. La creación de un equipo preocupado por la seguridad que aplique los principios clave de AppSec en cada paso del ciclo de desarrollo no se puede lograr con un programa de capacitación de "uno y listo". Para garantizar que los equipos mantengan esta mentalidad de seguridad primero, es clave un programa educativo continuo y en evolución.
Muchas organizaciones involucran a los equipos reconociendo y celebrando a los campeones de seguridad, quienes lideran un cambio en el comportamiento de seguridad en todo el equipo. Al ofrecer incentivos o recompensas a aquellos que aplican de manera constante las mejores prácticas de seguridad en su trabajo diario, alientan a los campeones a involucrar a otros e influir orgánicamente en el cambio. Por ejemplo, al medir los resultados, como la cantidad de vulnerabilidades en un código antes y después de los programas de capacitación, y reconocer el éxito, también es mucho más fácil obtener la aceptación de la junta y justificar la inversión en educación de codificación segura para los tomadores de decisiones. .
Innovar rápidamente y vencer a la competencia en el mercado, al tiempo que se pone la seguridad en primer lugar, es posible cuando la gente de SDLC hace de la seguridad una prioridad máxima. De hecho, a medida que aumenta la cantidad de vulnerabilidades y los ataques cibernéticos no muestran signos de disminuir, la codificación segura es imprescindible para que cualquier aplicación tenga éxito. Mientras todo el SDLC se considere en iniciativas de educación continuas, personalizadas y medibles, la seguridad no tienen empeorar antes de mejorar.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
