La transformación digital persigue mejorar todos los aspectos de un negocio a través de la tecnología. Las capacidades habitualmente ligadas al área de DevOps (como gestión rápida de cambios, desarrollo ágil de software y despliegue continuo) son partes clave de cualquier transformación digital.
Sin embargo, la implementación continua de cambios puede incrementar los riesgos si la seguridad no es tenida en cuenta adecuadamente. Desarrollar más rápido y de manera más económica no es suficiente: el proceso y producto resultantes también deben ser seguros. Aunque incorporar la seguridad dentro del pipeline sigue siendo un reto complejo para muchas compañías.
Fastly ha entrevistado a expertos globales en seguridad y DevOps para definir los cinco retos clave en la securización de los ciclos de desarrollo de software. Estas son las conclusiones:
Reto 1: La falta de visibilidad puede ocultar vulnerabilidades o amenazas
Con frecuencia, en el proceso de despliegue de DevOps, las herramientas disponibles carecen de visibilidad sobre puntos ciegos que comprometen la seguridad de ciertas aplicaciones, consideradas cajas negras. Esta falta de visibilidad se agrava con la adopción de componentes y frameworks. Según un informe reciente (1) el 70% del código base de una aplicación suele ser open-source, y en casi el 90% de los casos, el software tiene un componente con más de cuatro años o sin actividad de desarrollo en los últimos dos.
Como profesional de la seguridad, las cajas negras me asustan. Una vez la cultura DevOps y el modelo de implementación continua están asentados, no tener visibilidad de lo que está pasando, me hace sentir incómodo con esos procesos automatizados que están impulsando DevOps.
Mike Johnson, CISO, Fastly
Las organizaciones deberían aprovechar herramientas duales, que seguricen sistemas y proporcionen a los equipos de desarrollo y DevOps visibilidad sobre las amenazas y vulnerabilidades.
Contar con un WAF moderno permite tener observabilidad sobre las aplicaciones. Esto es especialmente importante en medio de la transformación digital cuando los datos sobre seguridad en tiempo real pueden ayudar a tomar decisiones en la infraestructura.
Andrew Becherer, CISO, Iterable
Reto 2: La falta de integración hace que la seguridad sea difícil de manejar
Un estudio conservador (2) estima que más de un cuarto de todas las alertas corresponden a falsos positivos. Si los desarrolladores se encuentran inundados de alertas falsas -a menudo enviadas directamente por los equipos de seguridad desde testeos de seguridad de aplicaciones estáticas (SAST) o desde un WAF- es probable que terminen ignorando los informes.
Para facilitar la tarea de los desarrolladores, las herramientas deben de ser precisas, no producir demasiada fricción, y sobre todo, estar integradas en sus entornos de desarrollo y en el ciclo de DevOps, además de estar correctamente conectadas con los diferentes entornos operativos y proveedores cloud.
Reto 3: Los procesos manuales provocan test de seguridad lentos e inconsistentes
Un importante retailer utilizaba una herramienta de seguridad que requería crear y desplegar reglas para bloquear los ataques, pero el más simple error podía generar una denegación de servicio. Resultado: cada cambio de regla tenía que pasar por una inspección manual que aumentaba los tiempos de respuesta ante ataques, con su correspondiente impacto en la continuidad del negocio.
Es solo un ejemplo del impacto que los procesos manuales pueden tener en los pipelines de DevOps. La automatización debe extenderse a todos los procesos de seguridad: desde el testeo -pasando por el desarrollo y la detección de ataques- hasta la respuesta.
Las herramientas nativas de DevOps deberían integrarse con la infraestructura de desarrollo, así como con los componentes nativos cloud -como Kubernetes o Envoy- sin que sea necesario que el código base cambie en cada despliegue. La monitorización automatizada del tráfico y del rendimiento, acelerará la detección de ataques y anomalías, y su consiguiente respuesta.
Al automatizar, las empresas ganan velocidad para tomar medidas, y en un escenario en el que estás siendo atacado y todas las alarmas se activan, la velocidad marca una gran diferencia: un minuto puede ser un gran problema en una exfiltración de datos.
Zane Lackey, Co-Founder, Signal Sciences
Reto 4: La abundancia de herramientas y software complica la seguridad
Con frecuencia, las compañías cuentan con equipos independientes de desarrollo que se encargan de su propio código, despliegues y entornos. En compañías grandes, se llega a dar el caso de que cada equipo tiene sus propias herramientas, utiliza diferentes componentes de software y establece procesos diferentes. Manejar y securizar esta variedad de entornos resulta complejo.
Una forma de abordar este problema es el concepto de Paved Road, que utilizan, por ejemplo, los equipos de seguridad y desarrollo de Netflix. ¿En qué consiste? Básicamente en proporcionar a los desarrolladores soluciones bien integradas a problemas comunes, como servicios de autenticación o almacenamiento secreto. Esto disminuye la redundancia y la complejidad, y permite que los test de seguridad y cambios de configuración cubran de forma más completa todo el portfolio de aplicaciones de la compañía.
Cuando una empresa crece hasta un determinado umbral, es probable que se desarrollen múltiples iteraciones de las mismas funciones y herramientas en varios equipos, y eso es una increíble pérdida de tiempo y recursos.
Keith Hoodlet, Senior Manager of Global DevSecOps, Thermo Fisher 2019
Reto 5: El choque de culturas de los equipos de desarrollo y seguridad
Los equipos de negocio, desarrollo y seguridad tienen sus propios problemas, incentivos y prioridades. Como ejemplo, los incentivos en el área de desarrollo suelen estar diseñados para crear código funcional rápidamente, aunque a menudo, no incorpora hitos de seguridad. Pero estos grupos necesitan trabajar juntos para crear una cultura que incorpore la seguridad en los procesos de DevOps y apoye el negocio.
Una forma de generar un terreno compartido es la utilización de métricas que impacten tanto al área de desarrollo como a la de seguridad. Por ejemplo, las utilizadas por el grupo DORA de Google. El benchmark para medir a sus DevOps Elite requiere menos de un día para aprobar cambios, la restauración del servicio se da en menos de una hora y una ratio de fallos en cambios inferior al 15%.
Desde Fastly (Signal Sciences) promovemos estas cinco maneras de securizar a través de DevOps. Nuestras soluciones de seguridad para aplicaciones web, dan respuesta a las necesidades de los equipos modernos de desarrollo, operaciones y seguridad, cuyo día a día se ocupa en la iteración y lanzamiento de software. Signal Sciences ha desarrollado un conjunto de soluciones que suponen una cobertura completa y de muy fácil instalación.
Descarga aquí el eBook de DevOps
- Synopsys. “Open Source Security and Risk Analysis Report”
- Critical Start. “Accuracy in AppSec Is Critical to Reducing False Positives”
