El software que prioriza la seguridad en su nivel más básico significa diseñar el sistema con la seguridad del cliente como un objetivo clave en lugar de una característica añadida. Y ese concepto (seguro por diseño) se está volviendo cada vez más crucial a medida que los atacantes comienzan a apuntar a las cadenas de suministro con mayor frecuencia.
"Entienden que pueden tener un impacto mayor si explotan con éxito la cadena de suministro", afirma Thomas Pace, director ejecutivo de NetRise. Debido a que las soluciones de seguridad tradicionales como EDR, firewalls y filtros de spam se han vuelto buenas para prevenir ataques frontales, afirma, los atacantes tienen que buscar aperturas más arriba en la cadena.
Y los sistemas pegados proporcionan precisamente ese tipo de apertura. "Los ciberataques son más fáciles cuando las empresas y los proveedores intentan reforzar la seguridad después del hecho", afirma David Brumley, director ejecutivo de ForAllSecure. "Es como poner un estéreo de segunda mano en tu auto: simplemente no funciona exactamente bien".
Para mejorar la seguridad del software a nivel mundial, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) propuso una iniciativa destinada a revolucionar las prácticas de desarrollo adoptando principios de "seguridad por diseño" en el ciclo de vida del desarrollo de software. Refleja un cambio fundamental hacia medidas de seguridad proactivas.
La solicitud de información se centra en abordar las vulnerabilidades recurrentes del software, fortalecer la tecnología operativa y evaluar el impacto de las prácticas seguras en los costos. La convocatoria de comentarios, que está abierta hasta el 20 de febrero de 2024, también enfatiza la responsabilidad colectiva de los fabricantes y consumidores de tecnología para fomentar un futuro en el que la tecnología sea intrínsecamente segura.
"Seguridad por diseño significa que la seguridad es parte de cómo se construye el software desde cero", explica Brumley. "Eso significa que es mucho más resistente a los ataques".
Un nivel fundamental de seguridad
Ken Dunham, director de amenazas cibernéticas de la Unidad de Investigación de Amenazas de Qualys, explica que la seguridad por diseño comienza con la arquitectura y los principios de gestión de riesgos en las operaciones antes de que una organización migre a la nube o comience a utilizarla.
"Este es un elemento crítico de la infraestructura híbrida moderna y compleja", afirma. "En un mundo de responsabilidad compartida, las organizaciones deben decidir qué riesgo es aceptable compartir, y potencialmente de mayor riesgo, con terceros frente a aquel que es de propiedad exclusiva y gestionado internamente".
Señala que el ciclo de vida de la fabricación de software es cada vez más complejo y que muchas partes interesadas deben estar seguras para reducir el riesgo. Dunham pregunta: "¿Sus desarrolladores, que se preocupan por la funcionalidad y las experiencias del usuario, son expertos en principios de codificación segura, ataques modernos, contramedidas de seguridad y SecOps?"
Las expectativas de seguridad organizacional ejercen presión sobre un equipo de incorporación para implementar, configurar y monitorear adecuadamente el software dentro de la arquitectura empresarial. "¿Qué tan maduros son sus servicios de respuesta a incidentes y de inteligencia contra amenazas cibernéticas?" él pide. "¿Confía en ellos en un mundo de nube híbrida donde puede sufrir un ataque de intrusión complejo a una velocidad vertiginosa?"
“Una vez que se cuenta con las personas adecuadas, se comprende bien el proceso”, coincide Brumley. "Usted diseña el producto con una defensa en profundidad, se asegura de que sus dependencias y el software de terceros estén actualizados y utiliza una técnica moderna como la fuzzing para encontrar vulnerabilidades desconocidas".
Para Brumley, seguro por defecto significa diseñar una seguridad que funcione con la forma en que las personas usan el software. "Hay principios de diseño que abarcan múltiples principios; al igual que cuando se construye un rascacielos, es necesario pensar en todo, desde el soporte estructural hasta el aire acondicionado", explica.
Se requiere un cambio de paradigma en la seguridad de TI
Dunham señala que 2023 fue lleno de ejemplos donde condiciones de carrera existió durante cero días: las vulnerabilidades fueron revertidas y utilizadas como armas por los malos actores más rápido que las organizaciones podrían parchearlos.
"Después de todo este tiempo, todavía hay algunas organizaciones que luchan por parchear las vulnerabilidades de Log4J", señala.
Dice que las organizaciones deben identificar su superficie de ataque, interna y externa, y priorizar los activos y la gestión de riesgos en consecuencia para poder salir adelante cuando aumente el riesgo de explotación y ataque relacionado con una vulnerabilidad.
Desde la perspectiva de Pace, la industria de la seguridad de TI debe experimentar un cambio de paradigma en cómo considera el riesgo y cómo priorizarlo mejor, y esto sólo puede suceder con visibilidad de la cadena de suministro. Compartió un ejemplo en el que una “organización muy grande” no sabía qué dependencias tenía su sistema de seguridad cuando lo actualizaba diligentemente. “Después de la actualización, fue escaneado por un escáner de vulnerabilidades y se determinó que el reciente vulnerabilidad crítica de Apache Struts estaba presente”, afirma. "Ahora esta organización ha introducido un riesgo grave para su organización".
Diseño seguro en la era de IoT
John Gallagher, vicepresidente de Viakoo Labs en Viakoo, dice que un desafío clave es diseñar seguridad en dispositivos de larga duración como aquellos que forman parte del Internet de las Cosas (IoT) que tal vez no hayan tenido la seguridad como una consideración de diseño inicialmente.
"Esto requiere pruebas más exhaustivas y puede requerir nuevos recursos de ingeniería", afirma. "Del mismo modo, incorporar nuevas funciones de seguridad es una forma de introducir nuevas vulnerabilidades de seguridad".
Gallagher dice que los fabricantes de software deberían adoptar el uso de listas de materiales de software (SBOM) para encontrar y remediar vulnerabilidades más rápidamente. Señala que las empresas están incorporando prácticas de diseño seguras en nuevos productos, lo que en última instancia será un factor competitivo en el mercado.
"Además de MFA y privilegios de acceso restringido, se están diseñando en los productos otras medidas como eliminar las contraseñas predeterminadas y proporcionar mecanismos para actualizar el firmware de forma más fácil y rápida", afirma.
Evitar la “seguridad a través de la oscuridad” es otro principio de seguridad por diseño, señala Gallagher. Los SBOM y el software de código abierto, por ejemplo, brindan seguridad al ofrecer transparencia en torno al código del software.
Pace dice que una de las áreas que más le entusiasma en lo que respecta a la seguridad por defecto y la seguridad por diseño es una visibilidad significativamente mejor de la cadena de suministro de software. "Una vez que se pueda lograr esta visibilidad, podremos comenzar a comprender verdaderamente dónde están nuestros problemas desde un nivel fundamental y luego comenzar a priorizarlos de una manera que tenga sentido", dice.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design
