[23/03/2023] Backslash Security ha anunciado el lanzamiento de una nueva solución de seguridad de aplicaciones (AppSec) nativa en la nube diseñada para identificar flujos de código tóxicos y automatizar modelos de amenazas. La solución se ha creado para hacer frente a los métodos manuales y lentos para descubrir y mapear los riesgos del código de las aplicaciones, además de llenar las lagunas de contexto nativo de la nube que dejan las herramientas tradicionales de pruebas estáticas de seguridad de aplicaciones (SAST), declaró Backslash.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Las organizaciones están adoptando la nube y el desarrollo de aplicaciones nativas en la nube, y se espera que el porcentaje de grandes empresas que despliegan código en producción diariamente aumente del 5% en el 2021 al 70% en el 2025, según la investigación de IDC. Mientras tanto, los equipos de AppSec se enfrentan a continuos retos para seguir el ritmo de sus homólogos de desarrollo.
Backslash ayuda a los equipos de AppSec a reducir las alertas de falsos positivos y la fatiga por alertas
Según lo señalado, la solución Backslash proporciona a los equipos de seguridad de aplicaciones información sobre la seguridad y el contexto empresarial en torno a los riesgos del código, haciendo un seguimiento de la postura de seguridad de las distintas aplicaciones y equipos implicados. A través de un mapeo visual unificado de los modelos de amenazas y la postura de la aplicación, los equipos de seguridad de aplicaciones pueden reducir las alertas de falsos positivos y la fatiga por alertas, reduciendo el tiempo medio de recuperación (MTTR) al permitir a los desarrolladores disponer de las pruebas que necesitan para asumir la responsabilidad del proceso, añadió Backslash.
Según la empresa, la solución ofrece:
- Visibilidad contextual que permite a los equipos de AppSec descubrir y mapear automáticamente el código de las aplicaciones nativas de la nube y sus dependencias a través de paneles visuales contextuales, sin necesidad de leer o comprender el código subyacente.
- Visualización automática de modelos de amenazas que mapea y sirve los modelos de amenazas preferidos.
- Priorización automática del código de alto riesgo en función del estado de la nube de aplicaciones en producción.
- Corrección rápida que simplifica la corrección de vulnerabilidades y riesgos mediante la identificación automática de riesgos.
- Escala mediante la alineación de políticas que libera a los equipos de AppSec para establecer y aplicar políticas de seguridad óptimas nativas de la nube y reducir el tiempo y los recursos necesarios para perseguir los problemas de código.
Los métodos tradicionales de AppSec crean fricciones entre desarrolladores y equipos de seguridad
Pueden surgir fricciones entre los desarrolladores y los equipos de seguridad porque los métodos tradicionales de AppSec son perjudiciales para el desarrollo nativo en la nube, comentó Melinda Marks, analista senior del sector en ESG. "Los desarrolladores necesitan una forma precisa de identificar y solucionar eficazmente los problemas de código en sus flujos de trabajo sin verse abrumados por alertas o falsos positivos, mientras que la seguridad necesita una forma escalable de gestionar el riesgo", añadió.
Brian Fielder, director general, CTO de seguridad empresarial de Microsoft, se hizo eco de sentimientos similares. "Los equipos de AppSec están luchando a medida que las empresas cambian rápidamente a entornos de implementación basados en la nube, porque las soluciones tradicionales simplemente no están a la altura".
Los problemas se ven agravados por las herramientas de AppSec que producen un número excesivo de alertas de poco valor, lo que conduce a una cantidad abrumadora de ruido y falsos positivos de seguridad. Además, los equipos de seguridad dedican más de 25 minutos a investigar cada una de ellas y, debido al volumen, el costo y el tiempo que conllevan, casi una cuarta parte de las alertas simplemente se ignoran.
La solución Backslash aborda estos retos utilizando las propiedades de la pila y los entornos de desarrollo modernos para dar a los equipos de seguridad el contexto que necesitan para apoyar el desarrollo a medida que se amplía, indicó Marks.
Adaptar la formación en ciberseguridad a los desarrolladores para hacer frente a los riesgos
Aparte de invertir en tecnologías de seguridad centradas en los desarrolladores y AppSec más eficaces, otro enfoque que apoyan los responsables de seguridad es adaptar la formación de concienciación sobre seguridad a los desarrolladores de software para ayudar a resolver la falta de cohesión entre los equipos de desarrollo de software y las funciones de ciberseguridad. Tiffany Ricks, CEO y fundadora de HacWare, proveedor de formación automatizada en seguridad y concienciación, explicó a CSO que durante mucho tiempo la formación en concienciación en seguridad ha sido un fracaso para los desarrolladores. "Lo complicado de la formación en seguridad para desarrolladores es que tiene que ser un contenido relevante, en el momento adecuado, para promover la innovación".
Según un informe de Immersive Labs, los enfoques tradicionales, basados en la formación presencial, no atraen a los desarrolladores ni les imparten los conocimientos necesarios para adaptarse al rápido panorama de amenazas y a los fundamentos tecnológicos dinámicos del ciclo de vida del desarrollo de software, mientras que el 81% de los desarrolladores han publicado a sabiendas aplicaciones vulnerables.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú