Segurilatam 018

artículo técnico Ciberseguridad En cuanto a detección de vulnerabili- dades, el problema es que los enfoques de herramientas tradicionales para la seguridad de las aplicaciones, como el escaneo de código fuente o el escaneo de sitios web ad hoc , también conocidas como SAST y DAST, no ofrecen una co- bertura completa al ritmo que impone una metodología de trabajo DevOps. Por lo que respecta a la protección frente a ataques, las organizaciones no pueden confiar en las protecciones de seguridad perimetrales basadas en la red y la infraestructura como antes. Es necesario detectar mejor y más rápido e incorporar protecciones en las aplicaciones y fortalecerlas contra ataques. Esto nos lleva a preguntarnos cómo pueden dotar los equipos de se- guridad a los equipos involucrados en el ciclo de vida de las aplicaciones con las herramientas necesarias para reducir las vulnerabilidades y proteger ataques. IAST y RASP Frente a herramientas tradicionales tipo SAST y DAST, la evolución en el área de detección de vulnerabilidades la encontramos en IAST. Esta tecnología resuelve los problemas de las tecno- logías SAST y DAST. La tecnología IAST instrumenta la aplicación e introduce sensores de seguridad para monitorizar toda la actividad de la misma en tiem- po real durante la ejecución. IAST tiene la ventaja de detectar vulnerabilidades con menos falsos positivos/negativos y de manera continua. En cuanto a protección frente a ata- ques, las soluciones RASP suponen una evolución de la seguridad perimetral. El RASP se ubica en el mismo servidor que la aplicación y, por tanto, puede validar la ejecución del código y comprender el contexto de las interacciones de la apli- cación gracias a la visibilidad completa del sistema. Detectar y solucionar problemas de código en las primeras etapas de la fase de desarrollo permite un ahorro significativo de tiempo y recursos al evi- tar la propagación de vulnerabilidades de seguridad en otras etapas del SDLC. Y aquí es clave la irrupción de tecno- logías como el IAST y el RASP, ya que permiten adaptarse a la velocidad de DevOps incluyendo la seguridad y con- siguiendo que DevSecOps se convierta en una realidad. El modelo Hdiv Para ello, Hdiv ofrece dos productos en el mercado de detección de vulnerabili- dades y protección frente a ataques. La solución Hdiv Detection (IAST) se adapta a las nuevas metodologías de desarrollo y ha obtenido puntuaciones perfectas en el benchmark de OWASP. La solución de Hdiv Protection (RASP) es la única que además es capaz de proteger fallos de lógica de negocio, también conocidos como Business Logic Flaws. Nuestra propuesta, para llegar a un modelo DevSecOps, además de mejorar la efectividad de las soluciones de de- tección y protección evitando falsos po- sitivos y aumentando el nivel de detec- ción, es integrar la seguridad de forma natural en las herramientas utilizadas por los diferentes grupos de trabajo: de- sarrollo, operaciones y seguridad. Como punto adicional, en la revisión final de la publicación SP800-53 del Instituto Nacional de Estándares y Tec- nología (NIST) se incluye el requisito de usar Runtime Application Self- Protection (RASP) e Interactive Application Securi- ty Testing (IAST). Es la primera vez que se requiere el uso de estas tecnologías como parte del marco de seguridad a implementar por organizaciones en de- fensa y protección del desarrollo de apli- caciones. Y supone una evolución en la manera en la que las organizaciones deben defender sus desarrollos. Toda organización necesita automati- zar y fortalecer la seguridad de las apli- caciones. Por ello, las animamos a que descubran cómo la tecnología de Hdiv Security puede ayudarles a acelerar su proceso de transformación digital ofre- ciendo una mayor seguridad en el desa- rrollo de sus activos. Segundo cuatrimestre 2021 / 55