José de la Cruz, director técnico de Trend Micro Iberia, analiza en este espacio la importancia de securizar los entornos open source, especialmente aquellos relacionados con desarrollos en la nube.
Los datos sobre las descargas de software de código abierto que contienen vulnerabilidades empiezan a ser alarmantes. Una muestra de ello la tenemos en las empresas del Reino Unido, donde se descargan al año una media de 21.000 componentes de software de código abierto con defectos. Y precisamente este es el titular de una nueva investigación que revela los crecientes riesgos a los que se enfrentan los desarrolladores debido a la práctica común de compartir código. A medida que aumenta la demanda de estos componentes, los equipos de seguridad deben hacer hincapié en encontrar formas de mitigar estos riesgos lo antes posible en el ciclo de vida del desarrollo, a través de una seguridad automatizada y sin fisuras que no afecte a la entrega de aplicaciones.
Este es un enfoque que también cobra importancia en el contexto del nuevo impulso de DevOps para microservicios y contenedores.
Problemas en la cadena de suministro
El informe en cuestión, para el que se han analizado 12.000 compañías de desarrollo empresarial a nivel mundial, afirma que solo las empresas británicas descargaron aproximadamente 248.000 componentes de código abierto el año pasado. Este es un dato preocupante, más si te tiene en cuenta que esta práctica ayuda a acelerar los procesos de DevOps y acelera el tiempo de lanzamiento al mercado en un mundo en el que la agilidad TI es fundamental para mantenerse por delante de la competencia. Pero también introduce nuevos e importantes ciberriesgos si el software no se revisa adecuadamente. De estos cientos de miles de componentes descargados en 2018, casi el 9% contenía una vulnerabilidad, y el 30% de ellas eran defectos críticos.
Estas no son preocupaciones vanas. En todo el mundo se ha registrado un aumento del 71% en las infracciones relacionadas con las vulnerabilidades de código abierto en los últimos cinco años, según el informe. Uno de los más famosos y dañinos fue Apache Struts, un software de código abierto utilizado por la agencia de informes crediticios Equifax. La incapacidad de la empresa para parchear un error crítico permitió a los atacantes robar datos altamente sensibles y confidenciales de más de 148 millones de clientes, incluyendo a más de la mitad de todos los adultos estadounidenses. Se dice que la firma ya ha pagado 1.400 millones de dólares como resultado.
Sorprendentemente, las descargas del componente defectuoso de Struts aumentaron un 11% en el año siguiente a la brecha, con un promedio de 2,1 millones por mes.
Security as Code
La pregunta para las empresas entonces es: “¿cómo puedo mitigar estos riesgos sin que se vea afectada la velocidad y la agilidad que es tan importante para DevOps?” La respuesta requerirá la transición de las herramientas de seguridad del viejo mundo, basado en el hardware manual y estático, a un entorno adaptativo, contextual y basado en software.
Esta es la nueva era de la Seguridad como Código o Security as Code. Busque proveedores que expongan las funciones de seguridad como servicios a través de las API, lo que facilita la integración de controles clave en el canal CI/CD. Esto permite a los equipos de seguridad detectar vulnerabilidades, aplicar políticas e impulsar el cumplimiento sin afectar a DevOps.
Esto es particularmente importante en el contexto del desarrollo de nubes híbridas basadas en microservicios, incluidos los contenedores. Estas nuevas tecnologías están ayudando a DevOps a ser aún más ágil e innovador, pero también son una fuente de ciberriesgos. Recientemente, se descubrió una nueva vulnerabilidad en Kubernetes que podría permitir a un atacante reemplazar y crear nuevos archivos en el PC de una víctima.
Con la tecnología Deep Security, por ejemplo, los equipos de DevOps pueden analizar continuamente las imágenes de los contenedores en busca de vulnerabilidades y malware, desde el diseño hasta el tiempo de ejecución. Esto es seguridad automatizada a escala y optimizada para sus procesos DevOps. No solo ayudará a obtener considerables beneficios de seguridad, sino que estas herramientas también pueden servir para reunir a los equipos de TI históricamente aislados bajo un espíritu de colaboración más estrecha.
Al considerar a la seguridad como un aliado en lugar de un obstáculo para la innovación, las organizaciones se encuentran en una buena posición para impulsar el crecimiento promovido por la transformación digital, al tiempo que preservan los resultados finales y la reputación corporativa del impacto de los incidentes cibernéticos.
