La competencia aumenta, cada empresa quiere ser la más rápido en sus procesos, en sus niveles de productividad y crecer como mercado.
Según el CEO de Fluid Attacks, « Las preguntas que debemos hacernos cuando construimos tecnología son: si avanzamos en la dirección correcta, si la velocidad la estamos aplicando en los lugares indicados, y qué tipo de riesgos corremos. En este sentido, la seguridad debe ser parte de todo el ciclo de desarrollo, para así tener un enfoque preventivo y proactivo».
«Debemos identificar muy bien cómo podemos acelerar el trabajo sin dejar brechas de seguridad abiertas”.
¿Cómo agilizar los procesos de desarrollo sin dejar de lado la seguridad?
El nivel riesgo de cualquier organización se basa en 3 conceptos:
- Las amenazas a las que hacer frente.
- Las vulnerabilidades que existen en el entorno.
- Las capacidades de la organización para mejorar su ciberseguridad.
Selección de código
En este punto se trabaja para aumentar la velocidad del factor humano mediante una herramienta basada en Machine Learning que permite a hackers éticos priorizar su búsqueda dentro del código y determinar las partes donde hay mayores probabilidades de que existan vulnerabilidades.
Equipo de fugas
Ya en este punto se realiza un ataque transversal por parte de un equipo.
Esto se pretende validar que no haya falsos negativos y reducir al máximo esa falsa sensación de seguridad que tienen las empresas.
Ataque determinístico
Se trata de una fase donde de forma automática se buscan solamente las vulnerabilidades sobre las cuales no existe duda alguna de que efectivamente son vulnerabilidades.
Equipo de ataque
En esta etapa ingresa el equipo de hackers expertos que tienen el conocimiento para atacar el software de manera dinámica y estática.
Ellos toman lo reportado por la herramienta de Machine Learning y recorren todo el código en base a la priorización. Es aquí donde logran combinarse la tecnología y el talento humano.
Equipo de Re-ataque
Finalmente, se llevan a cabo re-ataques sobre la tecnología, este verifica el cierre de las vulnerabilidades encontradas; y es que el objetivo no es sólo hallar las vulnerabilidades, sino que además logren ser cerradas.
La automatización es una de las maneras de acelerar los procesos de construcción de software, pero en términos de seguridad, las herramientas de búsqueda automática de vulnerabilidades tienen dos grandes retos:
- Los falsos positivos, que son aquellos reportes que cuando se revisan no corresponden a verdaderas vulnerabilidades, alrededor del 50% de las detectadas por las herramientas no son reales.
- Los falsos negativos, que son básicamente las que se fugan o se omiten en los procesos de detección, representan para las herramientas cerca del 80% de las vulnerabilidades.
Fuente: revistamyt