Protección de las rutas a los datos de una organización

En todo el mundo, empresas de todos los tamaños y de todas las industrias están experimentando alguna forma de I.T. transformación. De hecho, las empresas han acelerado la digitalización de sus operaciones comerciales internas y externas de tres a cuatro años desde que una pandemia revolucionó el mundo. Si bien COVID-19 puede considerarse un acelerador importante para este cambio, los líderes organizacionales también reconocen la importancia estratégica de incorporar la tecnología en sus negocios.

Para muchos, la transformación estará impulsada por la adopción de software comercial de terceros implementado internamente, aplicaciones de software como servicio (SaaS) que alojan datos confidenciales y bibliotecas de terceros de código abierto. que se utilizan para crear software. Si bien la introducción de tecnología moderna es una señal de progreso necesario, las empresas no deben pasar por alto los posibles riesgos de seguridad que conlleva toda esta innovación. La preponderancia de las cadenas de suministro de software expondrá a las empresas desprevenidas de formas nuevas y complejas, ampliando los límites de las defensas de seguridad tradicionales.

Las cadenas de suministro de software vulnerables incluso han llamado la atención del gobierno de EE. UU., Lo que confirma la urgencia de este creciente riesgo de ciberseguridad. En mayo, los líderes gubernamentales dieron el primer paso para abordar de manera proactiva las amenazas potenciales que acechan en un ecosistema creciente de dependencias de terceros. La Orden Ejecutiva 14028 describe un plan que pide al gobierno "realizar cambios audaces e inversiones significativas para defender las instituciones vitales que sustentan el estilo de vida estadounidense". El E.O. pone especial énfasis en la seguridad del software crítico ”que, señala el gobierno,“ carece de transparencia, suficiente enfoque en la capacidad del software para resistir ataques y controles adecuados para prevenir la manipulación por parte de actores malintencionados ”.

El Instituto Nacional de Estándares y Tecnología (NIST) describió las medidas de seguridad para proteger el software crítico, poniendo un enfoque nítido en las defensas que se necesitan para proteger los datos, no solo los sistemas y la red a su alrededor. Este enfoque, que se centra en proteger los datos y todas las rutas a ellos, reconoce el problema intratable de las aplicaciones de software de terceros y las bibliotecas que tienen acceso directo a los datos confidenciales. Como se evidencia en los ataques exitosos llevados a cabo durante los últimos meses, las organizaciones empresariales deben tener en cuenta el software de un proveedor o de terceros que respalda sus aplicaciones e interfaces si realmente vamos a mitigar la amenaza de los ataques a la cadena de suministro de software.

Un ecosistema complejo

Históricamente, las empresas se han centrado en el riesgo introducido por su conjunto inmediato de proveedores y el software crítico del que dependen. Esa postura ya no es suficiente, como I.T. La transformación empuja los límites de la red tradicional y hace que los controles heredados sean menos efectivos.

Si bien una empresa puede tener implementados los controles de seguridad adecuados, no significa que sus proveedores en toda la cadena de suministro de software los tengan. La estrategia de seguridad ya no puede depender de todo lo que proviene del ecosistema, incluso de socios y proveedores. La cadena de suministro de software en expansión, junto con la complejidad de las aplicaciones modernas, significa que las vulnerabilidades se introducirán a mayor velocidad. Para ayudar a abordar la creciente escala de ataques dentro del ciclo de vida del desarrollo de software, las organizaciones deben adoptar un modelo de amenazas que incluya todas las partes de la cadena de suministro, incluido el código de enésima parte.

Las aplicaciones modernas están impulsadas por un ecosistema complejo de interfaces de programación de aplicaciones (API), microservicios y funciones sin servidor. Con cargas de trabajo más efímeras y arquitecturas distribuidas, no existe una fórmula mágica para el análisis de software de preproducción. Incluso en el ciclo de vida de desarrollo de software (SDLC) más riguroso, la complejidad del desarrollo significa que se introducirán vulnerabilidades. Una vez más, esta es la razón por la que proteger todos los caminos a los datos debe ser la estrategia fundamental para las organizaciones.

Abordar el problema de frente

Como lo demuestran los ataques anteriores a la cadena de suministro de software, los malos actores están maniobrando sigilosamente dentro de la cadena de suministro de software explotando la vulnerabilidad en una conexión de software de terceros, usándola para moverse lateralmente y finalmente obtener acceso a los datos del objetivo.

La seguridad de las aplicaciones web debe evolucionar y centrarse más en identificar el comportamiento de las aplicaciones en tiempo de ejecución, como si el código de terceros es responsable de acciones no deseadas. Solo bloqueando comportamientos inesperados se pueden prevenir comportamientos de ataque novedosos. Esto será fundamental ya que Enterprise I.T. evoluciona hacia entornos de aplicaciones diversos y modernos.

Las herramientas de escaneo de aplicaciones son excelentes, pero es poco probable que identifiquen software de terceros comprometido integrado en las aplicaciones. Las herramientas perimetrales pueden ser engañadas por tráfico aparentemente inocuo de aplicaciones hasta que se publiquen las firmas. Por último, si bien muchas empresas implementan seguridad de punto final, esta tecnología a menudo es ciega a los ataques de aplicaciones, ya que rara vez necesitan tocar los dispositivos de los usuarios en las primeras etapas.

En cambio, las empresas deben implementar la autoprotección de aplicaciones en tiempo de ejecución (RASP) para detectar y prevenir ataques en tiempo real y desde dentro de una aplicación. Esta tecnología, recomendada en NIST SP 800-53 Revisión 5, puede señalar los ataques hasta una línea exacta de código y detener automáticamente la explotación de una vulnerabilidad, lo que brinda a las organizaciones el tiempo necesario para parchear las vulnerabilidades según su propio programa.

Para permitir la innovación y mantener una ventaja competitiva, las organizaciones deberán modernizar sus operaciones. Gran parte de esta transformación dependerá de aplicaciones y servicios de terceros.

Sin embargo, las vulnerabilidades de software y aplicaciones son problemas de seguridad fundamentales y las empresas deben tomar nota. Como tal, deben poner énfasis en sus defensas, particularmente en las API que sustentan su transformación digital.

Dado que los atacantes encuentran formas sigilosas de evadir las defensas y obtener acceso a los datos subyacentes, es esencial que se implementen los controles correctos y se utilicen las herramientas adecuadas para proteger verdaderamente los datos y todas las rutas hacia ellos.

Peter Klimek es director de tecnología, Office of the CTO, con Imperva.