Cómo mejorar las relaciones entre los desarrolladores y los equipos de seguridad y aumentar la seguridad de las aplicaciones

Chris Wysopal compartió una lección de historia sobre la evolución de la seguridad de las aplicaciones y consejos sobre cómo hacer que todas las aplicaciones sean más seguras.

El director de tecnología de Veracode, Chris Wysopal, compartió los aspectos más destacados de su carrera en seguridad de aplicaciones durante un evento de OWASP, incluido su testimonio de 1998 ante el Congreso como miembro del colectivo de piratería The L0ft.

Imagen: Chris Wysopal

En diciembre de 1996, el experto en seguridad de aplicaciones Chris Wysopal publicó su primer informe de vulnerabilidad. Descubrió que los datos se podían editar o eliminar en Lotus Domino 1.5 si los permisos no se configuraban correctamente o si se editaban las URL. Ese riesgo de seguridad, control de acceso roto, es el riesgo número uno en la lista de los 10 principales riesgos de seguridad de aplicaciones de OWASP de 2021.

“Conocemos este problema muy bien y el conocimiento sobre el problema no resuelve el problema”, dijo.

Wysopal, que es el CTO y cofundador de Veracode, compartió una breve historia de su tiempo como investigador de seguridad de aplicaciones, desde su tiempo con el colectivo de hackers L0ft hasta testificar frente al Congreso y realizar consultoría de seguridad con Microsoft a principios de la década de 2000. Wysopal habló durante una conferencia magistral en el evento del 20 aniversario de OWASP, un evento gratuito en vivo de 24 horas que se llevó a cabo el viernes.

Wysopal dijo que comenzó como un forastero en el mundo de la tecnología, lo que le dio una perspectiva única para señalar problemas que los ingenieros de software, los líderes de la empresa y los funcionarios gubernamentales no veían. Durante los últimos 25 años, los investigadores de appsec han pasado de ser críticos desde afuera mirando hacia adentro a colegas profesionales que trabajan con ingenieros de software para mejorar la seguridad.

VER: Cómo los equipos de DevOps están asumiendo un papel más fundamental

“Como dijo William Gibson, ‘el futuro está distribuido de manera desigual y creo que podemos aprender del pasado y aprender de los que ya viven en el futuro”, dijo.

Compartió consejos sobre cómo construir relaciones de trabajo más estrechas entre desarrolladores y expertos en seguridad, así como sobre cómo la profesión de appsec ha evolucionado a lo largo de los años.

Construyendo relaciones para mejorar la seguridad

Wysopal dijo que ve la última evolución de appsec a medida que los expertos en seguridad se conviertan en miembros oficiales del equipo de desarrollo de software.

“El éxito es ser parte de un equipo que envía código seguro a tiempo, trabajando para mejorar continuamente el proceso y haciendo menos trabajo para obtener el mismo resultado seguro”, dijo.

Wysopal dijo que las relaciones sólidas entre los dos equipos son otra clave para que appsec funcione. Los desarrolladores individuales y los miembros del equipo de seguridad deben considerar estas preguntas y encontrar las respuestas:

  • ¿Quién es su compañero en desarrollo o seguridad?
  • ¿Te encuentras con ellos?
  • ¿Entienden los objetivos del otro?
  • ¿Simpatizan con las luchas de los demás?

Otra clave del éxito es garantizar la responsabilidad compartida entre los grupos de ingeniería de software y de seguridad:

  • ¿Cómo podemos establecer el objetivo común de enviar software seguro a tiempo?
  • ¿Qué puede hacer el equipo de seguridad para asegurarse de que el equipo de desarrollo no tenga que reducir la velocidad?
  • ¿Qué puede hacer el equipo de desarrollo para ayudar al equipo de seguridad a realizar pruebas más rápido?

“Además, esta responsabilidad debe medirse e informarse”, dijo.

El director de tecnología de Veracode, Chris Wysopal, explicó el impacto que tienen las medidas de seguridad en el cierre de fallas en el software durante un evento OWASP.

Imagen: Chris Wysopal

Wysopal dijo que algunas aplicaciones, por su propia naturaleza, son más difíciles de proteger que otras. Su equipo considera tanto la naturaleza como el desarrollo de cada aplicación cuando trabaja para mejorar la seguridad.

El entorno ideal para aplicaciones que son fáciles de proteger tiene este aspecto:

  • Pequeña organización
  • Pequeña aplicación
  • Densidad de defectos baja
  • Nueva aplicación

Es más difícil proteger aplicaciones más antiguas y más grandes con altas densidades de fallas creadas en grandes empresas, dijo Wysopal.

En términos de fomentar aplicaciones seguras, los equipos de desarrollo utilizan análisis frecuentes y una variedad de tipos de análisis. El escaneo estático y poco frecuente dificulta la mejora de la seguridad de las aplicaciones.

El director de tecnología de Veracode, Chris Wysopal, presentó este cuadro durante su discurso de apertura para ilustrar la cantidad de tiempo que lleva resolver una falla de software según el tipo de entorno en el que existe una aplicación.

Imagen: Chris Wysopal

Wysopal también compartió algunos consejos sobre cómo las prácticas cambiantes de seguridad pueden mejorar appsec, independientemente de si una aplicación es fácil o difícil de proteger. En un buen entorno, las mejores prácticas de seguridad pueden reducir la vida media de una vulnerabilidad de 25 a 13 días. En un entorno menos que ideal, la mejora de las prácticas de seguridad puede reducir la vida media de una vulnerabilidad en más de cuatro meses.

La evolución de appsec

Después de que publicó su primer informe de vulnerabilidad, Lotus reconoció el problema en su página de inicio, explicó cómo lo arreglaron, le dio crédito por encontrar el problema y le agradeció por hacerlo, dijo Wysopal.

“Hubo una nueva sensación de que algunos desarrolladores realmente apreciaban la investigación de vulnerabilidades incluso en 1996, y nos hizo comenzar a pensar que tal vez deberíamos hablar con los desarrolladores”, dijo.

Él y su compañero hacker Mudge (Peiter Zatko) comenzaron a hablar con empresas de software, incluida Microsoft, sobre la investigación de vulnerabilidades. En mayo de 1998, él y sus colegas de L0ft testificaron en una audiencia del Congreso, “Débil seguridad informática en el gobierno”.

“Esto despertó al mundo que la industria y el gobierno necesitan trabajar con investigadores de vulnerabilidad”, dijo.

Luego, en noviembre de 2001, Wysopal recibió un correo electrónico sobre el lanzamiento de OWASP. La siguiente fase fue trabajar con ingenieros de Microsoft y el siguiente desafío fue pasar de ser un crítico externo a colaborar con los desarrolladores.

Las primeras herramientas se crearon para investigadores de appsec, no para desarrolladores, y eso significaba que los desarrolladores no usaban esas herramientas para mejorar la seguridad, dijo Wysopal.

Los equipos de Appsec necesitaban hacer más que simplemente encontrar fallas porque ese enfoque enfurecía a los desarrolladores y detenía el progreso.

“Necesitábamos andar con cuidado o no se arreglaría nada”, dijo. “Este enfoque podría haber sido un paso atrás en los primeros días de la automatización”.

Luego, el enfoque se trasladó a solucionar problemas con énfasis en la capacitación, reparaciones de muestras y bibliotecas seguras, dijo. Este fue el comienzo de la aplicación moderna.

“Una de las mejores cosas que le ha sucedido a appsec es que los procesos cambian a procesos ágiles y
DevOps

“, dijo.” Esta fue realmente una función forzada para modernizar el funcionamiento de appsec “.

Ver también

Leave a Comment