Red Seguridad 093

red seguridad segundo trimestre 2021 91 opinión las limitaciones que las herramientas tradicionales padecen para securizar aplicaciones de manera efectiva. El enfoque tradicional Las herramientas tradicionales de detec- ción de vulnerabilidades, como el aná- lisis estático (SAST) o los escáneres de web tipo DAST, se basan en un enfoque de exploración mediante un escaneo. Estos escaneos bloquean la ejecución de la integración y el despliegue. Las empresas no pueden depender de los retrasos impuestos por las pruebas cons- tantes que requieren el uso de un SAST o de un DAST. Lo único que consigue todo esto es formar un cuello de botella donde bien el departamento de quality assurance o el de seguridad vuelven a enviar la aplicación a los desarrollado- res, frustrándose todos en el proceso. Este es el peligro que nos encontra- mos en la fase previa a producción. Sin embargo, sabemos que puede haber vulnerabilidades que no sean detec- tadas en esta etapa, y es aquí donde debemos asegurarnos de que las aplica- ciones puedan ser protegidas en tiempo real cuando ya están desplegadas. El en- foque estándar basado en Web Applica- tion Firewalls (WAF) dista en este sentido de ser apropiado. La creación de un perí- metro de seguridad no se traduce bien a la hora de asegurar contenedores. A la vista de lo expuesto, resulta obvio que una estrategia basada en el uso de herramientas tradicionales de seguridad de aplicaciones no es la ideal en gene- ral, y en particular cuando el despliegue está basado en contenedores. Enfoque para el futuro En cualquier entorno DevOps basado en contenedores, las organizaciones deben resolver tres problemas de seguridad principales. En primer lugar, detectar vul- nerabilidades en las aplicaciones tanto en el código privado como en depen- dencias externas; por ejemplo, compo- nentes open source . En segundo lugar, flexibilidad, es decir, que no requieran perímetros externos o configuración de redes. Y por último, han de garantizar la seguridad durante todo el ciclo de vida del desarrollo del software . Teniendo en cuenta estas necesida- des, la tecnología de Hdiv propone inte- grar la seguridad en la propia aplicación mediante técnicas de instrumentación. Es decir, introducir la seguridad como una dependencia más dentro del conte- nedor, con lo que la aplicación perma- nece segura allá donde el contenedor vaya. Este enfoque basado en tecnologías IAST y RASP ofrece capacidades integra- les de visibilidad, monitoreo y automati- zación en todas las partes de la aplica- ción e incorpora seguridad en todas las fases del ciclo de desarrollo. Al introducir sensores de instrumentación especiali- zados en todo el código, la seguridad de aplicaciones basada en instrumentación nos permite una detección continua, au- tomatizada y en tiempo real de las vul- nerabilidades. Nuestra tecnología IAST implica un análisis preciso, continuo y en tiempo real; atributos clave para mantener la se- guridad cuando las aplicaciones se im- plementan en contenedores. De manera similar, el enfoque de protección contra ataques basado en tecnología RASP es una estrategia de defensa ideal para aplicaciones que se ejecutan en conte- nedores. Dado que la protección se dota en la parte del servidor y se tiene una visibilidad completa del contexto de la aplicación, funciona independientemen- te de las condiciones de despliegue en un contenedor. El enfoque de protección contra ataques basado en tecnología RASP es ideal para aplicaciones que se ejecutan en contenedores