La velocidad y la complejidad de la nube hacen que la seguridad para el desarrollo de aplicaciones modernas sea cada vez más desafiante. Muchas organizaciones ahora se centran en los desarrolladores, lo que incentiva a los desarrolladores a moverse rápidamente. La diferencia de tiempo entre cuando se escribe un fragmento de código y cuándo se ejecuta se está acortando. De hecho, casi el 60% de las empresas informan que se implementan varias veces al día, una vez al día o una vez cada pocos días. Al mismo tiempo, el alcance del panorama de amenazas se acelera a medida que aceleramos la adopción de la nube, lo que convierte la seguridad en un desafío para DevSec.
La seguridad debe mantenerse al día, pero a menudo lucha y va a la zaga.
La seguridad debe mantenerse a la velocidad del desarrollador
Se alienta a los desarrolladores de aplicaciones a moverse muy rápido. Si bien los desarrolladores aceptan cierto grado de errores, ya que se resolverán como parte de los ciclos de lanzamiento continuo, los equipos de seguridad se enfrentan a la presión de tener siempre la razón y no afectar a los desarrolladores.
Los equipos de seguridad no tienen la capacidad de retrasar las implementaciones, sino que ahora deben descubrir cómo habilitar a los desarrolladores en lugar de decir «no» o «esperar». La seguridad en la nube debe ser amigable para el desarrollador, integrada y transparente. Esto significa que las organizaciones deben descubrir cómo trabajar con los desarrolladores y la cultura de automatización de DevOps para poder seguir ofreciendo ciclos de lanzamiento seguros y continuos, y rápidamente; Automatización de seguridad, en todas partes es clave.
La automatización es crucial para la seguridad de las aplicaciones
Obtener el control de su entorno en la nube requiere que la seguridad esté automatizada.
Con los desarrolladores lanzando actualizaciones tan rápido, también están distribuyendo los riesgos de inmediato. Las protecciones de seguridad deben seguir la misma ruta automatizada y autopublicarse. Esas protecciones deben tomar el mismo camino y velocidad que el desarrollo, trabajando con cadenas de herramientas de desarrollo que permiten automáticamente verificaciones de postura y protecciones sin ralentizar las cosas.
Como Marco Rottigni, director técnico de seguridad técnico de EMEA, Qualys, le dice a Computer Business Review : “Los desarrolladores deben tener la capacidad de contar con complementos que activen controles de seguridad y cumplimiento en cada paso del proceso DevOps, exponiendo los resultados directamente dentro de las herramientas que usan comúnmente para permitir la remediación rápida del código vulnerable «.
Además, los pasos de corrección deben automatizarse para solucionar problemas o agilizar los procesos de seguridad. Permita que los desarrolladores realicen su trabajo de forma segura, sin agregar trabajo, como proporcionar herramientas para automatizar tareas, como generar permisos para funciones sin servidor . Tome medidas para eliminar la fricción .
Automatización y el futuro del rol de analista de seguridad
Un estudio reciente de 1.027 profesionales de TI y seguridad de TI de EE. UU. Y el Reino Unido realizado por el Instituto Ponemon revela que, si bien la automatización mejorará la productividad, el factor humano sigue siendo importante . «El setenta y cuatro por ciento de los encuestados dice que la automatización no es capaz de realizar ciertas tareas que el personal de seguridad de TI puede hacer y el 54 por ciento de los encuestados dice que la automatización nunca reemplazará la intuición humana y la experiencia práctica».
La automatización debe verse como una evolución que permitirá a los equipos de seguridad centrarse en proyectos más estratégicos. Una publicación reciente sobre Dark Reading compartió cinco consejos para que pueda perfeccionar sus habilidades para mantenerse por delante de la curva de automatización y evolucionar su papel.
Automatización + Humanos para The DevSec Win
Para optimizar la seguridad moderna de las aplicaciones, las mejores prácticas de DevSecOps y la dinámica del equipo deben evolucionar con la automatización.
Nigel Kersten, director de tecnología de campo de Puppet, destacó la importancia de implementar la automatización a escala en las prácticas de DevSecOps. «Hay algunos errores comunes que vemos que enfrentan las empresas: el más grande es tratar de implementar DevSecOps sin una automatización escalada que todos los interesados relevantes comprendan y confíen en ella». Kersten continuó: “Sin eso, las organizaciones terminarán con los mismos procesos manuales y los mismos incentivos conflictivos. Luego, en lugar de DevSecOps, estas empresas se quedan solo con Dev, Sec y Ops. «
Gina Smith, gerente de investigación de IDC Asia, declaró: «Los viejos procesos de seguridad que ponen la seguridad en el medio o al final del proceso son demasiado caros e ineficientes ahora». Smith continuó: «Construir la planificación, las pruebas y el monitoreo de seguridad en cada fase de la tubería DevOps se trata de unir la antigua división, y la enemistad, entre los desarrolladores, TI y seguridad».
Tener soluciones de seguridad nativas en la nube que estén estrechamente integradas con un proceso y herramientas de desarrollo y operaciones será clave para ayudar a avanzar hacia un entorno operativo más DevSecOps.
Cuando se hace de manera efectiva, esta combinación es una verdadera victoria para la seguridad. El informe del Estado de Pentesting de 2020 examinó qué vulnerabilidades de seguridad se encuentran de manera confiable utilizando máquinas frente a la experiencia humana. “ El estudio encontró que tanto los humanos como las máquinas aportan valor a la hora de encontrar clases específicas de vulnerabilidades . Los humanos ‘ganan’ al encontrar desvíos de la lógica de negocios, condiciones de carrera y hazañas encadenadas, según el informe «.
La verdad es que las organizaciones del futuro requerirán equipos y tecnología para trabajar al unísono.
Nube con confianza
Las organizaciones necesitan desarrollar herramientas de automatización y la forma en que los equipos operan para abordar las necesidades de seguridad únicas de las aplicaciones modernas en la nube. Las herramientas de automatización deben integrarse temprano en los ciclos de desarrollo para abordar los problemas de seguridad y cumplimiento antes de la implementación, con la capacidad de automatizar las evaluaciones de seguridad en tiempo de ejecución para evitar amenazas. Esto no solo mejorará la seguridad sino también los ciclos de desarrollo.
Check Point CloudGuard proporciona seguridad nativa en la nube para todos sus activos y cargas de trabajo (por ejemplo, sin servidor y contenedores ), en varias nubes (AWS, Azure, GCP, VMware), lo que le permite automatizar la seguridad en todas partes, con prevención unificada de amenazas y gestión de la postura. La única solución que proporciona contexto para asegurar su nube con confianza
Aborda la digitalización