¿Qué es el enfoque shift-left?

Adoptar un enfoque shift-left en el contexto de DevSecOps significa implementar la fase de pruebas y la seguridad en las etapas iniciales del proceso de desarrollo de aplicaciones. A este proceso se le llama "shift-left" porque desplaza el componente de seguridad o de pruebas a la izquierda (a etapas anteriores) en el ciclo de vida del desarrollo de software. 

¿Qué son las pruebas shift-left?

Tradicionalmente, las pruebas de aplicaciones se realizan al final del ciclo de vida de desarrollo. Las pruebas shift-left hacen referencia al proceso de probar los componentes en fases anteriores del proceso para comprobar que el funcionamiento es el correcto y que se satisfacen los requisitos de seguridad. De este modo, los equipos son eficientes en el desarrollo de dichas aplicaciones. 

¿Qué es la seguridad shift-left?

La seguridad shift-left es el proceso de incorporar las prácticas de seguridad en fases anteriores del proceso de desarrollo de aplicaciones. El código vulnerable se identifica a medida que se desarrolla, en lugar de en la fase de pruebas, lo que reduce el riesgo de brechas y da como resultado aplicaciones más seguras.

La seguridad de las aplicaciones y la protección de las cargas de trabajo son preocupaciones cada vez más importantes, ya que las empresas siguen avanzando en su transformación digital y migrando sus recursos a la nube. La velocidad de los lanzamientos de software, el uso de servicios basados en la nube, la incorporación de la automatización en el proceso de desarrollo de software y el ritmo de innovación en la cadena de herramientas de desarrollo son factores que merman la seguridad de las aplicaciones.

Los ciberdelincuentes y los adversarios están al acecho de debilidades que puedan aprovechar para alcanzar su payload. Debido a que organizaciones de todos los tamaños han reforzado la ciberseguridad, los hackers se están centrando más en aprovecharse de aplicaciones y cargas de trabajo vulnerables para satisfacer sus objetivos. Y ahora que "todas las empresas son empresas de software", las oportunidades de aprovechar vulnerabilidades en aplicaciones son muy abundantes.

Tradicionalmente, el código se somete a pruebas de seguridad en la última fase previa al lanzamiento. Esta forma de operar genera un problema de tiempo: los desarrolladores suelen emplear hasta el último minuto en el desarrollo de la aplicación, lo que deja muy poco margen al equipo de seguridad para comprobar la seguridad de la misma. Cuando se descubren vulnerabilidades, o bien se retrasa el lanzamiento o bien el equipo de desarrollo tiene que darse prisa para corregirlas y el equipo de seguridad hacer lo propio para comprobar las correcciones. Este proceso es caro y ralentiza los lanzamientos y las versiones de las aplicaciones. Además, si las iteraciones se lanzan con prisas, las posibilidades de pasar por alto una vulnerabilidad o de no darle la prioridad adecuada aumentan considerablemente. La seguridad de las aplicaciones son una parte esencial del ciclo de vida de desarrollo de software y, por tanto, adoptar el enfoque correcto debe ser una prioridad.

Las organizaciones buscan formas de priorizar la seguridad en el proceso de desarrollo y de dar a los desarrolladores la capacidad de ofrecer soluciones seguras y fiables sin que tengan que convertirse en expertos en seguridad, y sin poner freno al proceso de desarrollo de aplicaciones. La seguridad shift-left les ayuda a conseguirlo, ya que reduce notablemente las preocupaciones de seguridad relativas al desarrollo de aplicaciones y software nativos de la nube.

Ventajas de la seguridad shift-left

Estas son algunas de las ventajas de implementar un enfoque shift-left en seguridad: 

Automatización

La automatización de procesos reduce el número de errores humanos y los problemas en producción. La cobertura de las pruebas se incrementa porque se pueden realizar varias pruebas al mismo tiempo, y los evaluadores tienen más tiempo para centrarse en otras tareas.

Entrega más rápida de aplicaciones

La seguridad shift-left reduce el tiempo que transcurre entre lanzamientos al mercado al permitir que los equipos de DevOps y seguridad trabajen en paralelo. Abre la puerta a que las aplicaciones se entreguen más rápido porque el desarrollo de código no se detiene para comprobar la seguridad. Las pruebas continuas permiten detectar antes los problemas de seguridad, por lo que las correcciones son de menor escala y requieren menos tiempo. Así, se reducen la frustración y las noches en vela de los equipos de DevOps y seguridad, y se implementan con más rapidez funcionalidades que enamoran a los usuarios.

Mejora de la infraestructura

Mejorar la calidad del software es uno de los objetivos de la seguridad shift-left. ¿Cómo lo consigue? Dando a los equipos el tiempo que necesitan para detectar y resolver problemas lo antes posible en el proceso de desarrollo, lo que reduce el impacto negativo de algunos incidentes o incluso eliminar algunos incidentes experimentados por los clientes. 

Ahorro de costes

El enfoque shift-left reduce los costes asociados con las correcciones de errores y las aplicaciones de parches de seguridad de última hora. Si los errores se detectan una vez que se ha lanzado la actualización a los clientes, el coste de corregir el error aumenta drásticamente. 

Refuerzo de la colaboración

Como el enfoque shift-left favorece la eficiencia, es menos probable que los desarrolladores experimenten momentos de pánico por tener que aplicar correcciones urgentes. El aumento de la eficiencia se debe, en parte, a la mayor colaboración entre los departamentos de desarrollo, operaciones y seguridad.

Tipos de tecnologías y herramientas de seguridad shift-left

Las herramientas de seguridad shift-left pueden clasificarse en dos tipos: herramientas de análisis de seguridad y herramientas de protección en tiempo de ejecución. Las herramientas de análisis de seguridad son herramientas de pruebas que optimizan la integración de la seguridad en DevOps; mientras que las herramientas de protección en tiempo de ejecución son herramientas de ciberseguridad que protegen a la aplicación mientras está funcionando.

Herramientas de análisis de seguridad/evaluación de imágenes

Entre los ejemplos de herramientas de análisis de seguridad e imágenes se incluyen las siguientes: 

Prueba estática de la seguridad de las aplicaciones (SAST)

SAST es una metodología de seguridad de aplicaciones que se utiliza para detectar vulnerabilidades. Se trata de un método de pruebas de "caja blanca", es decir, comprueba el funcionamiento interno de la aplicación en lugar de su funcionalidad. Las herramientas de SAST analizan el código fuente sin necesidad de ejecutar la aplicación, por lo que pueden detectar vulnerabilidades en las primeras etapas del ciclo de vida de desarrollo de software. Gracias a ello, aplicar las correcciones no resulta tan caro. Aunque las herramientas de SAST son compatibles con todo tipo de software, como solo analizan código estático, no pueden detectar problemas en tiempo de ejecución o relacionados con el entorno.

Análisis de composición de software (SCA)

La SCA identifica el código abierto dentro de una base de código. Las licencias de código abierto tienen limitaciones que son difíciles de rastrear manualmente. La SCA automatiza el proceso de inspección de gestores de paquetes, manifiestos, código fuente, archivos binarios, imágenes de contenedores, etc., y recopila los resultados en una lista de materiales de software (SBOM). A continuación, esta SBOM se compara con numerosas bases de datos para detectar vulnerabilidades, problemas de licencia y problemas de calidad del código. Los resultados permiten a los equipos de seguridad identificar rápidamente las vulnerabilidades críticas legales y de seguridad, y priorizarlas adecuadamente para su mitigación.

Prueba dinámica de la seguridad de las aplicaciones (DAST)

DAST un método de pruebas de "caja negra" utilizado en la seguridad de aplicaciones web que se centra en detectar vulnerabilidades en las funcionalidades de una aplicación en ejecución. El DAST representa un enfoque externo, ya que el evaluador no tiene visibilidad sobre el funcionamiento interno de la aplicación. Este método de prueba detecta vulnerabilidades al final del ciclo de vida de desarrollo de software. Debido a que el DAST analiza las aplicaciones en ejecución de manera dinámica, solo es compatible con servicios y aplicaciones web.

Herramientas de protección en tiempo de ejecución

Entre las herramientas de protección en tiempo de ejecución se incluyen las siguientes:

Autoprotección de aplicaciones en tiempo de ejecución (RASP)

La RASP detecta ataques en las aplicaciones en tiempo real, ya que analiza el comportamiento de las aplicaciones en contexto. Intercepta todas las llamadas de la aplicación a un sistema, y valida las solicitudes de datos desde dentro de la aplicación, utilizando la propia aplicación para monitorizar su propio comportamiento. La RASP puede utilizarse tanto en aplicaciones web como no web, ya que sus funciones de protección operan en el servidor de la aplicación y se activan cuando se inicia la aplicación.

Firewall de aplicaciones web (WAF)

Los WAF filtran, monitorizan y bloquean el tráfico malicioso que intenta entrar en la aplicación, y además impiden que los datos no autorizados salgan de la aplicación. Su comportamiento está determinado por conjuntos de directivas que les ayudan a distinguir el tráfico malicioso del tráfico seguro, por lo que su eficacia es tan sólida como las directivas de seguridad de la organización. Dado que una sola empresa puede tener miles de WAF y millones de directivas, la automatización es clave para garantizar que todos los WAF estén actualizados.

Gestión de bots

La gestión de bots detecta y evita que bots maliciosos lleven a cabo ataques como ataques de denegación de servicio distribuido (DDoS) en la capa de aplicación (L7), inyección de SQL e inserción de credenciales. Para ello, emplea soluciones como listas de bloqueo/listas blancas, trampas de bots y limitación de velocidad. Es necesario tener precaución, porque una gestión demasiado estricta de los bots puede bloquear tráfico web legítimo y bots creados internamente con fines de prueba y automatización.

Escaneo de imágenes de contenedor y funciones sin servidor

Hoy en día, en el desarrollo de aplicaciones se utilizan contenedores para agrupar el código fuente de una aplicación y todas sus dependencias en un único archivo. Una imagen de contenedor es un archivo que se fusiona con el archivo de contenedor. La imagen del contenedor contiene el código de la aplicación, el tiempo de ejecución, las herramientas del sistema, las bibliotecas del sistema y la configuración. El escaneo de imágenes de contenedor examina el contenido del contenedor y el proceso de creación de la imagen de contenedor para detectar problemas de seguridad y malas prácticas.

La necesidad de analizar funciones sin servidor es cada vez mayor, ya que la mayoría de las aplicaciones modernas utilizan algún tipo de computación sin servidor para obtener funciones que resulta demasiado complicado o caro desarrollar internamente. El uso de estos servicios, que están alojados en AWS, Azure, etc., requiere migrar los datos desde la infraestructura de la empresa al proveedor de servicios en la nube y a otras ubicaciones necesarias. La protección de estos datos en tránsito y en reposo es responsabilidad del propietario de la aplicación, no del proveedor de servicios en la nube, que solo protege su propia infraestructura. El análisis de funciones sin servidor requiere un tipo de monitorización y depuración diferente al de las aplicaciones alojadas tradicionalmente. Las soluciones nativas de la nube son la mejor opción para ello.

Protección de cargas de trabajo

Las aplicaciones modernas se distribuyen por toda la infraestructura de la nube en contenedores, Kubernetes y arquitecturas sin servidor; entornos que están en constante evolución. La incorporación de nuevos servicios aumenta la superficie de ataque, y obtener visibilidad en un ecosistema tan complejo y cambiante es complicado.

La protección de las cargas de trabajo sitúa los controles de seguridad al nivel de las cargas de trabajo de las aplicaciones individuales. Permite a las organizaciones identificar y corregir vulnerabilidades a lo largo del ciclo de vida de las aplicaciones, garantizando así el cumplimiento e implementando configuraciones de seguridad y mejores prácticas en contenedores, Kubernetes y cualquier carga de trabajo. Las soluciones de protección de cargas de trabajo en la nube deben poder frenar el movimiento lateral, detectar anomalías en el comportamiento, controlar el cumplimiento y reducir la superficie de ataque.

Mejores prácticas para adoptar un enfoque shift-left de seguridad

Te recomendamos seguir las siguientes mejores prácticas para adoptar un enfoque shift-left:  

Integra la seguridad en el desarrollo de nuevas aplicaciones

¿Hasta qué punto debes adelantar la seguridad? Hasta el principio. La seguridad debe formar parte del proceso de desarrollo desde el primer momento en el que los desarrolladores empiezan a escribir código. Utiliza API para integrar la seguridad en las herramientas de los desarrolladores, de modo que los equipos de seguridad puedan detectar problemas antes de que el código se envíe a la versión principal.

Integra la seguridad de aplicaciones y contenedores en la cadena de herramientas de DevOps

La seguridad de aplicaciones shift-left empieza con los escaneos, que solo serán realmente útiles si se ponen en manos del equipo de DevOps. El poder del enfoque shift-left reside en dar a los equipos de DevOps las herramientas necesarias para colaborar con los equipos de seguridad. Por ello, debes compartir los resultados de los escaneos de seguridad en un entorno de desarrollo integrado (IDE) web y en un informe de canalización web para que los desarrolladores pueden analizarlos. Automatiza la creación de una SBOM que recopile un inventario de todas las dependencias de un proyecto, y utiliza el escaneo de imágenes de contenedor y el análisis de funciones sin servidor para detectar vulnerabilidades conocidas en una imagen de contenedor, un directorio de proyecto o un servicio sin servidor.

Combina los escaneos para mejorar la visibilidad y la priorización

Cada escaneo tiene un objetivo diferente. Las pruebas estáticas y dinámicas de seguridad de aplicaciones (SAST y DAST, respectivamente) se complementan entre sí y son fundamentales para la seguridad de las aplicaciones. Y cualquier organización que recurra a bibliotecas de código abierto se beneficiará también de la SCA. Los escaneos deben integrarse en varios pasos de la canalización de integración continua/entrega continua (IC/EC) para eliminar las vulnerabilidades antes de que lleguen a un registro. Deben realizarse análisis en tiempo de ejecución para proteger a las aplicaciones de nuevas vulnerabilidades y exposiciones comunes (CVE).

La estrategia de CrowdStrike

Anticípate a las amenazas para evitar las brechas en tu empresa. CrowdStrike ha redefinido la seguridad con la plataforma nativa de la nube más avanzada del mundo, capaz de proteger cualquier carga de trabajo en la nube, evitar las brechas y permitir a las organizaciones crear, ejecutar y proteger aplicaciones nativas de la nube.

CrowdStrike Falcon® Cloud Security automatiza la seguridad y detecta y detiene la actividad sospechosa, los ataques de día cero y los comportamientos sospechosos en todas las aplicaciones de Kubernetes, contenedores y entornos de la nube. Al integrarse con los flujos de trabajo de IC/EC, las cargas de trabajo siguen protegidas mientras los equipos de DevOps trabajan a la velocidad que necesitan y con el rendimiento esperado.

Gracias a CrowdStrike® Security Cloud, la plataforma CrowdStrike Falcon® se nutre de indicadores en tiempo real, inteligencia sobre amenazas, técnicas de ataque evolutivas de los adversarios y telemetría enriquecida con datos de toda la empresa para facilitar detecciones hiperprecisas, protección y corrección automatizadas, Threat Hunting de élite y observabilidad de vulnerabilidades por prioridades.