Introducción a los enfoques shift-left y shift-right

Las aplicaciones y servicios que gestionan datos sensibles necesitan prácticas de seguridad sólidas para proteger esos datos, de manera que sean capaces de mantener la confianza de los clientes y garantizar la continuidad de las operaciones de servicio. A la hora de implementar soluciones para cumplir estos requisitos, los desarrolladores pueden adoptar un enfoque "shift-left" o "shift-right". 

"Shift-left frente a shift-right" hace referencia a cómo se integran las soluciones en el ciclo de vida del desarrollo de software (SDLC) y en las pilas tecnológicas. El enfoque shift-left se centra en incorporar medidas de seguridad desde las primeras fases del SDLC (desde la planificación hasta la codificación), abordando e identificando vulnerabilidades antes de la implementación.

El enfoque shift-right se centra en implementar medidas de seguridad tras la implementación, lo que incluye la monitorización en tiempo real, la detección de amenazas y la respuesta a incidentes para proteger las aplicaciones en producción.

Aunque el método "shift-left" ha acaparado más titulares tecnológicos en los últimos años, ambos tienen ventajas. Es importante destacar que las estrategias shift-left y shift-right no son mutuamente excluyentes. De hecho, las organizaciones que combinan ambas pueden lograr una seguridad integral y abordar los riesgos en todo el SDLC. 

En este artículo se exploran en detalle los enfoques shift-left y shift-right, se comparan sus ventajas y diferencias, y se analiza cómo se refuerza la posición de seguridad con cada uno.

Enfoque shift-left: seguridad proactiva en las primeras fases del desarrollo

El enfoque shift-left se centra en integrar la seguridad desde el inicio del SDLC. Esta estrategia permite a los equipos reducir el coste y la complejidad de los problemas de seguridad diseñando soluciones con la seguridad en mente y detectando problemas desde las primeras fases de planificación y desarrollo del proyecto. 

Técnicas utilizadas en el método shift-left

En el enfoque shift-left se usan varias técnicas diferentes. Entre ellas se incluyen las siguientes: 

• Prueba estática de la seguridad de las aplicaciones (SAST): utiliza herramientas de seguridad de aplicaciones para analizar el código fuente en busca de vulnerabilidades sin ejecutar la aplicación. Las herramientas de SAST ayudan a detectar problemas de alto impacto, como los scripts entre sitios (XSS) y las inyecciones SQL (SQLi). 
• Modelado de amenazas: evalúa las aplicaciones y los servicios para identificar amenazas y comunicar técnicas de mitigación. El modelado de amenazas puede ser muy caro porque requiere experiencia en ciberseguridad y conocimientos especializados del software.
• Prácticas de codificación seguras: consiste en formar a los desarrolladores e implementar patrones de codificación que cumplan las normas y las mejores prácticas de ciberseguridad. Una técnica sencilla y eficaz para hacer cumplir las prácticas de codificación segura es incluir los requisitos de ciberseguridad en las revisiones de código. 

Herramientas y prácticas para detectar las brechas de seguridad

Los equipos de desarrollo de software pueden automatizar la implementación de las técnicas anteriores en procesos SDLC existentes mediante configuraciones de integración continua y entrega continua (IC/EC ). El IC/EC integra herramientas de análisis estático y escaneo de código para comunicar posibles problemas y sugerir mejoras en el código. 

Al utilizar esta información durante el proceso de revisión de código, los desarrolladores tienen una forma de detectar y abordar problemas de seguridad que se podrían pasar por alto fácilmente.

Enfoque shift-right: resiliencia de seguridad en la producción

El enfoque shift-right en seguridad se centra en proteger las aplicaciones tras la implementación. En esta estrategia, capturar eventos de seguridad a medida que surgen y rastrear las amenazas en evolución en entornos reales requiere la monitorización continua y la protección en tiempo real de las aplicaciones. 

Técnicas utilizadas en el método shift-right

Se utilizan varias técnicas diferentes en el enfoque shift-right, entre las que se incluyen: 

• Prueba dinámica de la seguridad de las aplicaciones (DAST): se realizan en una aplicación compilada y en ejecución e implican pruebas de seguridad como la inyección de parámetros para comprobar comportamientos no intencionados o poco seguros. Se puede hacer manualmente o con herramientas automatizadas que intenten explotar la aplicación.
• Protección en tiempo de ejecución: entre los ejemplos se incluyen RASP y herramientas de seguridad del tiempo de ejecución de los contenedores, ambas fundamentales para proteger los entornos de ejecución de software. El riesgo en ejecución se puede reducir mediante el uso de fuentes fiables para las imágenes de contenedores y la ejecución solo de archivos binarios firmados.
• Gestión de la posición de seguridad de las aplicaciones (ASPM): estas plataformas ofrecen a las organizaciones una visión holística de todas las vulnerabilidades identificadas en aplicaciones y plataformas en la nube. Mediante la ASPM, los equipos pueden evaluar, clasificar y priorizar eficazmente qué problemas deben mitigarse primero, y proporcionar un inventario de recursos y vulnerabilidades asociadas que deben mitigarse. 

Herramientas y procesos posteriores a la implementación

Las herramientas y procesos para identificar, mitigar y responder a amenazas tras la implementación pueden incluir plataformas de detección y respuesta a incidentes que proporcionan flujos de trabajo completos para que los equipos clasifiquen, asignen y corrijan problemas a medida que se detectan. 

Mediante el análisis de comportamiento de entidades y usuarios (UEBA), las organizaciones pueden aprovechar la detección de anomalías y poner de manifiesto amenazas desconocidas que, de otro modo, se perderían con los enfoques análisis tradicionales.

Shift-left frente a shift-right: complementarios, no excluyentes

Los enfoques shift-left y shift-right no son tácticas excluyentes, sino complementarias. Adoptar lo mejor de ambos permite la detección rápida y temprana de vulnerabilidades de seguridad, asegurando al mismo tiempo la seguridad continua del software tras la implementación y creando un valioso bucle de retroalimentación. 

Estos enfoques complementarios fomentan una mejor cultura de DevSecOps, ya que los equipos pueden centrarse en sus patrones de implementación y aplicaciones para asegurarse de crear las aplicaciones teniendo en cuenta la seguridad desde la base. Un enfoque combinado también proporciona un equilibrio a las organizaciones entre la seguridad proactiva y reactiva para una cobertura completa del ciclo de vida.

Mayor resiliencia de seguridad con un enfoque equilibrado

Shift-left y shift-right son métodos complementarios que se centran en diferentes aspectos del SDLC. La plataforma Falcon de CrowdStrike ofrece un enfoque holístico que abarca todas las etapas. En las fases iniciales, Falcon Cloud Security proporciona la monitorización continua de la seguridad y el cumplimiento para aplicaciones nativas de la nube con el fin de identificar y corregir vulnerabilidades durante la fase de compilación. La ASPM también detecta errores de configuración y vulnerabilidades de manera proactiva al inicio del ciclo de desarrollo. 

En las fases posteriores, Falcon OverWatch ofrece Threat Hunting gestionado mediante la monitorización continua y la detección de amenazas para identificar y responder en tiempo real. Falcon Insight XDR también proporciona detección y respuesta ampliadas para endpoints, respaldadas por inteligencia de amenazas e IA nativa, lo que facilita la detección rápida y la corrección de incidentes de seguridad.

Si quieres empezar a reforzar tu seguridad, explora la plataforma de CrowdStrike con una prueba gratuita de 15 días y experimenta el poder de las soluciones de seguridad integradas.