¿Cómo puede la orquestación y correlación de seguridad de aplicaciones (ASOC) mejorar la eficiencia de DevSecOps?
¿Cómo puede la orquestación y correlación de seguridad de aplicaciones (ASOC) mejorar la eficiencia de DevSecOps?
Las herramientas de orquestación y correlación de seguridad de aplicaciones (siglas en inglés ASOC: Application Security Orchestration and Correlation) permiten a los equipos de desarrollo y seguridad acelerar el proceso de AppSec sin sacrificar la calidad.
En su informe "Hype Cycle for Application Security" de 2019, Gartner reveló una nueva categoría de herramientas de alta prioridad llamada Orquestación y Correlación de Seguridad de Aplicaciones (ASOC). ASOC ofrece tres beneficios principales para el proceso de seguridad de aplicaciones (AppSec) dentro de las organizaciones: eficiencia, escalabilidad y responsabilidad.
En este artículo vamos a resumir los beneficios de cómo una herramienta ASOC pionera y líder de mercado como Synopsys CodeDX puede ayudar al equipo de DevSecOps a funcionar mejor.
¿Qué es ASOC?
Gartner creó la categoría de herramientas ASOC al combinar las categorías de correlación de vulnerabilidades de aplicaciones (AVC: Application Vulnerability Correlation) y orquestación de pruebas de seguridad de aplicaciones (ASTO: Application Security Testing Orchestration).
Las herramientas AVC agilizan el proceso de seguridad de aplicaciones (AppSec) al correlacionar y al deduplicar los resultados de una amplia variedad de herramientas de pruebas/testeos de AppSec, lo que genera un único conjunto de resultados. Las herramientas de AVC también priorizan las vulnerabilidades identificadas, para que se pueda administrar la reparación de manera más eficiente.
Las herramientas ASTO integran herramientas de prueba de seguridad de aplicaciones a lo largo del ciclo de vida de desarrollo de software (SDLC), promoviendo un enfoque DevSecOps para el desarrollo de software.
Estas categorías se fusionaron para crear ASOC porque muchas organizaciones necesitan capacidades AVC y ASTO, y varios proveedores en el mercado las proporcionaban a través de una única herramienta.
Gartner define las herramientas ASOC cómo aquellas que “optimizan las pruebas y la corrección de vulnerabilidades de software mediante la automatización de los flujos de trabajo. Automatizan las pruebas de seguridad al incorporar datos de múltiples fuentes (estáticos, dinámicos e interactivos [SAST/DAST/IAST]; análisis de composición de software [SCA]; evaluaciones de vulnerabilidad y otros) en una base de datos. Las herramientas de ASOC correlacionan y analizan los hallazgos para centralizar y priorizar los esfuerzos de remediación. Actúan como una capa de gestión entre el desarrollo de aplicaciones y las herramientas de prueba de seguridad”.
Para calificar a una herramienta en la categoría ASOC dicha herramienta debe cumplir con ciertos criterios que la diferencian de las herramientas estándar pruebas/escaneos de AppSec:
• Debe integrarse con una amplia gama de herramientas comerciales de prueba de AppSec.
• Debe correlacionar los hallazgos de estas herramientas.
• Debe proporcionar capacidades de orquestación.
Las herramientas completas de ASOC se integran con motores de integración continua y entrega continua (CI/CD). Al evaluar las herramientas de ASOC, las siguientes capacidades son importantes:
• Correlación y análisis de resultados de una amplia gama de herramientas de prueba de AppSec.
• Integración con sistemas de seguimiento de defectos (como por ejemplo JIRA).
• Integración lista para usar y soporte para pruebas de seguridad, desarrollo y herramientas de CI/CD existentes.
• Velocidad y precisión de correlación y análisis.
• Alcance y naturaleza de los informes, incluidas las métricas técnicas, así como el análisis comercial y de riesgos.
Tres formas en que ASOC mejora la eficiencia de DevSecOps.
Primera: Puede priorizar las vulnerabilidades más críticas de cara a la remediación para asignar adecuadamente los recursos.
La asignación de recursos es un desafío al que se enfrentan muchos equipos de AppSec. Las herramientas de AppSec descubren una amplia gama de posibles problemas, algunos pueden ser falsos positivos y otros pueden simplemente no ser relevantes para su organización. La cantidad de tiempo necesaria para realizar la evaluación de posibles vulnerabilidades puede debilitar el proceso de SDLS a muchas empresas.
Un estudio de IEEE detectó que lleva un promedio de 10 minutos clasificar un hallazgo y determinar si un problema es explotable y necesita ser reparado. Además, los estudios han demostrado que un promedio del 66 % de los hallazgos de la herramienta SAST promedio son irrelevantes (falsos positivos). Esto se traduce en una increíble cantidad de tiempo dedicado a evaluar hallazgos que resultan ser falsos positivos o irrelevantes. No importa lo grande sea su equipo de AppSec, ninguna organización puede permitirse el lujo de perder el tiempo investigando problemas que no representan una amenaza real para la seguridad de las aplicaciones.
La priorización de vulnerabilidades es tan importante para los desarrolladores como para la seguridad. El desarrollo ágil requiere una iteración rápida. Los defectos más críticos deben abordarse antes de que se lleve a cabo la siguiente compilación para garantizar que se mantenga la seguridad durante todo el proceso de desarrollo. Las herramientas de ASOC pueden priorizar las vulnerabilidades en función de la capacidad de explotación y asignar una puntuación de gravedad a cada problema. Esto permite que su equipo de seguridad centre su atención en las vulnerabilidades que representan una amenaza real para su organización.
Si su aplicación debe cumplir con regulaciones como HIPAA y PCI DSS, una herramienta de ASOC puede verificar su código base, identificar las líneas exactas de código que suponen una violación y sugerir formas de hacer que se cumpla. Estos tipos de problemas de cumplimiento suelen ser de alta prioridad, ya que pueden dar lugar a sanciones y multas graves.
Las herramientas avanzadas de ASOC tienen una capacidad integrada que utiliza el aprendizaje automático para predecir automáticamente qué hallazgos de vulnerabilidad son los más importantes, en función de las decisiones de clasificación anteriores. Cada 240 hallazgos categorizados ahorra automáticamente a su organización el equivalente al trabajo de una semana de un empleado a tiempo completo. Las capacidades de priorización proporcionadas por las herramientas de ASOC brindan a los profesionales y desarrolladores de seguridad la información que necesitan para asegurarse de que las mayores amenazas se aborden antes del próximo lanzamiento.
Las herramientas de ASOC también ayudan a gestionar la remediación, lo que permite que la seguridad asigne tareas a los desarrolladores y realice un seguimiento del progreso. La integración con las herramientas de seguimiento de problemas y con los entornos de desarrollo IDE facilitan que los desarrolladores aborden los problemas, ya que pueden corregir los problemas directamente dentro de su flujo de trabajo preferido. Independientemente del tamaño del proyecto de AppSec en ejecución, la asignación eficiente de recursos es esencial para crear un proceso de desarrollo ágil que mantenga la seguridad como una prioridad principal.
Segunda: Puede gestionar de forma centralizada los resultados de una gran cantidad de herramientas de AppSec en múltiples proyectos y departamentos.
DevOps surgió cuando los equipos de desarrollo y operaciones comenzaron a trabajar más de cerca para respaldar la metodología de desarrollo ágil. A medida que DevOps siguió evolucionando, la seguridad se integró en el proceso, acuñando el término DevSecOps. Este fue un paso importante, ya que la seguridad de las aplicaciones exige una atención total en todas las etapas de diseño y desarrollo. Sin embargo, a menudo ha sido un desafío para los equipos de seguridad mantenerse al día con los “sprints ágiles” de DevOps.
• Las herramientas de prueba de seguridad de aplicaciones estáticas (SAST) examinan la aplicación desde adentro, buscando vulnerabilidades en el código fuente, el código de bytes o los archivos binarios de la aplicación.La seguridad de las aplicaciones implica el uso de varios tipos de herramientas de prueba de AppSec:
• Las herramientas de prueba de seguridad de aplicaciones interactivas (IAST) combinan herramientas SAST y DAST mediante el uso de tecnología de instrumentación para aprovechar la información dentro de la aplicación en ejecución para identificar vulnerabilidades.• Las herramientas de prueba de seguridad de aplicaciones dinámicas (DAST) abordan la aplicación desde el exterior, asumiendo el papel de un robot atacante.
• Las herramientas de modelado de amenazas como STRIDE y DREAD identifican y evalúan vulnerabilidades potenciales.• Las herramientas de análisis de composición de software (SCA) analizan aplicaciones para software de código abierto y de terceros para detectar código vulnerable.
• Las pruebas manuales pueden garantizar que el código de la aplicación sea seguro y de alta calidad.
Es importante tener en cuenta que hay una serie de herramientas en el mercado que se enfocan en desafíos específicos dentro de la seguridad de las aplicaciones. Por ejemplo, una herramienta SAST puede encontrar debilidades en el código propietario, mientras que una herramienta SCA puede detectar vulnerabilidades en el código fuente abierto. La combinación de herramientas garantiza una imagen completa del código base de su aplicación.
Sin embargo, cada herramienta muestra resultados en un formato diferente, y varias herramientas pueden encontrar el mismo problema potencial. Descartar largas listas de resultados de múltiples herramientas para eliminar duplicados y determinar qué vulnerabilidades son reales y representan la mayor amenaza es ineficiente y requiere mucho tiempo, y hace que sea casi imposible que la seguridad se mueva a la misma velocidad que el desarrollo.
• Un centro único y central para la seguridad de las aplicaciones.Además, las herramientas de ASOC eliminan estos problemas al proporcionar:
• Correlación automática de resultados de múltiples herramientas de AppSec y pruebas manuales en un solo conjunto de resultados.• Compatibilidad con amplio portfolio de herramientas comerciales SAST, DAST e IAST.
• Inclusión de herramientas para rastrear y remediar vulnerabilidades.• Integración con entornos de desarrollo populares y herramientas de seguimiento de problemas.
Estas funciones permiten a las organizaciones ofrecer una mejor cobertura de vulnerabilidades y pruebas de software más efectivas que arrojan menos falsos positivos y no duplican los resultados. Obtiene una vista única de los problemas de AppSec, sin importar cuántas herramientas esté usando. Esto le permite identificar rápidamente dónde se encuentran los riesgos más importantes y abordarlos antes de que se conviertan en un problema.Las herramientas de ASOC permiten a su equipo de seguridad acelerar el proceso de AppSec sin sacrificar la calidad, fomentando una mejor relación entre los equipos de desarrollo y seguridad. Un enfoque de DevSecOps puede convertirse en una realidad, lo que le permite a su organización satisfacer la demanda de un desarrollo rápido de aplicaciones seguras.
Tercera: Puede acceder a métricas que muestran el rendimiento de la gestión de vulnerabilidades y AppSec a lo largo del tiempo en su organización.Es imposible saber si su organización está mejorando en la seguridad de las aplicaciones si no puede medir el rendimiento. Las métricas pueden proporcionar información importante para los ejecutivos de nivel C y para los miembros del equipo de desarrollo y seguridad en medio de las pruebas de AppSec.Por ejemplo, los CISO pueden querer datos sobre el número total de vulnerabilidades de las aplicaciones y su gravedad. Estos datos indican cómo lo está haciendo su organización a lo largo del tiempo para reducir la cantidad total de amenazas. Las métricas sobre la gravedad son igual de importantes; revelan el peligro general para la organización. Las métricas de gravedad también ayudan a los miembros del equipo de seguridad a priorizar los problemas, de modo que los más urgentes puedan abordarse primero.Los datos históricos sobre la cantidad de nuevas vulnerabilidades muestran cuántos problemas se presentan con una nueva versión. Esto es importante para los equipos que siguen la metodología de desarrollo ágil, ya que valida si la seguridad recibe la atención que requiere durante la iteración rápida. Los CISO pueden usar estos datos para monitorizar el riesgo general, y los gerentes de AppSec pueden aprovecharlos para evaluar la calidad del código que escriben los miembros del equipo.No basta con saber cuántas vulnerabilidades se identifican; El promedio de días hasta la resolución es otra métrica importante de AppSec. Cuanto más persiste un problema, más probable es que sea explotado. Los gerentes pueden usar esta métrica para evaluar los esfuerzos de remediación e identificar las ineficiencias. Los tipos de vulnerabilidades encontradas también son importantes. Si conoce los tipos más comunes de vulnerabilidades en sus aplicaciones, puede capacitar a su equipo de seguridad y desarrolladores para escribir un mejor código y prevenir estos problemas, además de solucionarlos más rápidamente cuando ocurran.Las herramientas de ASOC proporcionan las métricas que los CISO, los gerentes de AppSec y los administradores de seguridad, así como los miembros del equipo de seguridad y los desarrolladores necesitan para mejorar con el tiempo.Las características adicionales que debe buscar en una herramienta ASOC incluyen:• Una pantalla visual de métricas, para que pueda ver rápida y fácilmente el rendimiento de AppSec a lo largo del tiempo e identificar tendencias.• Un tablero central que proporciona métricas interactivas, para que pueda descubrir tendencias y ver información crítica de AppSec rápidamente.A medida que las herramientas de ASOC se vuelven más populares, es importante que las organizaciones entiendan cómo pueden beneficiarse de ellas. Le recomendamos publicaciones adicionales en nuestra serie de artículos sobre ASOC para descubrir cómo puede lograr escalabilidad y responsabilidad dentro de AppSec en toda su empresa.Jesús RodríguezIberia Regional Sales & Channel ManagerSynopsys - Software Integrity Group