La gran mayoría de las organizaciones se enfoca en amenazas conocidas, sin embargo, algunos atacantes logran pasar desapercibidos de su radar explotando vulnerabilidades de “día cero” en el desarrollo seguro.
Este tipo de ataques aprovecha fallas de seguridad desconocidas por los desarrolladores y proveedores para atacar una aplicación de software o sistemas completos. Al ser un vector de ataque cada vez más común, es necesario identificar los riesgos asociados y mejorar las prácticas de desarrollo seguro. En la sesión se revisaron temas relevantes como:
- El contexto actual con el que se abordan los proyectos de Desarrollo.
- La línea de tiempo alrededor de un ataque del día cero.
- Caso Equifax y los efectos de una actualización aplazada.
- Desarrollos robustos desde el origen: Metodología SDLC.
Te compartimos la grabación completa de la sesión.
Desarrollo Seguro: La mejor estrategia para evitar ataques del día cero
Si no puedes visualizar el webinar da clic aquí
Consulta las respuestas de Esteban San Román a las preguntas realizadas por la audiencia
PREGUNTAS
1.- Placido Álvarez.
¿Cuál es la mejor forma de asegurar que un desarrollador genere un código con base en las buenas prácticas para que no tenga muchas vulnerabilidades al término de su desarrollo?
Cuando hablamos de seguridad NO podemos hablar de absolutos, si algo que solucionas funciona bien hoy, el día de mañana no hay garantía de que la solución sea suficiente. La razón de esto es que, así como la tecnología evoluciona, las amenazas también lo hacen y eso nos obliga a constantemente revisar el trabajo hecho y eso lo logramos con el Monitoreo continuo, el Análisis de Vulnerabilidades, Pruebas de Penetración y con una postura de mejora continua.
Lo que SI podemos señalar es que el trabajo de crear desarrollo seguro debe recaer en lo “razonablemente bien hecho”, si se siguen mejores prácticas disponibles, todo se está haciendo con los mejores elementos de conocimiento disponibles y el producto del desarrollador tendrá de entrada un muy buen nivel de calidad.
2.- Eduardo Hernández.
¿Algún portal que recomiende para la búsqueda de vulnerabilidades detectadas en plataformas de desarrollo?
Las mejores herramientas están en los portales de los organismos de seguridad en cada país, el CERT se encuentra en cada país de recabar la información que se va encontrando a nivel mundial a fin de que quienes tienen acceso a esos sitios estén lo más actualizados dentro de lo posible.
A continuación, te comparto algunos otros sitios que son buenas referencias:
- Base de datos nacional de Vulnerabilidades (nvd.nist.gov).
- Enumeración de debilidades comunes (cwe.nist.gov).
- Evaluación armonizada de amenazas y riesgos (www.cse-cst.gc.ca).
- Planificación y gestión de contingencias (contingencyplanning.com).
- Proyecto de seguridad de aplicaciones web abiertas (OWASP) (www.owasp.org).
¿Qué cursos recomienda para fortalecer el Desarrollo seguro, en un equipo de desarrollo de software?
La (ISC)2 tiene un curso de certificación para Desarrollo Seguro, CSSLP(Certified Security Software Lifecycle Professional) que entra a profundidad en los temas alrededor del Ciclo de Vida del Desarrollo Seguro.
Además de este curso hay ofrecimientos en SANS Institute e Ec-Council que abordan esta disciplina.
OWASP realiza anualmente conferencias donde se abordan temas alrededor del desarrollo web.
¿Qué cursos recomienda para un equipo de pruebas de software?
Los cursos para pruebas pueden tomarse con los mismos fabricantes. En la conferencia yo hablé de IBM (Appscan), HP (Fortify), Checkmarx, Veracode, Accunetix.
Estos cursos generalmente se hacen en Estados Unidos, pero con la coyuntura de la Pandemia es posible que encuentren ofrecimientos en línea.
3.- Salvador Paz.
¿Qué opinas de las opciones Open Source para análisis estático y/o dinámico?
En Open Source podemos encontrar de todo: herramientas robustas y utilerías, el gran reto que encontramos en esas herramientas es que dependen de la retroalimentación de la comunidad para mejorarse, no hay, como sí encontramos en los fabricantes presupuestos dedicados a la Investigación y Desarrollo que es lo que hace que un producto eventualmente se vuelva la herramienta de preferencia.
En Open Source, la mejor fuente para conseguir información y herramientas para realizar pruebas es OWASP
4.- Ricardo Vargas.
¿Existe algún estándar de desarrollo seguro de software y del concepto de DevHub que se tenga en la industria?, ¿Conoce cómo se ha implementado?
Tengo muy poco conocimiento de Devhub, no hubiera podido contestarte esta pregunta durante la conferencia, pero como la recibo por esta vía, tuve oportunidad de investigar un poco y de lo que veo, lo que te recomiendo es que te pongas en contacto con la comunidad para ir viendo qué información de mejores prácticas ya está disponible e ir proponiendo temas de discusión que ayuden a abordar nuevos temas.
5.-Miguel Ángel Guillen Reyes.
¿Existe alguna norma o estándar para pruebas de estrés?
No hay estándares, hay herramientas donde puedes simular el nivel de transaccionalidad que puedes llegar a tener para determinar la capacidad del aplicativo.
Los estándares que hoy hay disponible son sobre el proceso de creación del software, dentro del NIST un estándar que te recomiendo que aún está en draft es el SP800-154.
Conoce al ponente de este webinar
ESTEBAN SAN ROMÁN
Especialista en Seguridad de la Información y Ciberseguridad
CISSP, CISA, CRISC, CDPSE, CEH, ITIL, ISO 27001 LA/LI
Te invitamos a leer “Desarrollo seguro de software y aplicaciones”.