Se dice que la delincuencia aumenta en tiempos de agitación social y económica, y este es sin duda el caso de la ciberdelincuencia.

En una encuesta realizada en 2020 por VMware Carbon Black, el 90% de los profesionales de la seguridad informaron de un aumento en el volumen de ciberataques y el 80% dijo que los ataques se habían vuelto más sofisticados. Un estudio reciente de Cybersecurity Ventures concluyó que la ciberdelincuencia tendría un coste global de 6 billones de dólares en 2021, y que aumentaría un 15% anual hasta alcanzar los 10,5 billones en 2025.

Dadas las tácticas cada vez más sofisticadas de los ciberdelincuentes, las empresas están encontrando más dificultades para implementar acciones de seguridad sin ralentizar el desarrollo o afectar a las operaciones. Afortunadamente, las herramientas de DevSecOps están mejorando. Actualmente hay alrededor de mil proyectos de DevSecOps en GitHub, aproximadamente dos tercios de ellos actualizados en los últimos 12 meses. Mientras tanto, CYREBRO observó un aumento del 730% en los clientes que utilizan nuestros productos relacionados con DevSecOps en 2020.

Observar y detectar las amenazas a la seguridad durante cada fase del pipeline de DevSecOps es fundamental para proteger a tu organización de la ciberdelincuencia. Con esto en mente, presentamos nuestros cinco principales desafíos actuales para que el conjunto de herramientas DevSecOps los aborde.

1.     Imágenes Docker

Con 11,3 millones de usuarios activos mensuales, Docker es sin duda la herramienta líder para automatizar el desarrollo, la implementación y la ejecución de aplicaciones dentro de contenedores aislados. Sin embargo, a pesar de su agilidad, escalabilidad y portabilidad, Docker plantea algunos problemas de seguridad importantes.

En concreto, aunque las imágenes de Docker facilitan la descarga y el uso de contenedores al aprovechar las bibliotecas de código abierto, el 51% de estas imágenes tienen vulnerabilidades explotables, según un análisis de 4 millones de imágenes disponibles públicamente realizado por la empresa de ciberseguridad Prevasio.

Para reducir el riesgo, a menudo se recurre al escaneo del repositorio de código con la esperanza de detectar dichas vulnerabilidades, así como los errores de configuración y la divulgación de información. Sin embargo, esto suele dejar a los usuarios en una persecución interminable de vulnerabilidades y desconfiguraciones.

2. Desconfiguraciones

Una desconfiguración de seguridad es un control de seguridad que se ha configurado mal o no se ha implementado correctamente, dejando las bases de datos o los almacenes de archivos sin seguridad o directamente expuestos. No es de extrañar que los ciberdelincuentes busquen errores de configuración de seguridad que puedan aprovechar para filtrar datos sensibles.

Las desconfiguraciones son el segundo tipo de violación de datos más común después del pirateo informático, según el Informe de Investigaciones de Violaciones de Datos 2020 de Verizon. En una encuesta reciente realizada por Ermetic, una empresa de seguridad de riesgos de acceso a la nube, a 300 directores de seguridad de la información (CISO), el 67% de los encuestados dijo que la desconfiguración de la seguridad era una de las principales preocupaciones relacionadas con los entornos de producción en la nube.

En un caso reciente expuesto por el investigador de seguridad holandés Jelle Ursem y DataBreaches.net, los controles de acceso inadecuados dejaron expuestos en línea los datos médicos de más de 150.000 personas en al menos nueve repositorios de GitHub. Increíblemente, Ursem tardó menos de 10 minutos en encontrar los datos médicos expuestos. Todo lo que hizo fue buscar variaciones de frases sencillas como “companyname password” y “Medicaid password FTP” para encontrar nombres de usuario y contraseñas de inicio de sesión de sistemas potencialmente vulnerables.

3. Identidad de usuario y gestión de privilegios

La identidad de los usuarios, junto con la gestión de privilegios, es cada vez más compleja para DevSecOps. De hecho, el 77% de los incidentes relacionados con la identidad de los usuarios tienen como causa principal anomalías en el comportamiento de los usuarios, según las observaciones de CYREBRO.

Aunque muchas organizaciones cuentan con soluciones de gestión de identidades y accesos (IAM) y de gestión de cuentas privilegiadas, éstas suelen ser insuficientes para proteger los entornos en la nube. Entre las razones de ello se encuentran la acumulación de permisos innecesariamente excesivos concedidos a los usuarios y las aplicaciones para los despliegues de infraestructuras en la nube pública, la falta de estandarización y los continuos cambios de privilegios y roles.

A menudo, la elección de la solución por la que se opta puede ser un reto no menor, en el que la elección suele estar condicionada por el tipo de entorno, ya sea mayoritariamente local, en la nube o híbrido. Pero independientemente de la solución que se elija, es importante tener en cuenta que lo que está en el centro de los incidentes de seguridad impulsados por la gestión de privilegios y la IAM es el comportamiento de los usuarios.

4. Actualizaciones de software

El ciberataque de 2020 a la plataforma de monitorización del rendimiento de TI Orion de SolarWinds no fue ni mucho menos el primer ciberataque del que se tiene constancia, pero sí uno de los más notables en cuanto a su alcance. Alrededor de principios de 2020, presuntos hackers rusos patrocinados por el Estado insertaron un código malicioso en Orion, que luego fue enviado en actualizaciones de software a decenas de miles de usuarios de Orion.

El código creó una puerta trasera en los sistemas informáticos de los usuarios de Orion, que los hackers pudieron utilizar para instalar malware con el fin de espiar a víctimas desprevenidas, incluidos los departamentos del Tesoro y de Comercio de Estados Unidos y posiblemente otras agencias gubernamentales.

La lección más importante de este incidente es que las actualizaciones de software ya no son fiables para prevenir los ataques. Además, nos enseña que nunca se puede confiar completamente en ningún software.

5. Cloudificación

El paso a la nube se acelera continuamente, y se espera que el mercado mundial de SaaS alcance los 145.000 millones de dólares en 2022.

Los beneficios de la cloudificación incluyen agilidad, escalabilidad y rentabilidad, entre otros. Pero el riesgo también es claro: los ciberdelincuentes se han familiarizado con las vulnerabilidades inherentes a la computación en la nube y han perfeccionado sus técnicas para atacar los sistemas en la nube y las aplicaciones web.

Entre enero y abril de 2020, los ataques externos a cuentas en la nube aumentaron un 630%, ya que millones de empleados comenzaron a trabajar desde casa debido a las restricciones de la COVID-19, según la empresa de seguridad de software McAfee. Mientras tanto, el 33% de las violaciones cibernéticas observadas por CYREBRO se han producido en entornos de nubes múltiples o híbridas.

Qué puede hacer DevSecOps

DevSecOps puede hacer tres cosas clave para proteger a su organización de los desafíos descritos en esta entrada del blog, a saber: consolidación, compartimentación y responsabilidad.

La consolidación de las soluciones de gestión de la seguridad y la habilitación de la automatización entre plataformas es un factor clave para mejorar la seguridad. Esto se debe a que la “dispersión de herramientas” y la falta de integración entre proveedores suelen ser obstáculos para una ciberprotección eficaz. Aunque se utilicen diferentes sistemas -por ejemplo, la gestión de identidades de diferentes fuentes, como la nube, AD o SaaS-, debería utilizarse una única solución unificada de confianza cero para gestionar las identidades de la organización.

Para evitar el riesgo de ser víctima de actualizaciones de software arriesgadas, los permisos deberían estar compartimentados y distribuidos. Además, la configuración debe ser lo más precisa posible.

Por último, la ciberseguridad no es sólo una cuestión de tecnología. También tiene que ver con las personas. Aquí es donde entra en juego la responsabilidad. Las mejores herramientas para apoyar la rendición de cuentas son el análisis de big data y la inteligencia artificial, que pueden utilizarse para eliminar vulnerabilidades, violaciones de políticas y fugas de datos, así como para detectar, prevenir y responder a las brechas y ataques.