La filosofía shift-left: Que no crezca el fuego
Últimamente hay una conversación muy arraigada en relación a la seguridad basada en ofensiva. Contratar a un penetration tester (o utilizar un servicio externo como BugCrowd) es algo que está a la orden del día en las empresas tecnológicas. Todo el mundo tiene vulnerabilidades en producción que debe arreglar. Si crees que eres la excepción y no tienes ninguna, eso simplemente significa que tú no las has visto… todavía. Pero puede que alguien más sí. Alguien que no tengas en nómina.
Pero aun con este control en su lugar, sigue habiendo un problema de detección de vulnerabilidades que estás analizando en un entorno de producción desplegado. Estás colocando las vías mientras estás en una locomotora en marcha y sin frenos.
¿No llega con tener un pentester detectando vulnerabilidades?
Un equipo de penetration testing para infraestructura o aplicación a día de hoy se han considerado de la manera incorrecta. Se tienen como equipo de seguridad, que detecta y avisa de los problemas, y se encarga de esto de forma exclusiva. Aquí es donde entra el problema: llegan tarde. Esas vulnerabilidades ya están en producción, y por cada hacker que tienes en plantilla hay cien más atacándote por diversión y beneficio.
¿Necesito más elementos que el departamento de pentesting?
El red team que te reporta vulnerabilidades debería ser el último eslabón de la cadena. El equipo de mentes creativas que sabe saltarse las defensas que has implementado en el resto del proceso de desarrollo, para ser un aliciente de mejora en todo el entorno, pero la seguridad debe venir desde el principio del proceso de desarrollo, o lo que DevOps llama la filosofía shift-left.
¿A la izquierda de qué?
Recordemos el famoso símbolo infinito de devops:
Como el nombre indica, la idea es que tus implementaciones y controles de seguridad existan desde la fase de planning y desarrollo, para poder detectar los problemas de seguridad antes de que puedan llegar a desplegarse en ningún entorno donde los atacantes pudieran aprovecharlo.
¿Cómo puedo implementar esta filosofía al proceso de DevOps?
En este artículo sobre «La filosofía shift-left: Que no crezca el fuego» te explicaremos cómo.
Hay herramientas que pueden ayudarte al control de seguridad en el lado izquierdo de DevOps como VeraCode o SonarQube, pero de nada sirven sin formación. Igual que la metodología DevOps es más un concepto de procesos que de herramientas concretas, de nada sirve tener escáneres de seguridad que te avisan de vulnerabilidades si el equipo de desarrollo no sabe actuar frente a ellas. La parte más importante del desarrollo seguro es tener la concienciación de que se debe llevar a cabo ese control, y que es una parte del proceso tan importante como el resto.
¿Cómo implemento este proceso en mi equipo de desarrollo?
Hay dos pasos fundamentales para implementar la filosofía shift-left a tu entorno de DevOps. Primero debes darle a tu equipo de desarrollo las herramientas necesarias para llevar a cabo estas tareas de control de seguridad. Y segundo, no les eches a los leones con esta nueva suite complicada. Tiempo dedicado, concienciación y formación para dominar de forma eficiente esta nueva forma de trabajar. Asegúrate que la seguridad es un paso más del proceso de desarrollo, no una piedra en el camino.
Esto suena a que va a llevar su tiempo…
¡Aquí es donde entra Geko! Tenemos amplia experiencia en DevOps y tenemos acceso a un potente equipo de seguridad a través de Claranet Cybersecurity. Danos un toque y explícanos tu situación, y agendamos un café para ver cómo podemos ayudar a que tengas menos fuegos en producción.