¿Cómo evaluar la seguridad de software sin ralentizar el desarrollo?
La compañía especializada en aplicación de pruebas de seguridad al software de empresas, Fluid Attacks, presentó 5 claves de cómo las compañías pueden desarrollar tecnología sin exponer la seguridad.
Fluid Attacks, compañía especializada en la aplicación de pruebas de seguridad al software de empresas, dio a conocer 5 claves de cómo las empresas pueden seguir desarrollando tecnología sin exponer su seguridad.
Y es que la automatización en los procesos se ha convertido en uno de los aliados claves para las compañías y así cumplir con cada uno de sus objetivos, pero algunas de ellas han dejado de lado la seguridad cibernética.
“Hoy en día sabemos que hay que ir a la velocidad que demande cada negocio, pero sin olvidar la precisión en términos de seguridad. Esto sólo se consigue con una combinación de automatización efectiva e inteligencia humana, que resulta fundamental para detectar todas las vulnerabilidades en los sistemas evaluados y reducir el número de falsos positivos y negativos. Así pues, siempre es recomendable que el factor humano esté presente dentro de cada ciclo de vida de desarrollo de un software”. Vladimir Villa, CEO de Fluid Attacks.
Por ello en Fluid Attacks compartieron 5 claves para agilizar los procesos de las compañías sin olvidar los aspectos de seguridad.
1) Ataque determinístico: en esta fase se buscan las vulnerabilidades que la compañía está consciente que tienen.
2) Triage al código: en esta fase se trabaja con herramientas basadas en machine learning, que permitirá a hackers éticos buscar en dónde podría haber más vulnerabilidades.
3) Equipo de ataque: esta es una de las etapas más importantes ya que los hackers con mayor experiencia atacan el software de manera dinámica y estática, recorriendo todo el código con base en l priorización (triage).
4) Equipos de fuga: en este punto se realiza un ataque transversal, con el objetivo de verificar el cierre de las vulnerabilidades previamente encontradas.
5) Equipo de re-ataque; en este paso se realizan diversos ataques sobre la tecnología para verficiar el cierre de cada una de las vulnerabilidades. Asimismo los procesos deben realizarse antes de la producción de las compañías, para que el software sea seguro.
“Nuestra metodología conduce a la detección de todas las vulnerabilidades a una gran velocidad, sin falsos positivos y sin falsos negativos. Se trata de una cadena de producción de hacking realizada de manera integral sobre las aplicaciones, que inicia desde el repositorio de código del ambiente, de manera estática, y que pasa luego a un análisis de manera dinámica e interactiva. Automatizamos lo determinístico, usamos machine learning, y con el conocimiento de expertos logramos atacar el software y determinar dónde están las vulnerabilidades y cuáles son las más críticas y de mayor impacto para el negocio”.