Con la presión de lanzar más rápidamente, la seguridad se está moviendo hacia la izquierda dentro de la línea de desarrollo continuo en la mayoría de las organizaciones. Este imperativo está aumentando con el aumento de los ciberataques. Sin embargo, tanto la falta de capacitación como la escasa visibilidad están estancando muchas implementaciones de DevSecOps, según un estudio reciente de CSA.
DevSecOps es todavía una práctica relativamente nueva y aún no ha alcanzado la madurez en la mayoría de las organizaciones. Aunque casi todas las empresas están en camino, solo el 30% de los profesionales de seguridad dicen que implementan completamente DevSecOps a la fecha de hoy. Eso deja a la mayoría de las organizaciones en algún estado de ideación y planificación de DevSecOps.
CSA publicó recientemente su informe Secure DevOps and Misconfigurations 2021 que fue encargado por Trend Micro. El informe encontró que las configuraciones incorrectas comúnmente surgen de la configuración de seguridad. La falta de orientación interna y la accesibilidad de los recursos de seguridad también dificultan la madurez de DevSecOps.
A continuación,
algunas conclusiones importantes del informe para ver cómo pueden informar a las organizaciones a medida que avanzan para implementar DevSecOps.
Estado de adopción de DevSecOps
DevSecOps se trata de aumentar la seguridad en torno a una implementación rápida. Literalmente, coloca la seguridad en DevOps al cambiar la automatización de la seguridad a la izquierda y eliminar el límite entre DevOps y los equipos de seguridad de TI .
Si bien la mayoría de los ingenieros se dan cuenta de los beneficios de DevSecOps, integrar DevSecOps en cada organización es muy diferente. Si bien un impresionante 90% de las organizaciones se encuentra en alguna fase rumbo hacia DevSecOps, sólo el 30% está implementando DevSecOps mientras que el 24% está en la fase de planificación, el 18% está diseñando y el 18% todavía está refinando su estrategia DevSecOps. Un poco más de uno de cada diez profesionales de la seguridad dice que su equipo no tiene planes de invertir en DevSecOps.
Mirando hacia el futuro, el 42% dice que implementará DevSecOps completo en los próximos 12 meses. Pero debido a su estado incipiente actual, las configuraciones incorrectas todavía se están logrando. La razón principal citada para estas configuraciones erróneas fue defectuosa o falta de orientación interna (33%).
Muchos profesionales dicen que simplemente no hay suficiente capacitación, soporte o conocimiento interno sobre vulnerabilidades y configuraciones incorrectas. Otras razones principales de las configuraciones incorrectas incluyen configuraciones predeterminadas inseguras (18%) y negligencia (16%).
Fuera de las configuraciones incorrectas, los grupos también informan problemas con la identidad, la autorización y el acceso. Asegurar los privilegios correctos es vital para evitar ataques de escalada, que son un problema frecuente. Entre 2019 y 2020, el 80% de las empresas experimentaron una violación de datos de algún tipo, muchas de las cuales se debieron a controles de acceso mal configurados. OWASP también informó que la autorización rota es una de las principales vulnerabilidades para los puntos finales de API web de alto tráfico.
Prácticas comunes de mitigación de amenazas
Para mitigar estas amenazas, los equipos de desarrollo y seguridad deben mantener las mejores prácticas, pero ciertos problemas evitan que surjan DevSecOps. Por un lado, el 60% de los profesionales de seguridad dicen que su principal desafío es la visibilidad insuficiente de la seguridad o las brechas de cumplimiento (este es, con mucho, el desafío más común) y el 11% también menciona la incorporación inconsistente de cuentas en la nube. Finalmente, el 10% dice que la arquitectura es lenta y / o insuficiente los detiene.
Una forma de mitigar las amenazas es introducir revisiones de seguridad de rutina con más frecuencia. Sin embargo, es difícil establecer un punto de referencia definitivo aquí, ya que la frecuencia con la que las organizaciones revisan su infraestructura de nube en busca de vulnerabilidades o configuraciones incorrectas varía ampliamente. Actualmente, el 22% realiza dichas revisiones de seguridad diariamente, el 22% mensualmente, el 18% semanalmente y el 23% trimestralmente, según la encuesta. Es probable que esta tasa aumente a medida que DevSecOps se vuelva más común y automatizado dentro del ciclo de vida del desarrollo.
Mantenerse actualizado con los marcos de seguridad modernos es otra faceta que afecta la adopción de DevSecOps; y las organizaciones tienden a seguir múltiples marcos para informar su estrategia de seguridad. Más de las tres cuartas partes (78%) siguen las pautas del Instituto Nacional de Estándares y Tecnología (NIST), el 67% sigue los puntos de referencia del Centro de Seguridad de Internet (CIS), el 66% sigue la Alianza de Seguridad en la Nube (CSA), el 54% sigue la Organización Internacional para la estandarización (ISO) y el 44% dice que sigue las recomendaciones de seguridad de Amazon Web Services (AWS).
Por ejemplo, NIST, el organismo de establecimiento de estándares operado por el gobierno, estableció recientemente pautas de seguridad cibernética que recomendaban el uso de una malla de servicio y confianza cero en todos los departamentos. Estas pautas de seguridad se pueden considerar como puntos de referencia arquitectónicos, especialmente para industrias grandes y altamente reguladas .
Tipos de formación de DevSecOps
Finalmente, invertir en recursos y capacitación es otra forma de aumentar la conciencia de DevSecOps. Solo la mitad de los encuestados informaron que sus recursos de mejores prácticas de DevSecOps eran moderadamente accesibles; por lo tanto, los líderes tienen la responsabilidad de democratizar dicho conocimiento dentro de su organización.
La mayoría (81%) de los encuestados citó los artículos y la capacitación online como su forma principal de aprender sobre las herramientas de seguridad en la nube. Los talleres, conferencias y seminarios web siguen de cerca. Las organizaciones también adoptan muchos métodos internos de intercambio de conocimientos en respuesta a incidentes. Un 85% dijo que lleva a cabo un entrenamiento de concientización seguido de ejercicios (52%), simulaciones de ataque (45%) y entrenamiento de protocolo o marco de respuesta (37%).
Futuros DevSecOps en la nube
Parece que la mayoría de los equipos todavía están formulando su estrategia DevSecOps. Pero mirando hacia el futuro, el 42% dice que implementará DevSecOps completo en los próximos 12 meses. Al mismo tiempo, se proyecta más tracción en la nube en toda la industria.
En este momento, el 40% de las organizaciones tienen entre el 41% y el 99% de sus cargas de trabajo en la nube pública. Y el 55% de las organizaciones tendrán entre el 41% y el 99% de sus cargas de trabajo en la nube pública durante el próximo año. El tipo de cargas de trabajo probablemente también evolucionará en el próximo año, a medida que más organizaciones se trasladen a plataformas de contenedores , función como servicio y otras capacidades sin servidor. Sin duda, para aprovechar plenamente los beneficios que prometen estas nuevas tecnologías, las organizaciones deben responder a una nueva clase de vulnerabilidades nativas de la nube .
Sobre el informe
Cloud Security Alliance (CSA) es una organización sin fines de lucro con la misión de promover ampliamente las mejores prácticas para garantizar la ciberseguridad en la computación en la nube y las tecnologías de TI. La encuesta Secure DevOps and Misconfigurations se realizó desde julio de 2021 hasta septiembre de 2021 y recopiló más de 900 respuestas de un grupo global de profesionales de seguridad de TI que trabajan en varios sectores y tamaños de organización. Para obtener una copia completa del informe, puede intercambiar información personal por una descarga en PDF aquí . [https://cloudsecurityalliance.org/artifacts/secure-devops-and-misconfigurations-survey-report/)]
Top comments (0)