Desplazar a la izquierda se refiere a mover la seguridad antes en el proceso de desarrollo. Al graficar el proceso de desarrollo de aplicaciones, con el tiempo como eje X, el proceso comienza con el reconocimiento de una necesidad que una tecnología o servicio satisfará, ya sea una aplicación que se desarrolla para la venta a clientes que pagan o para uso interno. A medida que la solución avanzaba por las etapas de concepción, diseño, desarrollo, construcción y prueba, la seguridad era a menudo un paso final, antes de la implementación. La seguridad simplemente se envolvía en el exterior de la aplicación antes de su lanzamiento para los usuarios finales. Y este paso, necesariamente, agregó tiempo.
Además, una integración más estricta de la seguridad a lo largo del proceso conduce a mejores resultados de seguridad, en lugar de ponerla en marcha al final.
Cambiar a la izquierda es la manera de remediar estos problemas.
Con la publicación inmediata del software viene la publicación inmediata de cualquier riesgo.
El Seis pilares de DevSecOps: Automatización, publicado por la Alianza seguridad en la nube (CSA), afirma: “La seguridad sólo se puede lograr cuando se ha diseñado de manera integrada. Aplicar medidas de seguridad como una idea tardía es una receta para el desastre.
Las protecciones de seguridad deben seguir las mismas rutas automatizadas. La estrecha integración de la seguridad a lo largo del ciclo de vida del desarrollo no solo puede acelerar el tiempo de lanzamiento, sino también mejorar la seguridad.
El proceso tradicional de implementación de seguridad después de que se completó el desarrollo, pero antes del lanzamiento, resultó en frecuentes enfrentamientos entre los equipos de seguridad y desarrollo. A medida que los equipos de desarrollo completaron su parte de la tarea, buscaron poner la aplicación en manos de los usuarios finales, para entregar el resultado de sus esfuerzos, comenzar a recopilar comentarios y cumplir con los plazos. Por seguridad, poner freno a las liberaciones resultó en relaciones adversariales entre los dos.
Una encuesta de más de 165 desarrolladores, profesionales de seguridad de aplicaciones y DevOps realizada por ShiftLeft encuentra que el 89% de los encuestados dijo que la desconexión actual entre los desarrolladores y los equipos de ciberseguridad es el mayor inhibidor de la productividad.
Al cambiar la seguridad a la izquierda, los equipos pueden cooperar en su lugar e integrar los procesos necesarios para preparar las aplicaciones para su lanzamiento a tiempo y de manera segura.
Cambiar a la izquierda implica hacer cambios en cuándo, dónde y cómo aplicar las mejores prácticas de seguridad. La seguridad debe generar confianza con los desarrolladores y DevOps. Esútil comprender la cultura de automatización de DevOps y la velocidad con la que implementan el código.
Como parte de cambiar a la izquierda, debe proporcionar a los desarrolladores las herramientas para hacer su trabajo de manera segura sin agregar trabajo. Esto incluye la automatización de la seguridad, como realizar análisis de vulnerabilidades en el punto de implementación y generar permisos para funciones Lambda.
Si bien la seguridad debe ser proactiva, es difícil de lograr mientras se mantiene esa velocidad. Necesita tener control, gobierno y observabilidad. Los profesionales de seguridad deben habilitar, en lugar de restringir, el negocio.
Es importante que los desarrolladores entiendan los métodos de codificación segura. Esto puede permitir a los desarrolladores, en lugar de a los analistas de seguridad, comprobar y eliminar las vulnerabilidades de forma temprana.
Como dice Marco Rottigni, director técnico de seguridad a Computer Business Review, “Los desarrolladores deben contar con complementos que activen controles de seguridad y cumplimiento en cada paso del proceso DevOps, exponiendo los resultados directamente dentro de las herramientas que usan comúnmente para permitir una rápida remediación. del código vulnerable”.
Si bien ha habido progreso desplazándose a la izquierda, a menudo no es suficiente. Más del 42 % de los encuestados en la encuesta Mapping the DevSecOps Landscape 2020 de GitLab dijeron que las pruebas se realizan demasiado tarde en el ciclo de vida.
Sin automatización de la seguridad, los equipos de DevOps a menudo se ven obstaculizados por la necesidad de esperar la aprobación humana.
Como Paul Holland, escribió en Computer Weekly, “los CISO deben darse cuenta de que a los desarrolladores se les debe dar tiempo para desarrollar de manera segura y no juzgar su desempeño únicamente por el momento de construir”.
No es razonable asignar tareas adicionales para la seguridad de las aplicaciones a los desarrolladores, mientras se espera que mantengan un ritmo vertiginoso. Si bien cambiar la seguridad a la izquierda da como resultado un proceso más eficiente y puede acelerar el tiempo de comercialización, aún se debe asignar tiempo para las tareas de seguridad, como las revisiones de código.
“Los controles de seguridad no se pueden integrar con éxito sin capacidades de seguridad automatizadas que permitan una retroalimentación oportuna y significativa. Al adoptar incluso capacidades de seguridad automatizadas modestas, se pueden eliminar potencialmente clases enteras de riesgo”, dijo Sean Heide, analista de investigación seguridad en la nube Alliance.
Automatice la remediación. No cree tickets para resolver cosas que podrían resolverse de manera automatizada. Ofrezca a los desarrolladores autoservicio para evaluar la seguridad de una pila que están a punto de implementar.
Nigel Kersten, director de tecnología de campo de Puppet, destacó la importancia de implementar la automatización a escala en las prácticas de DevSecOps. “Sin [automatización escalada], las organizaciones terminarán con los mismos procesos manuales y los mismos incentivos conflictivos. Luego, en lugar de DevSecOps, estas empresas se quedan solo con Dev, Sec y Ops. "
Las soluciones dispares se quedan cortas. En particular, la seguridad de las aplicaciones no fue diseñada para adaptarse automáticamente a los cambios en las aplicaciones. La gran escala de la mayoría de las infraestructuras de nube, junto con los entornos dinámicos, hace que la seguridad sea particularmente desafiante.
Los profesionales de la seguridad actuales necesitan implementar seguridad multicapa en todos los entornos de nube, con un enfoque de seguridad y un lenguaje de políticas consistentes en todo lo que hacen. Check Point proporciona un enfoque de seguridad automatizado que protege a escala y velocidad en la nube. Realice un seguimiento de sus configuraciones con administración de postura, visibilidad de alta fidelidad alrededor de los activos. Mantenga la protección de acuerdo con las mejores prácticas, así como con sus propias políticas. Supervise y tome medidas continuamente en toda la infraestructura de la nube.