Palo Alto Networks: Cómo asegurar el desarrollo de software y la nube

Índice de Contenido
  1. La Ciberseguridad en la Nube: Palo Alto Networks organiza su Cumbre Code to Cloud
  2. CNAPP como plataforma
  3. Asegurando el pipeline de desarrollo de software
  4. Cómo la nube pública crea vulnerabilidades para CI/CD
  5. Protegiendo la cadena de suministro
  6. Palo Alto Networks Prisma Cloud para mejorar la seguridad de CI/CD
  7. Cómo Palo Alto Networks evita el "problema de la hidra"

La Ciberseguridad en la Nube: Palo Alto Networks organiza su Cumbre Code to Cloud

Palo Alto Networks llevó a cabo su Cumbre anual de Ciberseguridad Code to Cloud el jueves, centrándose en la nube, DevOps y la seguridad. Expertos discutieron tendencias, oportunidades y desafíos con la codificación y la nube.

Palo Alto Networks: Cómo asegurar el desarrollo de software y la nube - Seguridad | Imagen 1 Newsmatic

Recientemente, Unit 42 de Palo Alto Networks emitió un informe de amenazas en la nube que reveló que el equipo promedio de seguridad tarda seis días en resolver una alerta de seguridad. Su Encuesta sobre la Seguridad en la Nube Nativa reveló que el 90% de las organizaciones no pueden detectar, contener y resolver ciberamenazas en una hora. Unit 42 también publicó recientemente una nueva investigación sobre amenazas de API, que encontró que el 14,9% de los ataques a finales de 2022 tuvieron como objetivo implementaciones alojadas en la nube.

Entre los ponentes del evento estuvo Ory Segal, director de tecnología de Palo Alto Networks Prisma Cloud, quien participó en un panel sobre cómo se puede alinear la seguridad en la nube con el ciclo de desarrollo agresivo bajo el cual trabajan los desarrolladores.

Antes del evento, Segal habló con Newsmatic sobre la defensa del proceso de desarrollo de software y las plataformas de aplicaciones nativas de la nube (CNAPP).

Palo Alto Networks: Cómo asegurar el desarrollo de software y la nube - Seguridad | Imagen 2 Newsmatic

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Ir a:

  • CNAPP como plataforma
  • Asegurando el pipeline de desarrollo de software
  • Cómo la nube pública crea vulnerabilidades para CI/CD
  • Protección de la cadena de suministro
  • Prisma Cloud para mejorar la seguridad de CI/CD
  • Cambiando hacia la izquierda para evitar el problema de la hidra

CNAPP como plataforma

TR: ¿Qué constituye ahora un CNAPP (plataforma de protección de aplicaciones nativas de la nube)? ¿Qué entra dentro de esa categoría y cómo se desenredan los diferentes enfoques cuando se trata de la seguridad de DevOps, cuando se trata de ... [reducir] vulnerabilidades en aplicaciones trasladadas a la nube o escritas para entornos en la nube?

Segal: Diferentes empresas llegan al punto en el que pueden considerarse CNAPPs basados en su recorrido. Algunas comenzaron desde la seguridad de contenedores, como Twistlock (adquirida por Palo Alto Networks) o Aqua Security, por ejemplo. Algunas llegaron ... desde la gestión de la postura de seguridad en la nube. Así que realmente depende de a quién le preguntes. Pero me gusta la perspectiva de Gartner: el énfasis está en la seguridad nativa de la nube holística, por lo que no se trata de "seguridad en la nube", "seguridad de las cargas de trabajo" o "seguridad del código". Se trata de proporcionar una plataforma que te permita aplicar los tipos adecuados de controles de seguridad a lo largo del ciclo de desarrollo, desde el momento en que comienzas a codificar hasta el momento en que te implementas y monitoreas las cargas de trabajo. Y bajo eso, se incluyen muchas, muchas categorías diferentes de productos, no todos los cuales se considerarían directamente como parte de CNAPP.

TR: ¿Existen algunos ejemplos buenos de CNAPP dentro de la cascada de desarrollo o ciclo?

Segal: Obviamente, escanear las plantillas de infraestructura como código a medida que desarrollas software para asegurarte de que no estás incrustando ningún tipo de riesgo o mala configuración en la parte izquierda; realizar un análisis de composición de software para evitar o prevenir el riesgo [de código defectuoso o vulnerabilidades] desde su implementación. Incluso hacer análisis estáticos, algo que estamos explorando actualmente pero que aún no ofrecemos, pero creo que SAST (pruebas de seguridad de aplicaciones estáticas), DAST (pruebas de seguridad de aplicaciones dinámicas) e IAST (pruebas de seguridad de aplicaciones interactivas), que son pruebas generales de seguridad de aplicaciones, forman parte de eso.

TR: ¿Y más hacia la derecha, más cerca de la etapa de producción?

Cómo proteger tu computadora de los virus: métodos y consejos

Segal: Y luego, a medida que construyes el producto, escaneando y asegurando artefactos, acompañando el proceso de implementación en la nube, monitoreando y protegiendo las cargas de trabajo mientras se ejecutan. Esto incluye protección en tiempo de ejecución, firewall de aplicaciones web, seguridad de la interfaz de programación de aplicaciones, y cosas que están más relacionadas con los centros de operaciones de seguridad, monitoreando las cargas de trabajo.

Asegurando el pipeline de desarrollo de software

TR: Con todas estas aplicaciones que entran en la categoría de CNAPP, ¿hay alguna área que no sea suficientemente abordada por la mayoría de las soluciones disponibles?

Segal: Sí, además de eso, y algo que estamos explorando actualmente como resultado de nuestra adquisición de Cider Security, y algo que la mayoría pasa por alto o aún no ha pensado, es la seguridad del propio pipeline de CI/CD (integración continua/desarrollo continuo), que en entornos modernos de desarrollo consta en sí mismo de aplicaciones muy sofisticadas y complejas.

TR: Pero ¿no es el pipeline de CI/CD simplemente las cuentas en la cadena, por así decirlo? ¿Cuál es la distinción, en términos concretos, entre el pipeline de CI/CD y los procesos paso a paso de código a la nube de DevOps?

Segal: No es la aplicación que estás construyendo para tus clientes, sino la aplicación que estás usando para construir tu propio software; por ejemplo, las bibliotecas de terceros que estás incorporando, o si estamos usando Jenkins o CircleCI para construir código y generar artefactos, ¿estamos asegurando también esos puntos? Porque puedo escribir la aplicación nativa de la nube más segura y implementarla, pero si alguien de alguna manera puede alterar el pipeline en sí mismo, con mi proceso de compilación e implementación, toda la seguridad que estoy integrando en mi propio código no vale la pena.

TR: Porque alguien puede simplemente contaminar el pipeline.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Segal: Pueden incrustar malware, como hemos visto que sucedió con SolarWinds en 2020 y como hemos visto en numerosas ocasiones últimamente. Y esto es algo que ahora también consideramos parte de CNAPP, aunque a menudo no se describa de esa manera.

Cómo la nube pública crea vulnerabilidades para CI/CD

TR: ¿Cómo afectan las bases de código basadas en la nube y de código abierto y el trabajo híbrido a CI/CD?

Segal: La forma en que solíamos construir software, y no me refiero a los lenguajes y los marcos de trabajo, me refiero simplemente al proceso de construcción en sí, ejecutábamos la gestión de código fuente localmente, en un servidor, ni siquiera en un centro de datos, sino en nuestra propia infraestructura de TI. Extraíamos y enviábamos código localmente, lo compilábamos y luego lo quemábamos en un CD y se lo enviábamos a nuestros clientes. Hoy en día, la mayoría de las organizaciones con las que trabajamos utilizan algún tipo de repositorio GIT, completamente en Internet público, y utilizan cada vez más servicios para realizar la compilación. Jenkins, GitLab, CircleCI, por ejemplo, la mayoría de los cuales se consumen como plataformas de compilación como servicio.

TR: Entonces, no en sentido local y no protegido dentro de un perímetro?

Segal: En esencia, todo el flujo de trabajo se aloja en Internet público hasta cierto punto. Además, los desarrolladores a menudo usan sus propias computadoras portátiles para desarrollar, a menudo accediendo a sus repositorios GIT a través de un navegador. Y si resulta que reciben y responden a un correo electrónico de phishing u otro ataque de ingeniería social, estarían vulnerables a que el actor los manipule y robe, por ejemplo, tokens de sesión del navegador, lo que luego daría al atacante acceso directo al repositorio de GitHub. A partir de ahí, pueden comenzar a contaminar el proceso de desarrollo. Entonces, desde el punto de vista de la confianza cero, estamos exponiendo los puntos más sensibles en la forma en que desarrollamos software hoy en día, por lo que no está muy bien controlado. Así que no, ya no hay perímetro.

Protegiendo la cadena de suministro

TR: En términos de proteger la cadena de suministro, volviendo a otros productos diseñados para garantizar la higiene del pipeline de CI/CD, tengo conocimiento de productos, algunos de código abierto, como in-toto, que asegura firmas para cada paso en el proceso de desarrollo, de modo que no hay puntos invisibles y vulnerables.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

Segal: He visto ese proyecto. Hace algunos meses, adquirimos una empresa en Israel, una startup llamada Cider, que realmente fue pionera en este espacio. Y como parte de esa adquisición, estamos creando un nuevo módulo de seguridad que aplica dispositivos de seguridad al pipeline de CI/CD.

TR: ¿Qué hace esto por los equipos de seguridad?

Segal: Para una persona de seguridad, "enciende las luces", iluminando los pipelines de desarrollo, porque hoy en día los equipos de seguridad informática están completamente fuera del proceso de CI/CD, debido al hecho de que hemos pasado de un modelo en cascada a un modelo de envío, y eso significa que grandes porcentajes de nuestros clientes están enviando código varias veces al día, o varias veces a la semana. Hay mucho estrés competitivo para que los equipos desarrollen y envíen cada vez más cosas nuevas cada semana, por lo que los desarrolladores están muy ocupados con la codificación de funcionalidades. Incluso esperar que usen análisis de código estático es un poco irreal. En este paradigma, los equipos de seguridad de TI o de seguridad de aplicaciones no pueden ser los puntos de estrangulamiento. No pueden ser bloqueadores; deben ser percibidos como asistentes.

TR: ¿Y qué significa eso en la práctica?

Segal: Eso significa que no pueden detener los procesos para escanear cada código que se está enviando. Y definitivamente no tienen ninguna visibilidad sobre la naturaleza de los pipelines de CI/CD, o hacia dónde están enviando el código los desarrolladores, o cuáles son los artefactos y dependencias o si existen riesgos, como si los complementos de compilación como servicio tienen acceso al código.

TR: ¿Por "artefactos" te refieres a binarios?

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

Segal: Podrían ser binarios, imágenes de contenedor, código de funciones sin servidor e incluso imágenes de EC2 (plataforma de informática en la nube de Amazon). Incluye todos los paquetes de terceros, generalmente empaquetados como imágenes o funciones listas para ser enviadas a la nube.

Palo Alto Networks Prisma Cloud para mejorar la seguridad de CI/CD

TR: Entonces, están lanzando un producto específico de Palo Alto Prisma Cloud para asegurar CI/CD.

Segal: Sí, planeamos agregar un módulo de seguridad de CI/CD a la plataforma Prisma Cloud para ayudar a asegurar la cadena de suministro de software. Comienzas incorporando tus cuentas en la nube, tus repositorios de código, tus procesos de compilación. Y luego comenzamos a escanear todo. Escanearemos tu código a la izquierda. Escanearemos esos artefactos relacionados, como las imágenes de contenedor, cuando se construyan, y aplicaremos protección en tiempo de ejecución a la derecha. Y todo el proceso es gobernado y operado por el equipo de seguridad en la nube, que es responsable del proceso de principio a fin, hasta que se implemente en la nube. Se aseguran de que la cuenta en la nube esté segura, de que no tengas activos con riesgos que se implementen en la nube.

TR: Obviamente, cambiar hacia la izquierda es fundamental porque una vez que hayas implementado en la nube bases de código defectuosas o vulnerables, has creado una hidra, ¿verdad?

Segal: Una línea de código, por ejemplo, en un archivo que escribes, se coloca en un repositorio que puede generar múltiples imágenes de contenedor que se implementan en múltiples clústeres en varias cuentas en la nube. Y así, si tuvieras que abordar el problema en la parte derecha, tendrías que arreglar y parchar miles de instancias del mismo problema.

Cómo Palo Alto Networks evita el "problema de la hidra"

TR: Si esperas hasta que ya esté en producción, estarás lidiando no con un problema, sino con miles.

¡Alerta! Un nuevo gusano de Linux está propagándose

Se convierte en un problema diseminado. ¿Cómo lo solucionas?

Segal: Piénsalo de esta manera: Si cometes un error en el código de una funcionalidad del carrito de compras en tu aplicación, que ahora se implementa en 5,000 contenedores que se ejecutan de manera redundante para admitir el tráfico en múltiples nubes: Google Cloud, AWS, Azure, lo que sea, en múltiples regiones. Ahora recibes una alerta de escaneo desde el lado de tiempo de ejecución que indica que tienes 5,000 instancias vulnerables. Si tu plataforma es lo suficientemente inteligente, puedes rastrearlo todo hasta esa línea de código errónea y ese código específico cometido por ese desarrollador específico. Puedes abrir un ticket a ese desarrollador para que solucione el problema y lo resuelva en esas miles de instancias. Además, querrás priorizar estos problemas: Digamos que estás examinando los resultados a nivel de código y ves mil problemas que debes solucionar. ¿Cómo sabes cuál es el problema más grave? Si ahora tienes información del entorno en vivo, puedes identificar el código vulnerable que se utiliza en un entorno de producción crítico, en comparación con un problema que solo está en tu entorno de pruebas, que no es tan grave y ciertamente no es una amenaza inminente. Estos son los tipos de cosas que supuestamente permite hacer un CNAPP.

TR: Bueno, eso es crítico porque ahorra mucho tiempo, ¿potencialmente?

Segal: Así es, porque hay millones de dependencias potenciales y realmente solo necesitas centrarte en las que son relevantes. Tener esa visibilidad en tiempo de ejecución, y no solo mirar el lado estático, es lo que puede marcar una gran diferencia. En Prisma Cloud, por ejemplo, nuestra Protección de Cargas de Trabajo en la Nube registra qué paquetes de software se cargan realmente en la memoria de los contenedores en ejecución. Y esto es oro. Estos datos son exactamente lo que necesitas para saber cómo priorizar lo que quieres solucionar primero.

Cuánto cuesta instalar y mantener un firewall empresarial

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Palo Alto Networks: Cómo asegurar el desarrollo de software y la nube , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.