AAS hoy
La seguridad de aplicaciones y API (AAS) ha sido un conjunto de herramientas de seguridad unificadas durante bastante tiempo y ha sido verdaderamente innovadora en la extensión de cobertura que proporciona. Los productos en este ámbito ofrecen servicios como protección contra ataques de denegación de servicio distribuido (DDoS) a nivel de aplicación, seguridad para evitar la apropiación de cuentas, protección para API, seguridad de aplicaciones web, entre otros. A medida que estos productos y sus diversas funcionalidades se han ido fusionando, también han surgido capacidades avanzadas, como la detección de fugas de datos que pueden identificar ataques de filtración de datos extremadamente lentos y la seguridad de aplicaciones basada en la seguridad de API.
AAS mañana
A pesar de todas las funciones que ofrecen estas herramientas, los clientes demandan más. Estamos presenciando una integración de toda la seguridad tanto en el lado de la producción en un único lugar como la posibilidad de que la seguridad del desarrollo se integre en las ofertas. De hecho, algunos productos ya incluyen pruebas de seguridad de aplicaciones estáticas (SAST), también conocidas como análisis de seguridad del código fuente.
Consolidación de la seguridad integral
Inicialmente, la idea de consolidar todos los problemas de seguridad en un solo producto o plataforma puede parecer limitante en cuanto a opciones y crear un objetivo único para posibles ataques; no obstante, este enfoque expansivo tiene beneficios. Más allá de la obvia preferencia de los clientes por un único proveedor responsable, este enfoque abarca ventajas más amplias para cualquier tipo de oferta: aquel subconjunto de clientes es tanto el impulsor como el mercado objetivo. Pero en el caso de AAS, hay mucho más que considerar.
Incorporación de capacidades de seguridad del desarrollo
Por ejemplo, la integración profunda de SAST mejora la calidad de AAS. La combinación de herramientas de seguridad de API (a menudo solo una verificación de interfaz sin evaluación real del código subyacente) con SAST proporciona información crucial sobre dicho código. Si una llamada API supera las pruebas de seguridad según los resultados, puede que no sea evidente que exista una falla de seguridad subyacente en la fuente lista para ser explotada.
SAST se enfoca en buscar vulnerabilidades conocidas en el código fuente y ayudar a corregirlas a los desarrolladores. También reconoce prácticas de codificación potencialmente riesgosas pero no inherentemente inseguras en un archivo dado. Esta información, transmitida al firewall de aplicaciones web (WAF), se puede usar para crear protecciones para la aplicación web, o bien, al aplicarse a la función de seguridad de API, para restringir vigorosamente los rangos de respuesta para variables específicas.
La seguridad del desarrollo ofrece SAST, pruebas de software de aplicaciones en tiempo real (DAST), pruebas interactivas de software de aplicaciones (IAST) y, a menudo, autodefensa de aplicaciones en tiempo de ejecución. Se centra más en el lado del desarrollo de DevOps y, en ocasiones, SAST/DAST se integran directamente en el entorno de desarrollo integrado (IDE). Esta constituye la otra mitad de la seguridad de las aplicaciones, y conforme observamos una inclusión irregular de SAST y DAST en los productos AAS, esperamos que la tendencia continúe hasta que los clientes interesados puedan disponer de una única fuente de seguridad. Por supuesto, la clave debe ser la satisfacción del cliente.
Inclusión de SBOM
Si tuviéramos que elaborar una lista de características deseables, la primera adición serían las listas de materiales de software (SBoM). A pesar de que actualmente todos los proveedores de seguridad generan SBoM, sería ideal que los proveedores de AAS incorporen los dos formatos principales de SBoM (intercambio de datos de paquetes de software (SPDX) y CycloneDX (CDX)) y los utilicen como parte integral del entorno de seguridad y protección general.
La importancia fundamental de los SBoM radica en su capacidad para identificar todas las bibliotecas y componentes de código abierto en el árbol de compilación de una aplicación. Posteriormente, esta información puede emplearse para comparar vulnerabilidades conocidas e informar sobre la arquitectura de seguridad de la aplicación como se implementa en AAS.
Si bien muchos productos de seguridad cuentan con esta funcionalidad, aún no se ha popularizado en el ámbito de AAS. Incluso con los proveedores capaces de generar un SBoM, su integración en el proceso todavía no está optimizada. No obstante, dado su gran potencial, esperamos que pronto se convierta en una característica esencial de las soluciones AAS: la generación y/o importación, junto con el uso de información de SBoM en todos los servicios de seguridad que ofrece la plataforma.
En seguridad, más información siempre es mejor
Básicamente, en el ámbito de la seguridad, más información siempre resulta beneficiosa. Por lo general, las herramientas AAS (derivadas de herramientas de seguridad WAF y API) consideran la seguridad desde una perspectiva activa de ataque/defensa. Este enfoque es efectivo, y teniendo en cuenta que muchos productos de los proveedores son y han sido también herramientas de entrega de aplicaciones, cuentan con gran cantidad de información sobre protección y ataques en tiempo real. Sin embargo, la seguridad inicia desde la primera línea de código, y agregar capas de información desde esa perspectiva no solo aumenta las oportunidades de defender la aplicación activamente, sino que también contribuye a fortalecer proactivamente la seguridad durante el proceso.
Existen numerosas herramientas de seguridad eficaces y esperamos que cualquier proveedor líder del mercado permita a las empresas seleccionar qué productos se encargan de cada etapa. Aunque esta transición llevará tiempo, ya que integrar una docena de productos en una sola plataforma no sucede de la noche a la mañana, y mucho menos con el grado de profundidad que ofrecen las soluciones actuales de un único proveedor.
No obstante, esa es nuestra visión para el futuro a largo plazo, y parece que estamos avanzando en esa dirección.