¡La seguridad del código SAST no es suficiente!

Entiendo perfectamente por qué una persona con experiencia en desarrollo o incluso con experiencia en seguridad de redes puede cometer el error de confundir la seguridad del código con la seguridad de las aplicaciones web. Para alguien que ha sido desarrollador durante años, es natural suponer que las vulnerabilidades en el código son la causa principal de las brechas de seguridad en las aplicaciones. Para alguien que ha trabajado en la seguridad de la red toda su vida y, por lo tanto, nunca se centró en la seguridad del código, las aplicaciones aún pueden percibirse solo a través de la perspectiva de su código.

Sin embargo, en el caso de la seguridad de las aplicaciones web, muchas violaciones importantes de seguridad ocurren no solo debido a vulnerabilidades en el código de la aplicación principal en sí:

• Las aplicaciones hoy en día no se escriben 100% internamente. Y no es solo el código lo que se está importando, sino también los componentes en tiempo de ejecución. Obviamente, ni el código de terceros ni los componentes de tiempo de ejecución de terceros caen dentro del alcance de la seguridad del código (o más bien lo hacen, pero deben estar protegidos por sus creadores, en quienes nunca se puede confiar plenamente).
• Incluso la aplicación más segura puede configurarse erróneamente fácilmente para permitir el acceso de terceros malintencionados. Por ejemplo, la mayoría de las infracciones en los últimos años se debieron a bases de datos expuestas . Las aplicaciones que usaban esas bases de datos eran seguras, pero las bases de datos en sí estaban abiertas a cualquiera que pudiera averiguar su IP y número de puerto.
• Las aplicaciones web también pueden tener vulnerabilidades de seguridad de red. Si bien, por supuesto, es más eficiente tener una solución de seguridad de red separada para cubrir aspectos como la configuración de TLS / SSL, seguridad de contraseña o configuración del servidor web, muchas empresas más pequeñas perciben esto como algo que su herramienta de seguridad de aplicaciones web debería. cubrir también.

¿Quién impulsa la seguridad del código y por qué?

La idea errónea de que la seguridad de las aplicaciones es la seguridad del código está muy en línea con los argumentos de venta de los proveedores de productos de seguridad del código. Por ejemplo, las soluciones de prueba de seguridad de aplicaciones estáticas (SAST) no pueden cubrir componentes de terceros o configuraciones incorrectas en absoluto.

No es de extrañar que algunos proveedores de SAST tiendan a referirse públicamente a la seguridad de las aplicaciones web como seguridad de código; les ayuda a hacer que sus clientes crean que una solución SAST es todo lo que necesitan comprar. Y si bien, sí, las herramientas SAST son muy útiles para mejorar la seguridad de una aplicación web, por sí solas ni siquiera se acercan lo suficiente.

Si debido a restricciones presupuestarias o por otras razones, solo puede usar una clase de soluciones de seguridad de aplicaciones web, DAST es la mejor para comenzar . Una herramienta DAST cubrirá todas las bases, incluidos todos los componentes de terceros y la configuración de su aplicación web, pero a menudo agregará aún más, como capacidades SCA .

Entonces, la próxima vez que piense en la seguridad del código, piense en el panorama general. Piense en todas las vulnerabilidades que puede faltar si la seguridad del código es su única preocupación cuando se trata de sus aplicaciones. Y considere comenzar con una solución como Acunetix, que simplemente lo ayudará a proteger sus aplicaciones web, ya sea que llame a ese código seguridad o cualquier otra cosa. Sin embargo, para mejorar su postura de seguridad, también considere expandir su plataforma de seguridad más adelante con herramientas como SAST o firewalls de aplicaciones web (WAF) .

Autor:

Tomasz Andrzej Nidecki