Este pasado Noviembre tuve la suerte de asistir a una jornada de ciberseguridad en el Comisariado Europeo del Automóvil (CEA), y durante la ponencia de D. Roberto Esteban (CEO de Tecnek) se trató el tema del eslabón débil de la cadena de la seguridad tecnológica.
A estas alturas todas las compañías contamos con las llamadas “medidas perimetrales” como firewalls, FWSG, antivirus, EDRs, etc., que complementadas con la necesaria formación y concienciación en ciberseguridad a los empleados de nuestras empresas proporcionan cierta sensación de seguridad, de que nuestra tecnología está protegida y a salvo de ciberdelincuentes.
Desde luego, las medidas anteriores son necesarias, sí, pero ¿son suficientes? Claramente, no. Estamos dejando al descubierto justamente lo que queremos proteger, nuestras aplicaciones, que son el eslabón débil de la cadena de la seguridad tecnológica.
Aplicaciones, webs, tiendas online, áreas de usuario, intranets, etc. son las puertas abiertas a ciberdelincuentes. Formularios de entradas de datos no protegidos, logs no encriptados, etc. son accesos directos a los contenidos de las bases de datos y al propio código: datos personales, tarjetas de crédito, hábitos de consumo, etc.
Para descubrir estas debilidades, proteger las aplicaciones y eliminar el eslabón débil existen diversas técnicas, siendo la tecnología SAST la solución universal y de primera necesidad.
SAST (Static Application Security Testing), conocida como la técnica White Box, es la tecnología necesaria para la detección de vulnerabilidades en el código fuente, en cualquier fase de su implementación, desde entornos de Desarrollo hasta Producción.
Bajo el paraguas de esta tecnología existen a nivel internacional no más de media docena de herramientas solventes (las Most Valuable Tools) que analizan el código fuente detectando vulnerabilidades de Seguridad como son los temidos “SQL Injection”, “Log Injection” o “X-site scripting” y otros cientos de vulnerabilidades, bugs y code smells que están presentes en las aplicaciones con mucha más frecuencia de lo imaginado y deseado. Estos agujeros de seguridad son las puertas de entrada por las que los cibercriminales acceden con facilidad a nuestras aplicaciones y a la información contenida en nuestras bases de datos.
Profundizando en el tema, para que una herramienta SAST sea considerada solvente debe ser, antes de nada, universal. Es decir, adaptable a cualquier empresa sea cual sea su tamaño y sector, ya que la ciberseguridad bien entendida es una necesidad que debe ser accesible tecnológica y económicamente a todos los niveles, no un lujo al alcance de unos pocos.
Respecto a su usabilidad, esta universalidad es relativa tanto a su capacidad de ejecución de auditorías de código fuente como a su capacidad de integración en el ciclo de DevOps en cualquier estado de madurez. Esta integración implica dos grandes ventajas: por un lado el código fuente que se almacena en nuestros repositorios y progresa a entornos superiores ya está verificado y libre de vulnerabilidades de seguridad gracias al chequeo automático previo que se realiza por la herramienta SAST. Y por otro lado, no menos importante, al realizar este chequeo en los entornos de desarrollo, la deuda técnica (según el cuadrante de Fowler, es el coste e intereses a pagar por hacer mal las cosas) se reduce considerablemente respecto a la detección y posterior resolución de decenas de vulnerabilidades críticas en Producción al realizar una auditoría de software. Gráficamente:
La universalidad, en términos del funcionamiento interno de las MVT de SAST es relativa al seguimiento de los Estándares Internacionales de ciberseguridad, a la posibilidad de ejecución en distintas plataformas, alcanzar altos niveles de precisión en la detección de vulnerabilidades así como disponer de un reporting adecuado.
En este sentido, la herramienta MVT de SAST con mayor historia, actualidad y proyección es BUGSCOUT, único producto de BUGSCOUT INTERNATIONAL, de tecnología 100% española y pionera en el sector de la ciberseguridad, con presencia en el mercado mundial desde hace 10 años.
BUGSCOUT es una herramienta multiplataforma (VirtualBox, VMWare, GCloud, Azure…) de utilización sencilla e intuitiva que puede operarse tanto en Servicio SaaS como On Premise (aplicación en las propias instalaciones del cliente).
Capaz de verificar con alta precisión 5.600 reglas de Seguridad y Calidad del Software en los 35 lenguajes de programación más habituales, sigue y mantiene en constante actualización las normativas de los Estándares Internacionales como OWASP, PCI, 7PK y Sans Top 25 entre otros.
BUGSCOUT tiene la capacidad de realizar análisis de código tanto en modo auditoría como 100% integrado en el ciclo de vida, comprobando la seguridad del software automáticamente sin intervención del desarrollador, de forma transparente y previa al almacenamiento en el repositorio de código.
Los reportes resultantes son una amplia variedad de completos y detallados informes del estado de las aplicaciones analizadas con el detalle de las vulnerabilidades de código detectadas y su método de resolución. Además, cuenta con la posibilidad de utilizar diversidad de filtros para disponer de distintos contenidos y formatos de salida (PDF, Excel y XML), alcanzando las más altas expectativas informativas y totalmente adaptadas a los distintos interlocutores como los CTO, CISO, PMs, testers y developers.