TecNoticias, tu portal de información

Después de un año de ciberataques de alto perfil, los desarrolladores están comprensiblemente preocupados de que su software sea el próximo en verse comprometido.

El desarrollador se reunió con Boris Cipot, ingeniero de ventas sénior de Synopsys Software Integrity, para analizar el panorama de la ciberseguridad y cómo los desarrolladores pueden proteger su software.

Cipot llegó a Synopsys tras la adquisición de Black Duck Software por parte de la empresa. Antes de esas empresas, Cipot ocupó puestos de responsabilidad en los gigantes antimalware F-Secure y Avira.

El veterano de la ciberseguridad también se especializa en código abierto. Desafortunadamente, sabemos que muchas vulnerabilidades se importan a través de bibliotecas de código abierto.

“El código abierto debería impulsar nuestro desarrollo y brindarnos esta ventaja competitiva”, dice Cipot. “Muchas veces veo que se utilizan componentes de código abierto que ya son antiguos o tienen vulnerabilidades que no son difíciles de solucionar. Sin embargo, no se reparan antes, o cuando, se lanzan al público ".

ENISA (Agencia de la Unión Europea para la Ciberseguridad) publicó recientemente un informe que predice un aumento de cuatro veces en los ataques a la cadena de suministro de software en 2022 en comparación con 2020.

Todos hemos visto la devastación causada por ataques como SolarWinds, vinculado al grupo de piratas informáticos APT29 (también conocido como "Cozy Bear"), patrocinado por el estado ruso, que fue noticia internacional por sus amplias implicaciones.

“El problema no es solo el software, sino también muchas veces el hardware en el que se entrega este software”, explica Cipot.

"Cuando observamos la cadena de suministro, debemos analizar todos y cada uno de los segmentos que incorporamos a nuestra empresa, comenzando por el desarrollo, donde debemos verificar lo que estamos desarrollando en el software que luego les brindamos a nuestros clientes".

El lado del hardware del negocio de Synopsys se convirtió recientemente en una de las primeras empresas en utilizar IA para diseñar chips. Como pionero de la inteligencia artificial, queríamos saber cómo la empresa utiliza la tecnología para la integridad del software.

"Utilizamos IA para ayudar a los clientes con sus tareas", dice Cipot. “En nuestro producto Black Duck Security, (se usa para) identificar componentes de código abierto. También hay IA en todo el proceso de recopilación de información de código abierto, de reunirla, de encontrar la forma correcta de identificar los componentes de código abierto en los proyectos que utilizan los clientes ".

Si bien la IA representa una herramienta clave en la lucha contra las amenazas a la seguridad, los ciberdelincuentes la utilizan cada vez más. Le preguntamos a Cipot si cree que la industria en general podrá mantenerse al día con las amenazas ofensivas de IA.

"Buena pregunta. Entonces, como siempre, los ciberdelincuentes estarán un paso por delante de nosotros. Encontrarán una laguna que está ahí ”, explica Cipot. "Esto es lo que están buscando y, desafortunadamente, muchas veces lo encuentran más rápido que nosotros y por eso es una amenaza".

“Creo que si utilizamos las mejores prácticas a nuestro favor, esas lagunas serán realmente pequeñas y los ciberataques no tendrán un alcance tan grande como lo están teniendo hoy. Empezando por los procesos, muchas veces los ciberataques son posibles porque alguien simplemente se olvidó de configurar el contenedor que se puso en producción en un entorno seguro o utilizó medidas de seguridad incorrectas.

“Muchos de los ataques cibernéticos de hoy no serían posibles porque el atacante no tendría en sus manos nombres de usuario y contraseñas como admin admin (risas) y cosas por el estilo. Desde esa perspectiva, no solo se necesita inteligencia artificial o nueva tecnología en el futuro, sino solo higiene cibernética básica ".

Synopsys fue nombrado recientemente líder en el Cuadrante Mágico de Gartner para Pruebas de Seguridad de Aplicaciones por quinto año consecutivo. Cipot atribuye esta impresionante hazaña al enfoque de la empresa de garantizar primero la integridad de los chips y luego adquirir especialistas para garantizar lo mismo del software.

Cipot dice que esto significa que Synopsys ha creado una gran cartera que, en lugar de intentar crear una herramienta de un solo botón que hará desaparecer todos los problemas, que en última instancia no funciona, Synopsys está siguiendo “una forma más de DevSecOps de trabajar y corregir herramienta en el lugar correcto para que las personas adecuadas conozcan las vulnerabilidades en el momento adecuado para repararlas ".

Una de las nuevas soluciones más interesantes de Synopsys es Intelligent Orchestration, que ayuda a determinar qué herramientas serán realmente beneficiosas.

“Puedes tener una gran cartera de herramientas, pero el punto no es comprar herramientas y ponerlas en algún lugar, también tienes que usarlas. Tienes que saber cuándo usar qué para lograr los resultados que mejor se adapten a ti en el momento dado, y esto es lo que te dará la Orquestación Inteligente ”, explica Cipot.

“Ejecutar una canalización junto a su canalización que le dará resultados con políticas que definen puertas de enlace y hará pruebas reales en el momento en que las necesite y le presente los resultados que necesita en ese momento para avanzar de una etapa a otra. el otro.

“Eso le ayuda a asegurarse de que, por ejemplo, no esté introduciendo una simple inyección de SQL desde el inicio hasta el lanzamiento en una tubería grande. ¿Cómo puede suceder que una cosa tan pequeña pueda pasar por cada paso de su desarrollo?

“Esto es lo que debería hacer Intelligent Orchestration; eliminar el ruido de todo, configurar las políticas correctas, las etapas correctas y hacer progresar su software de una etapa a otra con los resultados correctos ".

Una adquisición estratégica emocionante por parte de Synopsys fue la de Code Dx, que aporta algunas capacidades poderosas a la cartera de Synopsys para desarrolladores.

"Code Dx es una herramienta de consolidación y clasificación, si puedo simplificar el mensaje de esta manera", dice Cipot. “Tienes muchas herramientas de las que tienes que recopilar resultados y decidir en qué te enfocarás primero. Si tienes diez mil problemas, debes concentrarte en las cosas correctas para hacer esta lista ".

“Code Dx le ayuda con esto para que pueda realizar todos los pasos en su canalización, todas las pruebas en su canalización, y aún así llegar a un conjunto viable de problemas en los que puede trabajar. Code Dx también tiene su propia IA incorporada que luego selecciona las vulnerabilidades que son más explotables y puede ayudarlo a mantener su software lo más seguro posible ".

Una encuesta reciente de 1,000 DevOps y profesionales de seguridad de TI resultó en que el 48 por ciento dijo que los equipos de desarrollo son responsables de la seguridad y el 48 por ciento dijo que sus equipos de TI lo son. Esperábamos que Cipot pudiera acabar con el enfrentamiento.

“Siempre es culpa de alguien más, pero yo diría que ninguno de esos equipos es responsable por sí mismo, cada empresa tiene que juntar equipos para que funcionen como uno al final”, comenta Cipot. "(Si) enseñamos a la gente de seguridad y enseñamos a los desarrolladores cómo ser conscientes de la seguridad, entonces ellos se enfocarán en esto".

“Sin embargo, no se puede esperar que un desarrollador pueda hacer esto sin herramientas que le digan: 'Oye, cuidado, es posible que hayas desarrollado una vulnerabilidad en el código incluso si no la querías'. el equipo tampoco puede hacer todo por sí mismo ".

“El equipo de TI solo necesita asegurarse de que todo funcione y de que los desarrolladores tengan sus herramientas, de que la seguridad tenga sus herramientas y de que todo esté en producción y en funcionamiento. Sin embargo, ahora el gran problema es incorporar DevOps en DevSecOps para que realmente se implemente la seguridad en cada paso del ciclo de DevOps.

Cipot tiene algunos consejos clave para que esto funcione.

“La responsabilidad no puede recaer en el equipo de seguridad del equipo de desarrollo o en cualquier otra persona que sea solo una parte de este DevOps, sino que debe ocupar un lugar destacado en la estructura de gestión; debe ser un CTO que tenga una visión y una visión claras de lo que quiere lograr, qué productos quiere entregar al mundo, y luego definir etapas con esos equipos ".

El próximo mes, Cipot hablará en el evento Cyber ​​Security & Cloud Expo Global en Londres. Le preguntamos a Cipot qué ideas planea compartir con los asistentes.

“Mencionaste al principio que estoy en el negocio del malware”, dice Cipot. “Comencé con esto y si ves cómo evolucionó el malware, qué tipo de puntos atravesó para llegar a esos ataques que vemos hoy, entonces comprenderás lo que es básicamente importante.

"Cuando ve que una gran cantidad de software se entrega vulnerable hoy en día, entonces se pregunta 'Ok, ¿dónde está el problema de todos estos ataques a la cadena de suministro?' Espero que todos los asistentes obtengan su parte de conocimiento para que puedan mejorar su lado para hacer esto más difícil para los ciberdelincuentes ".

Puede ver nuestra entrevista completa con Cipot a continuación:

Boris Cipot compartirá sus valiosos conocimientos durante la Cyber ​​Security & Cloud Expo Global de este año, que se llevará a cabo del 6 al 7 de septiembre de 2022. Obtenga más información sobre sus sesiones y cómo asistir. aquí.
Etiquetas: boris cipot, ciberseguridad y expo en la nube, ciberseguridad, devops, devsecops, destacado, infosec, seguridad, integridad del software, sinopsis