AAS Today La seguridad de aplicaciones y API (AAS) existe como un conjunto de herramientas de seguridad unificada desde hace varios años y es casi revolucionaria en la amplitud de cobertura que ofrece. Los productos en este espacio realizan protección de denegación de servicio distribuido (DDoS) en la capa de aplicación, protección de apropiación de cuentas, seguridad de API, seguridad de aplicaciones web y más. A medida que los productos y sus diversas funcionalidades se han fusionado, también se ha hecho posible la seguridad avanzada, como la prevención de fugas de datos que puede detectar ataques de filtración de datos súper lentos y la seguridad de las aplicaciones basada en la seguridad API. AAS Tomorrow Incluso con todo lo que hacen estas herramientas, los clientes exigen más. Estamos viendo una convergencia de toda la seguridad del lado de la producción en un solo lugar y la posibilidad de que incluso la seguridad del desarrollo termine integrada en ofertas. De hecho, algunos productos ya ofrecen pruebas de seguridad de aplicaciones estáticas (SAST), también conocidas como escaneo de seguridad del código fuente. Ventanilla única de seguridad A primera vista, la consolidación de todos los problemas de seguridad existentes en un solo producto o plataforma puede parecer que limita las mejores opciones y crea una ubicación única para que los atacantes apunten; sin embargo, este enfoque en expansión tiene beneficios. Prescindiremos del caso obvio de que los clientes quieran un único proveedor responsable. Esto se aplica a ofertas amplias de cualquier tipo: ese subconjunto de clientes es a la vez la fuerza impulsora y el mercado objetivo. Pero para AAS hay mucho más. Inclusión de capacidades de seguridad de desarrollo. Por ejemplo, la profunda integración de SAST aumenta la calidad de AAS. Y ofrecer herramientas de seguridad API (a menudo simplemente una verificación de la interfaz con poca o ninguna evaluación del código subyacente) en combinación con SAST proporciona información sobre ese mismo código subyacente. Si una llamada API pasa las pruebas de seguridad según los resultados, puede que no sea obvio que exista una falla de seguridad subyacente en la fuente esperando ser explotada. SAST se especializa en buscar vulnerabilidades conocidas en el código fuente y ayudar a los desarrolladores a solucionarlas. También conoce prácticas de codificación riesgosas, pero no intrínsecamente inseguras, en un archivo determinado. Esa información, transmitida al firewall de aplicaciones web (WAF), se puede usar para crear protecciones para la aplicación web o, cuando se pasa a la función de seguridad API, se puede usar para limitar por la fuerza los rangos de respuesta para variables determinadas. La seguridad del desarrollo ofrece SAST, pruebas dinámicas de software de aplicaciones (DAST), pruebas interactivas de software de aplicaciones (IAST) y, a menudo, autoprotección de aplicaciones en tiempo de ejecución. Se centra más en el lado del desarrollo de DevOps y, a veces, SAST/DAST incluso se integran directamente en el entorno de desarrollo integrado (IDE). Esta es la otra mitad de la seguridad de las aplicaciones, y ahora que estamos viendo una inclusión irregular de SAST y DAST en los productos AAS, esperamos que la tendencia continúe hasta que los clientes que lo deseen puedan tener una ventanilla única de seguridad. Por supuesto, la clave tiene que ser “clientes a los que les guste”. Inclusión de SBOM Si tuviéramos que compilar la lista de características de nuestros sueños, lo primero que nos gustaría que se agregara serían listas de materiales de software (SBOM). Si bien hoy en día todos los proveedores de seguridad crean SBoM, nos gustaría que los proveedores de AAS importen los dos formatos principales de SBoM (intercambio de datos de paquetes de software (SPDX) y CycloneDX (CDX)) y los utilicen como parte de la seguridad general y entorno de protección. La parte crítica de los SBoM es su capacidad para identificar todas las bibliotecas y componentes de código abierto en el árbol de compilación de una aplicación. Luego, esta información se puede utilizar para comparar vulnerabilidades conocidas e informar a toda la arquitectura de seguridad de la aplicación tal como se implementa en el AAS. Muchos productos de seguridad tienen esta funcionalidad, pero aún no ha despegado en el mercado de AAS. Incluso con proveedores que pueden generar una SBoM, esta no está bien integrada en el proceso. Sin embargo, con su gran potencial, esperamos que pronto se convierta en una funcionalidad fundamental para las soluciones AAS: generación y/o importación junto con el uso de la información SBoM en todo el espectro de servicios de seguridad que ofrece la plataforma. En seguridad, más información siempre es mejor Básicamente, en seguridad, más información siempre es mejor. Tradicionalmente, las herramientas AAS (como las herramientas de seguridad WAF y API de las que surgió el mercado) analizan la seguridad desde la perspectiva activa de ataque/defensa. Esa es una buena manera de verlo, y considerando que muchos de los productos de los proveedores eran y son también herramientas de entrega de aplicaciones, tienen una gran cantidad de información de protección y ataques en tiempo de ejecución. Sin embargo, la seguridad comienza con la primera línea de código, y agregar desde esa perspectiva simplemente aumenta las oportunidades no solo de defender activamente la aplicación sino también de hacerla más segura de manera proactiva en el proceso. Existen muchas herramientas de seguridad de calidad y esperamos que cualquier proveedor líder en el mercado permita a una empresa elegir qué productos hacen cada parte del trabajo. Eso llevará tiempo porque integrar una docena de productos en una sola plataforma no es algo que suceda de la noche a la mañana, y ciertamente no con la profundidad que tienen las soluciones actuales de un solo proveedor. Sin embargo, esa es nuestra esperanza para el futuro a largo plazo, y parece que vamos en esa dirección. Próximos pasos Para obtener más información, consulte los informes de radar y criterios clave AAS de GigaOm. Estos informes brindan una descripción general completa del mercado, describen los criterios que querrá considerar en una decisión de compra y evalúan el desempeño de varios proveedores en función de esos criterios de decisión. Si aún no es suscriptor de GigaOm, puede acceder a la investigación mediante una prueba gratuita.

Source link