Las brechas de datos ligadas a las vulnerabilidades de las aplicaciones web se duplicaron el año pasado, llegando a 43%, de acuerdo con el "Informe de investigación de brechas de datos 2020" de Verizon. El informe también muestra que 86% estaba ligado a un motivo financiero, aumentando en 15%. Esto plantea graves riesgos. Por ejemplo, el Ponemon Institute e IBM encontraron que el costo promedio de una brecha de datos es de 3.92 millones de dólares y su tamaño promedio es de más de 25,000 registros.
Si bien es cierto que el COVID-19 está golpeando fuertemente a ciertos sectores económicos, estudios recientes revelan que las organizaciones están acelerando sus proyectos de transformación digital. Esto expande la superficie de ataque de la aplicación y aumenta el riesgo de brechas.
El legado de la seguridad de aplicaciones(AppSec) que se basa en el escaneo de código línea por línea y en pruebas dinámicas de caja negra simplemente no puede ampliarse. Estos modelos de AppSec producen frecuentemente falsos negativos y falsos positivos. La adopción de contenedores y microservicios para acelerar las operaciones de desarrollo (DevOps) suele dar lugar a una "sopa de herramientas" de AppSec que requiere mucho tiempo para su gestión y ralentiza los ciclos de desarrollo.
La interconectividad de las aplicaciones, causada por la proliferación de interfaces de programación de aplicaciones (API), agrava aún más el problema. Las organizaciones ahora administran cientos o incluso miles de API. Estas crean más vulnerabilidades y complejidad, exponiendo datos como la propiedad intelectual (IP) y la información de identificación personal (PII). De hecho, Gartner predice que los APIs serán el vector de ataque más atacado dentro de dos años.
Los malos actores ya no son hacktivistas en sus cocheras. Verizon categoriza a casi 60% de ciberdelincuentes como crimen organizado y al 15% como actores de un Estado- Nación. Las herramientas de ciberdelincuencia están avanzando: malware polimórfico y metamórfico, botnets, inteligencia artificial (IA), así como malware-as-a-service (MaaS, por sus siglas en inglés). Todos estos avances reducen el tiempo medio de reparación (MTTR).
Las organizaciones no pueden esperar que los modelos heredados de AppSec las protejan. El promedio de vulnerabilidades por aplicación (26.7) es el mismo ahora que hace 20 años. Necesitamos un cambio de paradigma: un modelo de AppSec que analice el software en busca de vulnerabilidades desde dentro y automatice la gestión de las mismas.
Por: Patrick Spencer