La postura de seguridad es la capacidad de una organización para detectar, responder y solucionar amenazas. Incluye la preparación del personal, el hardware, el software, las políticas y los procesos de una organización para todo el ciclo de vida del software.
Hay varios frameworks y herramientas que puedes usar para evaluar tu postura de seguridad y también identificar formas de mitigar las amenazas.
Prácticas de entrega de software
Una postura de seguridad sólida requiere una base sólida en las prácticas recomendadas de entrega de software, y estas prácticas van más allá de la implementación de herramientas y controles técnicos. Por ejemplo, si el proceso de aprobación de cambios no está claro, es más fácil que los cambios no deseados ingresen a la cadena de suministro de software. Si los equipos no se animan a plantear problemas, pueden dudar en informar sobre las inquietudes de seguridad.
DevOps Research and Assessment (DORA) realiza investigaciones independientes sobre las prácticas y capacidades de los equipos de tecnología de alto rendimiento. Para evaluar el rendimiento de tu equipo y conocer las formas de mejorar, usa los siguientes recursos de DORA:
- Realiza la verificación rápida sobre DevOps de DORA para obtener comentarios rápidos sobre cómo se compara tu organización con otras.
- Lee sobre las capabilities técnicas, de proceso, de medición y culturales de DevOps que identifica DORA.
Frameworks para la postura de seguridad
El framework de desarrollo de software seguro (SSDF) y el marco de trabajo de evaluación de la ciberseguridad (CAF) de NIST son frameworks que desarrollaron los gobiernos para ayudar a las organizaciones a evaluar su postura de seguridad y mitigar las amenazas de la cadena de suministro. Estos frameworks tienen en cuenta el ciclo de vida del desarrollo de software y otros aspectos relacionados con la seguridad del software, como los planes de respuesta ante incidentes. La complejidad y el alcance de estos marcos de trabajo pueden requerir una inversión considerable en tiempo y recursos.
Los Niveles de la cadena de suministro para artefactos de software (SLSA) es un framework que tiene como objetivo hacer que la implementación de la evaluación y la mitigación sea incremental y accesible. Se explican las amenazas a la cadena de suministro y las mitigaciones asociadas, y se proporcionan ejemplos de herramientas para implementar mitigaciones. También agrupa los requisitos para fortalecer tu postura de seguridad en niveles, de modo que puedas priorizar e implementar cambios de forma incremental. SLSA se enfoca principalmente en la canalización de entrega de software, por lo que debes usarlo junto con otras herramientas de evaluación como SSDF y CAF.
SLSA está inspirado en la Autorización Binaria para Borg interna de Google, una verificación de aplicación obligatoria para todas las cargas de trabajo de producción de Google.
Software Delivery Shield es una solución de seguridad de la cadena de suministro de software completamente administrada en Google Cloud que incorpora prácticas recomendadas en SLSA. Puedes ver estadísticas sobre tu postura de seguridad, incluido el nivel SLSA de tus compilaciones.
Administración de dependencias y artefactos
La visibilidad de las vulnerabilidades de tu software te permite responder de forma proactiva y solucionar posibles amenazas antes de lanzar tus aplicaciones a tus clientes. Puedes usar las siguientes herramientas para obtener una mayor visibilidad de las vulnerabilidades.
- Análisis de vulnerabilidades
- Los servicios de análisis de vulnerabilidades, como Artifact Analysis, te ayudan a identificar las vulnerabilidades conocidas en tu software.
- Administración de dependencias
Open Source Insights es una fuente centralizada para obtener información sobre gráficos de dependencias, vulnerabilidades conocidas y licencias asociadas con software de código abierto. Usa el sitio para obtener información sobre tus dependencias.
El proyecto Open Source Insights también hace que estos datos estén disponibles como un conjunto de datos de Google Cloud. Puedes usar BigQuery para explorar y analizar los datos.
- Política de control de fuente
Los cuadros de evaluación son una herramienta automatizada que identifica prácticas riesgosas de la cadena de suministro de software en tus proyectos de GitHub.
Allstar es una app de GitHub que supervisa de forma continua las organizaciones o los repositorios de GitHub para que cumplan con las políticas configuradas. Por ejemplo, puedes aplicar una política a tu organización de GitHub que busque colaboradores fuera de la organización que tengan acceso de administrador o de envío.
Para obtener más información sobre cómo administrar tus dependencias, consulta Administración de dependencias.
Concientización del equipo sobre la seguridad cibernética
Si tus equipos comprenden las amenazas y prácticas recomendadas de la cadena de suministro de software, pueden diseñar y desarrollar aplicaciones más seguras.
En la encuesta State of Cybersecurity 2021, Part 2, una encuesta a profesionales de seguridad de la información, quienes respondieron la encuesta informaron que los programas de capacitación y concientización en seguridad cibernética tenían un impacto positivo (46%) o un gran impacto positivo (32%) en el conocimiento de los empleados.
Los siguientes recursos pueden ayudarte a obtener más información sobre la seguridad de la cadena de suministro en Google Cloud:
- En el plano básico de Google Cloud Enterprise, se describe cómo configurar la estructura organizativa, la autenticación y autorización, la jerarquía de recursos, las herramientas de redes, el registro, los controles de detective y mucho más. Es una de las guías del Centro de prácticas recomendadas para la seguridad de Google Cloud.
- Developing Secure Software enseña prácticas fundamentales de desarrollo de software en el contexto de la seguridad de la cadena de suministro de software. El curso se centra en las prácticas recomendadas para diseñar, desarrollar y probar código, pero también abarca temas como el manejo de divulgaciones de vulnerabilidades, casos de garantía y consideraciones para la distribución y la implementación de software. Open Source Security Foundation (OpenSSF) creó el entrenamiento.
Preparación para el cambio
Una vez que hayas identificado los cambios que deseas realizar, debes planificarlos.
- Identificar las prácticas recomendadas y las mitigaciones para mejorar la confiabilidad y seguridad de la cadena de suministro.
Desarrolla lineamientos y políticas para garantizar que los equipos implementen los cambios y midan el cumplimiento de forma coherente. Por ejemplo, las políticas de tu empresa podrían incluir criterios para la implementación que implementes con la autorización binaria. Los siguientes recursos pueden ayudarte:
- Producto seguro mínimo viable: Es una lista de verificación de controles de seguridad para establecer una postura de seguridad de referencia para un producto. Puedes usar la lista de tareas para establecer tus requisitos mínimos de control de seguridad y evaluar el software de proveedores externos.
- Publicación del NIST Security and Privacy Controls for Information Systems and Organizations (SP 800-53).
Planifica los cambios incrementales para reducir el tamaño, la complejidad y el impacto de cada cambio. También ayuda a las personas de tus equipos a adaptarse a cada cambio, proporcionar comentarios y aplicar las lecciones aprendidas a los cambios futuros.
Los siguientes recursos pueden ayudarte a planificar y a implementar el cambio.
ROI de transformación de DevOps es un informe en el que se describe cómo prever el valor de la inversión en la transformación de DevOps y justificarla.
El Programa de modernización de aplicaciones en la nube proporciona una evaluación holística y guiada, mide los resultados clave (velocidad, estabilidad y agotamiento) y también identifica las capacidades técnicas, de proceso y culturales que mejoran esos resultados para tu organización. Consulta la entrada de blog sobre el anuncio del CAMP para obtener más información sobre el programa.
Cómo transformar proporciona orientación para ayudarte a planificar y a implementar los cambios. Fomentar una cultura que apoye el cambio incremental y continuo genera resultados de cambio más exitosos.
En el framework de entrega de software seguro de NIST, se describen las prácticas de seguridad del software basadas en prácticas establecidas de organizaciones como The Software Alliance, Open Web Application Security Project y SAFECode. Incluye un conjunto de prácticas a fin de preparar a tu organización, así como prácticas para implementar cambios y responder a las vulnerabilidades.
¿Qué sigue?
- Obtén información sobre las prácticas recomendadas para proteger tu cadena de suministro de software.
- Obtén más información sobre Software Delivery Shield.