Si un evento demostró cuán vulnerables son las organizaciones y la infraestructura de todo el mundo a las vulnerabilidades de software, fue Log4j.
La vulnerabilidad crítica de día cero en la biblioteca de registro de Java Apache Log4j permitió a los atacantes ejecutar código de forma remota para obtener acceso a dispositivos y redes. Y debido a que el software de código abierto estaba integrado en una amplia gama de aplicaciones, servicios y herramientas de software empresarial, tenía el potencial de una disrupción generalizada y a largo plazo.
No es de extrañar que el director de la agencia de ciberseguridad e infraestructura de EE. UU. CISA, Jen Easterly, describiera la vulnerabilidad como «una de las más graves que he visto en toda mi carrera, si no la más grave».
Los parches de seguridad se desarrollaron rápidamente y las organizaciones se movieron rápidamente para aplicarlos, aunque la naturaleza ubicua del código fuente abierto de Log4j significa que habrá software y aplicaciones que no recibirán la actualización, especialmente si nadie se da cuenta de que Log4j fue parte del desarrollo. proceso.
Log4j es solo un ejemplo de las graves vulnerabilidades de seguridad descubiertas en el software que se ha utilizado durante años, y se produjo 20 años después, cuando el entonces jefe de Microsoft, Bill Gates, emitió su memorando de Computación confiable, que instaba a los desarrolladores de Microsoft a producir software más seguro después de Se descubrieron varios errores y agujeros de seguridad en sus sistemas operativos y productos.
«Eventualmente, nuestro software debería ser tan fundamentalmente seguro que los clientes ni siquiera se preocupen por él», escribió Gates.
Dos décadas después, y aunque Microsoft Windows generalmente se considera un sistema operativo bastante seguro, cuando se usa correctamente y se aplican actualizaciones de seguridad, ni siquiera Microsoft puede escapar de las vulnerabilidades críticas en el código. Y, en términos más generales, todavía hay demasiado software inseguro.
El software siempre se envió con errores, pero el software y los servicios se han vuelto cada vez más importantes para nuestra vida cotidiana, lo que hace que el impacto potencial de las vulnerabilidades de seguridad sea aún más dañino.
En muchos sentidos, el desarrollo de software no ha evolucionado para enfrentar esta nueva realidad: los productos aún se implementan, solo para que las vulnerabilidades, a veces importantes, se descubran mucho más tarde. Y cuando se trata de un componente algo oscuro como Log4j, es posible que las organizaciones ni siquiera estén seguras de si están afectadas o no.
«Intrínsecamente, la forma en que hacemos el desarrollo de software se presta a errores y defectos», dice Rob Juncker, CTO y jefe de equipos de desarrollo de software en Code42, una empresa de seguridad de software.
«El ritmo de trabajo acelerado en el que vivimos contradice las mejores prácticas de la mayoría de los equipos de seguridad».
La ciberseguridad quiere hacer que el software sea seguro, un proceso que necesita inversión, personal y tiempo. Eso a menudo va en contra de lo que requieren las empresas que crean software: quieren asegurarse de que el código sea funcional y publicarlo lo antes posible, especialmente si los nuevos productos o funciones dependen de él.
VER: Una estrategia ganadora para la ciberseguridad (Informe especial de MarketingyPublicidad.es)
El estado de la seguridad es enormemente desigual en la industria, con una seguridad bastante buena en algunos de los principales proveedores, pero la gran mayoría, incluso los que están muy bien financiados, carecen de inversiones básicas en seguridad, dice Katie Moussouris, directora ejecutiva de Luta Security. .
«Desafortunadamente, hemos visto una inversión insuficiente en seguridad cibernética en los últimos 20 a 30 años», dice ella.
Lo que las empresas deben hacer es asegurarse de que la seguridad cibernética se incorpore desde el principio y se presente como los componentes básicos de un programa de desarrollo de software en cada paso del camino; de esa manera, todos los riesgos y riesgos potenciales se pueden considerar y actuar antes se convierten en problemas en el futuro.
«Si piensa en cómo se fabrica, implementa y mantiene el software, es una cadena de suministro completa. Y comienza cuando está diseñando software o está pensando en nuevas funciones», dice Jonathan Knudsen, estratega de seguridad sénior en Synopsys. , una empresa de seguridad de software.
«En la fase de diseño, debe pensar en la seguridad, debe modelar las amenazas o evaluar los riesgos de la arquitectura, por lo que antes de escribir cualquier código, solo debe pensar en cómo funcionará y qué hará. – y cómo podría ser atacado», agregó.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
Los jefes pueden ser reacios a gastar tiempo y recursos adicionales para garantizar que el código se entregue de forma segura, pero a la larga, debería ser el enfoque más efectivo, tanto en términos de costo como de reputación.
Es más seguro asegurarse de que el código sea seguro antes de que se publique, en lugar de tener que entregar una actualización crítica más adelante, que es posible que los usuarios ni siquiera apliquen.
El problema es que muchas organizaciones están tan acostumbradas a un modelo de desarrollo en el que la velocidad es clave, y los riesgos para ellas de producir un código deficiente se consideran relativamente bajos.
Eso podría significar que se necesita más intervención práctica para fomentar el código seguro y penalizar a aquellos que ignoran deliberadamente los problemas de seguridad.
“En otras industrias en las que tenemos una dependencia tan crítica, regulamos esas industrias, pero el software ha permanecido en gran medida sin regular, por lo que no hay leyes de responsabilidad por software”, dice Moussouris.
Ha habido cierto movimiento en esta área: por ejemplo, el gobierno del Reino Unido ha propuesto una legislación que requerirá que los fabricantes de dispositivos de Internet de las cosas sigan un conjunto de reglas de seguridad de software antes de que los productos puedan venderse.
Sin embargo, el gobierno se mueve a un ritmo más lento que la industria e incluso si se hacen cumplir las reglas, ya existe una gran cantidad de software de IoT que no cumpliría con los requisitos.
Pero a medida que las organizaciones y las personas se vuelven más conscientes de los problemas de ciberseguridad, podría darse el caso de que el mercado obligue a las organizaciones a tomar el software más en serio, dejando atrás a los desarrolladores de software que no piensan en la seguridad.
«A nivel mundial, nos estamos volviendo más conscientes sobre la seguridad del software, y creo que esto se traducirá en que los compradores hagan preguntas más difíciles a sus desarrolladores», dice Knudsen.
Por lo tanto, es vital para los desarrolladores de software, sus clientes e incluso la sociedad en su conjunto, que la seguridad del software se tome en serio. Tal vez ‘muévase rápido y arregle las cosas’ podría ser un nuevo lema al que aspiren los desarrolladores.
