A la hora de decidir qué enfoque utilizar para las herramientas de seguridad, parece que hay dos opciones.
1. Vende tu riñón izquierdo y compra la solución empresarial cuyo nombre figura en el lateral de un coche de Fórmula 1.
2. Elige la herramienta gratuita de código abierto que acierta más falsos positivos que una aplicación de citas durante una solitaria noche de viernes.
Como todo en seguridad, hay más cosas que desentrañar en la realidad. En este artículo quiero explorar cuándo deben utilizarse herramientas de seguridad de código abierto, cuándo son más eficaces las herramientas comerciales y si podemos confiar en las herramientas creadas a partir de un núcleo de código abierto.
Construir frente a comprar (la trampa del coste del código abierto)
A medida que crezca su empresa, pronto se dará cuenta de que la elección entre código abierto y comercial es más una elección entre la creación de herramientas o la compra de herramientas. El código abierto proporciona un gran punto de partida, pero carecen de muchas de las características que necesita, cuadros de mando, integraciones, informes de cumplimiento, flujos de trabajo de remediación, filtrado de falsos positivos y priorización de vulnerabilidades, por nombrar algunos. Así que la idea de que el código abierto es gratuito simplemente no es cierta. Sin embargo, esto puede ser una ventaja, ya que la construcción a medida que avanza reduce la inversión inicial y puede centrarse en las características que son importantes para usted. Significa que no dependes de un proveedor para entregar la característica que "prometieron" que entregarían en el tercer trimestre hace 2 años.
Hay muchos aspectos negativos a tener en cuenta cuando se construye sobre herramientas de código abierto. En primer lugar, no sólo llevará un tiempo de desarrollo significativo crear estas herramientas, sino que también requerirá un mantenimiento continuo. Las herramientas de seguridad también pueden bloquear la producción cuando se integran en elementos como, por ejemplo, las canalizaciones CI/CD. Esto significa que cuando fallan o se bloquean, pueden causar pérdidas de productividad sin ningún tipo de soporte que le ayude a volver a estar en línea.
¿Y la opción de compra? En primer lugar, no hay periodo de adaptación, se obtiene una cobertura completa desde el principio, lo que se traduce en una menor deuda de seguridad más adelante. Tampoco se pierde el coste de oportunidad de apartar a los equipos de ingeniería de sus objetivos principales para que se centren en crear funciones para herramientas internas. En el vertiginoso mundo de las startups, no subestimes el valor de esto.
Código abierto frente a comercial
¿Son mejores las herramientas comerciales para descubrir vulnerabilidades?
Hasta ahora hemos hablado de todas las características de la herramienta sin plantearnos posiblemente una de las preguntas más importantes. ¿Qué encontrará más vulnerabilidades? En términos generales, la funcionalidad básica de las herramientas de código abierto suele igualar a la de sus homólogas comerciales en su capacidad para encontrar vulnerabilidades. Sin embargo, donde las herramientas comerciales sacan ventaja es en su capacidad para filtrar los falsos positivos y priorizar sus hallazgos.
A menudo se trata de herramientas comerciales creadas a partir de proyectos de código abierto. Por ejemplo, tomemos Zen by Aikido, un completo cortafuegos integrado en la aplicación diseñado para detener amenazas en tiempo de ejecución. ¿Es mejor para detectar amenazas en tiempo de ejecución y detenerlas que un equivalente de código abierto? En realidad no, porque se basa en un proyecto de código abierto, AikidoZen. El valor de la versión para empresas reside en sus funciones adicionales, como el análisis, la creación de reglas, la comprensión más profunda de las amenazas específicas y la facilidad de despliegue, todas ellas cosas que tendrías que crear tú mismo si utilizaras la versión de código abierto en una empresa. Así que el código abierto no es necesariamente peor, sólo le falta la siguiente etapa de triaje.
Nota: Comparar las herramientas con las vulnerabilidades encontradas también puede ser muy complicado. Una gran herramienta de seguridad puede encontrar menos vulnerabilidades porque es mejor eliminando falsos positivos basados en el contexto. Por lo tanto, la mejor herramienta no es siempre la que encuentra más vulnerabilidades, sino más bien lo contrario.
Código abierto para empresas
Así que el código abierto supone demasiado desarrollo y el comercial es demasiado caro, ¿qué tal un término medio? Las herramientas completas que utilizan código abierto en su núcleo no son un concepto nuevo. Algunos de los productos de seguridad más exitosos del mundo utilizan código abierto en su núcleo, como Hashicorp Vault, Elastic Security y Metaploit, por nombrar algunos. Hay muchas razones por las que estas herramientas funcionan tan bien y probablemente no es por las razones que usted piensa.
Relación coste-eficacia
Las herramientas de código abierto no sólo tienen que competir con herramientas comerciales alternativas, sino también con su base de código abierto. Esto significa que su valor debe ser probado y transparente, lo que a menudo se traduce en una oferta más rentable.
El poder de la comunidad
A menudo, las herramientas de código abierto son mantenidas y construidas por empresas comerciales, como Aikido Zen. Las herramientas que se basan en código abierto no sólo lo hacen para reducir el tiempo de desarrollo, sino también porque los fundadores creen fundamentalmente en el poder del código abierto. Las herramientas de código abierto suelen ser más rápidas a la hora de crear funcionalidades porque tienen una comunidad detrás, también significa que si tienes un problema específico y de nicho puedes introducirlo tú mismo en la herramienta.
Transparencia
A menudo, comprar herramientas comerciales puede ser un poco como comprar un coche sin ver su motor. ¿Es fiable a largo plazo? Es más fácil ocultar los puntos débiles cuando no se puede ver el motor. Las herramientas de código abierto no pueden ocultar su motor, por lo que es más fácil confiar en la propia herramienta.
Características comerciales
Como ya se ha dicho, dado que una herramienta de código abierto compite a menudo tanto con alternativas comerciales como con herramientas de código abierto, tiene que estar orgullosa de sus características adicionales. Esto significa todo lo que se espera de una herramienta comercial, pero a menudo bastante más. Como el producto se beneficia de una base de código abierto bien definida, se puede prestar atención a las mejoras que, en última instancia, se trasladan al usuario final.
Entonces, ¿qué elijo (reflexiones finales)?
Hemos hablado de las ventajas de las herramientas de seguridad de código abierto, comerciales y de código abierto. Creo que queda claro por mi tono que, como autor, me encanta la comunidad de código abierto y creo que las herramientas impulsadas por código abierto son un compromiso en cuanto al precio sin un compromiso en cuanto a las características. Por supuesto, es una idiotez decir que no hay razón para que en algunos escenarios una versión puramente comercial sea mejor. Hay grandes soluciones innovadoras que son totalmente de código cerrado. Pero lo que quiero decir es que el hecho de que algo se base en un proyecto de código abierto no significa que vaya a comprometer su capacidad o sus características. Y como tiene que demostrar su valor con total transparencia, a menudo ofrece características y valor más profundos.
Aikido security fue creado por desarrolladores para desarrolladores con el fin de ayudar a conseguir seguridad. Estamos orgullosos de nuestra herencia de código abierto y nos encantaría que vinieras a verlo en acción por ti mismo.
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.png)