Cumplimiento de la Ley de Ciberresiliencia CRA) utilizando Aikido Security

TLDR: Aikido Security leAikido Security a cumplir con la Ley de Ciberresiliencia. También le ayudamos a automatizar las políticas de seguridad y las comprobaciones de cumplimiento para SOC2, ISO27001, CIS y NIS2.
Aquí explicamos la importancia de la Ley de Ciberresiliencia cómo Aikido le ayuda a cumplirla.

¿Qué es la Ley de Ciberresiliencia por qué es importante para la seguridad del software?

La Ley de Ciberresiliencia CRA) es una normativa de la Unión Europea (UE), que entrará en vigor en diciembre de 2024, y que establece los requisitos básicos de ciberseguridad y cumplimiento para todos los productos con elementos digitales, incluidos sus componentes básicos (hardware y software), que se comercializan en la UE. Esto incluye los productos de software como servicio (SaaS) que se consideran soluciones de procesamiento de datos a distancia. Afecta a todos los fabricantes que venden en la Unión Europea, no solo a las empresas con sede en la UE.

Esto hace que los fabricantes sean responsables de prevenir fallos de ciberseguridad, con sanciones importantes por incumplimiento: hasta 15 millones de euros o el 2,5 % de la facturación global. Por lo tanto, los productos deben diseñarse desde el principio teniendo en cuenta la seguridad.

El objetivo de la normativa es proporcionar directrices claras a los afectados, pero si fuera clara, no estarías leyendo esta página, así que te la explicaremos detalladamente.

¿Por qué se Ley de Ciberresiliencia la Ley de Ciberresiliencia ?

La Comisión Europea diseñó la CRA para proteger a los consumidores y a las empresas que compran productos con elementos digitales porque, francamente, muchos productos conectados a Internet (también conocidos como el Internet de las cosas) no se actualizan y, por lo tanto, no son seguros. De hecho, uno de los mayores ataques DDoS registrados fue el de la botnet Mirai (ataque Dyn), que convirtió los dispositivos IoT no seguros en un ejército de máquinas de ataque. Otra cuestión que debía resolver la UE era la creciente dificultad para los consumidores y las empresas de saber qué productos son seguros cuando compran algo. 

La CRA se asegura de que el software y los dispositivos conectados estén actualizados, sean seguros y resistentes a los ciberataques. Muchos productos se han comercializado históricamente con vulnerabilidades conocidas, lo que ha alimentado ataques a la cadena de suministro a gran escala ataques a la cadena de suministro. La CRA pretende cambiar esta situación.

Cómo afecta el cumplimiento de la CRA a los desarrolladores y equipos de seguridad

Si formas parte de un equipo de ingeniería o seguridad, esto tiene un gran impacto, ya que cambia la forma en que diseñas, creas, pruebas y distribuyes software. Desde gestión de vulnerabilidades la respuesta ante incidentes, el cumplimiento normativo implica integrar la seguridad desde el diseño en tu ciclo de vida de desarrollo.

Cómo Aikido Security los requisitos de cumplimiento de la CRA

La CRA establece requisitos estrictos para los fabricantes, desde el análisis de vulnerabilidades y SBOM hasta la resiliencia frente a ataques DoS. Aikido le ayuda a cumplir estos requisitos con análisis de seguridad automatizados, protección en tiempo de ejecución e informes de cumplimiento en un sistema centralizado.

A continuación, se ofrece una descripción más detallada de cómo Aikido le ayuda a cumplir requisitos específicos:

Los productos deben proporcionar un nivel adecuado de ciberseguridad basado en los riesgos
Aikido le ayuda supervisando continuamente su código, la nube y el tiempo de ejecución frente a riesgos conocidos. Esto le proporciona una buena visión general de la postura de seguridad.

Los productos deben entregarse sin vulnerabilidades explotables conocidas‍

Aquí es donde el Aikido resulta esencial; el Aikido proporciona una serie de escáneres que buscan vulnerabilidades. Entre ellos se incluyen SAST : escaneo del código fuente en busca de vulnerabilidades de seguridad, análisis de composición de software SCA): escaneo de vulnerabilidades de dependencias de código abierto, escaneo de máquinas virtuales (instancias AWS EC2), DAST, gestiónseguridad en la nube (CSPM): comprobaciones de configuración incorrecta en la nube, escaneo de API, escaneo de secretos, escaneo de contenedores, escaneo de infraestructura como código (IaC), escaneo de malware y escaneo de licencias de código abierto.

Y antes de entregar cualquier producto, Aikido proporciona Zen, que es una autoprotección de aplicaciones en tiempo de ejecución, que protege una aplicación proporcionando un firewall integrado en la aplicación. Este detecta amenazas mientras se ejecuta la aplicación, detiene ataques como los de día cero en tiempo real y bloquea automáticamente los ataques de inyección críticos. Al instalar Zen, no tendrá que preocuparse por nuevas vulnerabilidades.

Los productos deben proteger la disponibilidad de las funciones esenciales, incluida la resistencia y la mitigación de los ataques de denegación de servicio.
Zen de Aikido puede filtrar el tráfico malicioso en el borde y aplicar limitación de velocidad, lo que ayuda a mitigar los ataques DoS/DDoS. Reduce el radio de impacto de los ataques volumétricos o de agotamiento de recursos antes de que afecten a la lógica de la aplicación.

Los productos deben minimizar el impacto negativo en la disponibilidad de los servicios prestados por otros dispositivos o redes.
Aikido Zen puede garantizar que los servicios comprometidos no propaguen el tráfico abusivo hacia el exterior.

Los productos deben diseñarse, desarrollarse y producirse de manera que se limiten las superficies de ataque, incluidas las interfaces externas.
Al identificar los servicios expuestos, el código inseguro y las dependencias vulnerables, Aikido ayuda a reducir las superficies de ataque. Las pruebas de penetración autónomas examinan las interfaces y los puntos finales de forma dinámica, lo que ayuda a identificar exposiciones inesperadas. 

Productos diseñados, desarrollados y fabricados para reducir el impacto de un incidente mediante mecanismos y técnicas adecuados de mitigación de exploits.
Al detectar tempranamente las bibliotecas vulnerables o las prácticas de codificación inseguras a través de la calidad del código de Aikido, Aikido reduce activamente la explotabilidad. Nuestras pruebas de penetración autónomas validan si las mitigaciones (por ejemplo, reglas WAF, sandboxing, deserialización segura) realmente detienen los exploits del mundo real. Mientras tanto, DAST validar si las defensas en tiempo de ejecución realmente funcionan y, esencialmente, indicarle si la comprobación es (o no) eficaz bajo ataque. Al simular intentos de explotación, verifica que, incluso si existe una vulnerabilidad, los controles compensatorios pueden limitar el daño.

Las vulnerabilidades pueden solucionarse mediante actualizaciones de seguridad, incluyendo, cuando proceda, actualizaciones automáticas y la notificación a los usuarios de las actualizaciones disponibles.‍

Aikido supervisa continuamente las nuevas vulnerabilidades en sus dependencias y le avisa, lo que le ayuda a garantizar que las actualizaciones se apliquen con prontitud.

Los fabricantes deben identificar y documentar las vulnerabilidades y los componentes que contiene el producto, lo que incluye elaborar una lista de materiales de software SBOM) en un formato de uso común y legible por máquina que abarque, como mínimo, las dependencias de nivel superior del producto. ‍

Puede utilizar Aikido para exportar una lista de materiales de software completa lista de materiales de software SBOM) en CycloneDX o SPDX con un solo clic. Esto proporciona un inventario completo de todos los paquetes y sus licencias para auditorías y transparencia.

En relación con los riesgos que plantean los productos con elementos digitales, aborde y solucione las vulnerabilidades sin demora, incluso proporcionando actualizaciones de seguridad.

Aikido es la mejor opción para reducir el tiempo de solución, ya que nuestros análisis reducen el ruido (falsos positivos) en un 95 %. Además, nuestra herramienta Pruebas de seguridad de aplicaciones estáticas SAST) puede descartar la posibilidad de explotación y, cuando esto no es posible, clasifica automáticamente las alertas para que usted pueda priorizarlas.

Es más, podemos corregir automáticamente una serie de problemas con un solo clic gracias a nuestra función AutoFix. Según nuestra propia investigación realizada entre desarrolladores, AppSec y CISO de Europa y Estados Unidos, sabemos que el 79 % de las organizaciones ya utilizan corrección automática con IA para las vulnerabilidades, y otro 18 % está interesado en hacerlo. 

Los resultados de nuestra nueva solución autónoma de pruebas de penetración también se pueden integrar en los procesos de corrección, lo que facilita la validación de que las correcciones realmente funcionan. 

Aplicar pruebas y revisiones eficaces y periódicas de la seguridad del producto con elementos digitales.

Aikido pronto ofrecerá pruebas de penetración autónomas más exhaustivas y eficientes que las alternativas manuales, lo que permitirá a las organizaciones realizar pruebas automatizadas bajo demanda o de forma continua. (Esto transforma las pruebas de penetración, que duraban semanas, en evaluaciones que tardan menos de una hora). Por otra parte, Aikido también automatiza las pruebas de seguridad en cada cambio o compilación de código, lo que garantiza revisiones continuas.

Más allá de ISO27001, NIS2 y DORA: lo que añade la CRA

Muchas organizaciones ya cumplen con marcos normativos como ISO27001, NIS2 o DORA. Estos se centran principalmente en cómo gestiona su empresa la seguridad a nivel organizativo (políticas, gestión de riesgos, respuesta a incidentes y notificación). Aikido ya proporciona informes de cumplimiento dentro de su plataforma para:

• Cumplimiento de la norma ISO 27001:2022
• Cumplimiento SOC2
• Top 10 OWASP
• Cumplimiento de la CIS
• cumplimiento NIS2
• Cumplimiento con la norma NIST 800-53
• Cumplimiento de la normativa PCI
• Cumplimiento de la HIPAA
• Cumplimiento de la ley DORA
• Cumplimiento con HITRUST LVL3
• Cumplimiento ENS
• GDPR

La Ley de Ciberresiliencia CRA) es diferente. Introduce obligaciones de seguridad a nivel de producto, lo que significa que la normativa se aplica directamente a los productos digitales que usted fabrica y vende. El cumplimiento no solo consiste en demostrar que cuenta con los procesos adecuados, sino también en demostrar que su producto en sí mismo es seguro:

• Debe enviarse sin vulnerabilidades conocidas.
• Debe incluir un SBOM
• Debe ser resistente a los ataques (por ejemplo, DoS/DDoS).
• Debe recibir actualizaciones de seguridad continuas.
• Debe someterse a pruebas periódicas para detectar fallos explotables.
  

Estos son requisitos del producto en sí, no solo del sistema de gestión de seguridad de su empresa.

Otras herramientas de seguridad que puede necesitar para cumplir plenamente con la CRA

Mientras que Aikido cubre la seguridad del código, la nube y el tiempo de ejecución en un sistema central, CRA también aborda la gestión de identidades, el cifrado, la protección de datos y la seguridad de la red. Dependiendo de su entorno, es posible que necesite herramientas complementarias como IAM, controles criptográficos o soluciones de recuperación ante desastres junto con Aikido.

Preguntas frecuentes

Conclusión

La Ley de Ciberresiliencia un nuevo estándar para el software seguro en Europa. El cumplimiento ya no es opcional. Para los equipos de ingeniería y seguridad, esto significa desarrollar con la seguridad como eje central y demostrar que sus productos cumplen con los requisitos de la CRA.
‍
Aikido Security loAikido Security sencillo. Desde el código hasta la nube y el tiempo de ejecución, Aikido le ofrece análisis automatizados, calidad del código, SBOM , pruebas de penetración y protección en tiempo de ejecución una sola plataforma. Sin tener que hacer malabarismos con múltiples herramientas. Sin ruido adicional. Solo caminos más rápidos hacia el cumplimiento y productos más seguros.

¿Listo para ver cómo Aikido le ayuda a cumplir los requisitos de la CRA?

Reserve una demostración y empiece a crear software seguro sin ralentizar a su equipo.

‍