¿Qué significan todos los acrónimos de seguridad?
Probablemente esté aquí porque está inundado (¡y harto!) de la cantidad de acrónimos relacionados con herramientas, plataformas y procesos de seguridad. Cada proveedor de software quiere diferenciarse en un espacio saturado con nuevas capacidades, dejando a los desarrolladores y profesionales de la seguridad agotados.
Así que aquí tiene nuestra lista directa de acrónimos de seguridad para ayudarle a entender qué es cada cosa.
CVE: Common Vulnerabilities and Exposures
- ¿Qué significa para los desarrolladores de aplicaciones?
CVE es el catálogo público de vulnerabilidades conocidas operado por la corporación sin fines de lucro MITRE. Desde su lanzamiento en 1999, se ha convertido en el estándar para informar sobre problemas de ciberseguridad y constituye la base para la mayoría de las plataformas de AppSec que escanean sus aplicaciones en busca de problemas.
El término CVE puede ser un poco confuso porque muchos expertos y empresas de seguridad usan “CVEs” para referirse a las vulnerabilidades en sí, no al catálogo público. Cuando el sitio web de una empresa dice: “Nuestro ASPM le protege de CVEs graves”, significa que su plataforma escanea su código, dependencias y configuraciones en la nube en busca de coincidencias con una o más vulnerabilidades específicas reconocidas en el catálogo CVE. - ¿Debe preocuparse? 👍
CVE como sistema, y los CVEs como vulnerabilidades o exposiciones individuales, desempeñan un papel crítico en la seguridad. La clave es asegurarse de tener una plataforma que pueda informarle sobre ellos y ofrecerle un camino sencillo hacia la remediación.
SAST: Pruebas de seguridad de aplicaciones estáticas
- también conocido como análisis estático
- ¿Qué significa para los desarrolladores de aplicaciones?
Las herramientas SAST verifican eficazmente el código fuente en busca de vulnerabilidades. Piense en ello como una forma de garantizar la seguridad al principio del proceso de desarrollo, así como a lo largo del ciclo de vida del desarrollo de software (SDLC, sí, otro acrónimo), pero solo para el código. No se centra en la funcionalidad de su aplicación ni en cómo se desplegará. - ¿Deberías preocuparte? 👍
Las herramientas SAST son como un corrector ortográfico para AppSec: una parte específica pero esencial de tu kit de herramientas. Idealmente, tu herramienta SAST operará lo antes posible en el desarrollo —en tu IDE, como un hook de Git pre-commit o en tu pipeline de CI—, ayudándote a detectar problemas antes y reduciendo su impacto en términos de mitigación y recursos.
DAST: Pruebas de seguridad de aplicaciones dinámicas
- ¿Qué significa para los desarrolladores de aplicaciones?
Piensa en DAST como la versión "viva" de SAST. Las herramientas DAST prueban tu aplicación con ataques simulados mientras se ejecuta en un entorno similar a producción. De esta manera, puedes cerrar las brechas de seguridad antes de que los atacantes las encuentren. Las herramientas DAST no se preocupan por la finalidad de tu aplicación, solo si es vulnerable a ataques de nivel crítico conocidos. - ¿Deberías preocuparte? 👍
Un sí suave a corto plazo, un sí rotundo a largo plazo. Tradicionalmente, DAST era el dominio de los ingenieros de DevOps o SecOps, pero a medida que más organizaciones desplazan las responsabilidades de AppSec hacia la izquierda, a los desarrolladores, los superiores y el personal de operaciones inevitablemente te pedirán que integres e interactúes con estas herramientas más pronto que tarde.
IAST: pruebas interactivas de aplicaciones y seguridad
- También conocido como: RASP (¡ver más abajo!)
- ¿Qué significa para los desarrolladores de aplicaciones?
IAST es como el hijo predilecto de SAST y DAST, combinando ambos enfoques en tu IDE y como parte de tu pipeline de CI/CD. A diferencia de los otros dos enfoques, IAST utiliza un agente incrustado dentro de tu aplicación que se integra con tus pruebas funcionales existentes para buscar problemas como credenciales hardcodeadas y entradas de usuario no saneadas. - ¿Deberías preocuparte? 🤷
Si ya utilizas herramientas SAST y DAST en tu ciclo de vida de desarrollo, es posible que no ganes mucho al añadir una alternativa específica de IAST a tu kit de herramientas. Sin embargo, si eres nuevo en las pruebas de AppSec y tuvieras que elegir una única herramienta para cubrir todos los aspectos, podrías apreciar la combinación única de exhaustividad y velocidad de los resultados.
ASPM: gestión de la postura de seguridad de aplicaciones
- ¿Qué significa para los desarrolladores de aplicaciones?
Las plataformas ASPM operan como observabilidad de seguridad para tus aplicaciones. Puedes ingestar datos de múltiples fuentes, buscar correlaciones y priorizar problemas en varias aplicaciones con información contextual y ayuda para la remediación. También pueden ser muy útiles para la evaluación y priorización de riesgos, especialmente en industrias con estándares de cumplimiento más estrictos. - ¿Deberías preocuparte? 👍
Desde una perspectiva operativa o de mantenimiento, probablemente no, pero las ASPM se están convirtiendo en la norma para organizaciones de todos los tamaños; la idea es reducir el número de soluciones de seguridad puntuales y utilizar una plataforma AppSec integral que pueda abarcar SAST, DAST y otras funcionalidades. Por lo tanto, con toda probabilidad te encontrarás con las ASPM en algún momento.
CSPM: gestión de la postura de seguridad en la nube
- ¿Qué significa para los desarrolladores de aplicaciones?
CSPM es la observabilidad de seguridad para tus despliegues en la nube. Estas herramientas te ayudan a identificar o visualizar el riesgo en tu infraestructura en la nube y a recomendar la mejor manera de remediar configuraciones erróneas, como los controles de acceso para cuentas de servicio, que podrían causarte problemas en el futuro. - Las plataformas CSPM se basan en prácticas de Infrastructure as Code (IaC), escaneando tus archivos de configuración antes del despliegue y generando alertas antes de que pases a producción.
- ¿Deberías preocuparte? 🤷
Depende del equipo con el que trabajes. Si eres un desarrollador de aplicaciones también responsable de configurar entornos de producción con un proveedor de la nube, entonces el CSPM podría estar en tu horizonte. Si te centras principalmente en la lógica de negocio, mientras otros se encargan del lado operativo, es posible que nunca interactúes con un CSPM.
DSPM: gestión de la postura de seguridad de datos
- También conocido como: seguridad "data first"
- ¿Qué significa para los desarrolladores de aplicaciones?
De forma similar a las otras categorías de "gestión de la postura", las herramientas DSPM proporcionan visibilidad sobre el almacenamiento y uso de datos de tu organización. Localizan información sensible, calculan el riesgo implicado en dónde y cómo la has almacenado, y ofrecen vías para mejorar tu postura de seguridad. - Las DSPM pueden incluso automatizar la clasificación de datos, influyendo en cómo manejas y almacenas la información en tus aplicaciones, particularmente si fluye entre múltiples aplicaciones o APIs basadas en microservicios dentro de tu infraestructura.
- ¿Deberías preocuparte? 👎
Generalmente, no. Las DSPM están muy adentradas en el territorio de la ciberseguridad, siendo ideales para equipos de seguridad dedicados a nivel grande o empresarial, no para equipos de desarrollo de aplicaciones más pequeños en startups o pequeñas y medianas empresas.
VM: gestión de vulnerabilidades
- También conocido como: sistema de gestión de vulnerabilidades (VMS), gestión de amenazas y vulnerabilidades (TVM), evaluación de vulnerabilidades, escaneo de vulnerabilidades, gestión técnica de vulnerabilidades
- ¿Qué significa para los desarrolladores de aplicaciones?
La VM es un enfoque holístico para identificar y remediar vulnerabilidades en tu código, configuraciones y despliegues en la nube, a menudo agregando datos de escaneo de herramientas AppSec adicionales representadas por muchas de estas mismas siglas.
Estas plataformas te ayudan a implementar un ciclo de mejora continua en torno a la seguridad, clasificando las vulnerabilidades descubiertas según el Common Vulnerability Scoring System (CVSS). Esto te ayuda a priorizar aquellas que debes abordar de inmediato y aquellas que puedes dejar para el próximo sprint… o el próximo trimestre. - ¿Deberías preocuparte? 🤷
Esto realmente depende de la plataforma de VM que tu organización esté validando o ya utilizando.
Las plataformas de VM tradicionales son más a menudo el territorio de los equipos de seguridad/operaciones de TI, el personal de cumplimiento y gestión de riesgos, los ingenieros de DevOps e incluso los testers de penetración; personas con mucha más experiencia en seguridad y con mucho en juego si el código pasa a producción en un estado inseguro. Dicho esto, algunas plataformas AppSec están diseñadas para ayudar a los desarrolladores a gestionar sus vulnerabilidades técnicas con menos falsos positivos y remediaciones instantáneamente relevantes.
SCA: análisis de composición de software
- o bien: análisis de componentes
- ¿Qué significa para los desarrolladores de aplicaciones?
¿Recuerdas todos esos paquetes que añadiste a tu aplicación con npm, go get, pip y similares? Cada una de esas dependencias se ramifica en docenas más, y todas ellas conllevan nuevos riesgos de vulnerabilidades en el código y la configuración. La disponibilidad de paquetes de código abierto es una ventaja para la productividad, pero conlleva un coste significativo para la seguridad.
Las herramientas de SCA escanean tu cadena de suministro de código abierto en busca de vulnerabilidades o posibles problemas relacionados con las licencias de código abierto, y algunas incluso ofrecen actualizaciones inmediatas - ¿Deberías preocuparte? 👍👍
Las herramientas SCA te permiten construir de forma segura sobre todos los fantásticos frameworks, proyectos y librerías de código abierto, proporcionándote la velocidad tan necesaria sin sacrificar la seguridad. Imprescindible para los desarrolladores de aplicaciones que buscan una base de garantías de AppSec.
RASP: autoprotección de aplicaciones en tiempo de ejecución
- o bien: protección en la aplicación, firewall integrado en la aplicación, seguridad de aplicaciones integrada, seguridad en tiempo de ejecución, IAST
- ¿Qué significa para los desarrolladores de aplicaciones?
Las herramientas RASP se integran directamente en una aplicación para detectar y bloquear ataques sin necesidad de infraestructura externa, como los WAF (ver más abajo). Las perspectivas de seguridad en tiempo real y el enfoque "manos libres" resultan atractivos para algunos, pero dado que operan dentro de tu aplicación, deberás analizar cualquier degradación del rendimiento y sopesar ese impacto frente a la tranquilidad que obtienes de la protección contra ataques comunes, como la inyección (No)SQL, path traversal, shell injection y otros. - ¿Deberías preocuparte? 👍
Si tienes pocos recursos tanto en desarrollo como en seguridad, las herramientas RASP pueden ser un atajo fantástico para proteger tu aplicación y los datos de usuario de ataques automatizados. Son, sin duda, mucho más fáciles de desplegar y gestionar que sus "primos" en red, los WAF, lo que los convierte en una excelente opción para los desarrolladores de aplicaciones que no desean el coste y la complejidad de una mayor infraestructura.
También deberías preocuparte por nuestro proyecto de Firewall de código abierto para aplicaciones Node.js. A nosotros no nos encanta el término RASP (no lo verás en nuestro repositorio de GitHub), pero Firewall funciona de manera muy similar para detectar y bloquear todas las vulnerabilidades críticas sin que tengas que cambiar una sola línea de código.
WAF: firewall de aplicaciones web
- o bien: WAAP (protección de aplicaciones web y API)
- ¿Qué significa para los desarrolladores de aplicaciones?
Esta implementación local o basada en la nube se sitúa en el extremo de tu infraestructura, como primer punto de contacto entre un usuario (o atacante) y tu aplicación, "interceptando" el tráfico destinado a tu aplicación a través de DNS. Ejecutan rápidamente cientos de coincidencias de patrones regex contra los primeros cientos de kilobytes de la solicitud entrante, y bloquean cualquier contenido que contenga código potencialmente malicioso.
El resultado es casi idéntico al de las herramientas RASP, pero los WAF se preocupan aún menos de cómo funciona tu aplicación o de lo que se supone que debe hacer. - ¿Deberías preocuparte? 👎
En nuestra humilde opinión, no. Deberías saber qué son y cuál es su función prevista, pero como desarrollador de aplicaciones, hay muchas otras estrategias de AppSec que puedes implementar, con mucha más facilidad, que adentrarte en el territorio de los WAF. Son conocidos por sus falsos positivos y la degradación del rendimiento, lo que inevitablemente afectará la experiencia de tus usuarios finales legítimos.
Tampoco nos encanta llamar WAF a Aikido Firewall, pero realiza todas las mismas funciones con mucha más precisión y eficiencia.
¿Qué sigue?
¡Enhorabuena por completar tu recorrido rápido por los acrónimos de AppSec!
Tanto si te sientes impulsado a seguir con esta lista interminable de acrónimos para seguir formándote, como si prefieres esconderte de todo lo relacionado con la seguridad en la comodidad de tu IDE en modo oscuro, recuerda que el objetivo no es convertirte en un diccionario andante de AppSec. A nadie le impresionará que puedas explayarte durante diez minutos sobre las diferencias entre ASPM, CSPM, DSPM y todos los demás; les impresionará si puedes recomendar rápidamente la herramienta AppSec adecuada para su situación exacta.
4.7/5
Protege tu software ahora.
.avif)
