Bienvenido a nuestro blog.

En las últimas semanas, hemos lanzado muchas funciones nuevas y hemos ampliado la compatibilidad con distintas pilas de herramientas. En particular, hemos añadido soporte para escanear muchos registros de contenedores. Además de eso:

• Hemos añadido un montón de nuevas normas AWS
• Autofix ahora también es compatible con Python
• Hemos mejorado nuestro análisis de alcanzabilidad de exploits para que sea compatible con PNPM

Mayor compatibilidad con el registro de contenedores

Muchos contenedores ejecutan software web como Apache, Nginx, Python, Node.js u otros tiempos de ejecución. Manténgalos seguros con el escaneo de contenedores Docker. Además de Docker Hub, Azure Container Registry, GCP Artifact Registry y AWS Elastic Container Registry, ahora también soportamos los siguientes registros:

Registro de contenedores de GitLab (en la nube y autogestionado)

Ahora somos compatibles con el Registro de Contenedores de GitLab para Cloud y Autogestionado. Como socio de la Alianza Tecnológica de GitLab para la Seguridad, ¡no podíamos perdernos estas funciones!

Lee la documentación para configurarlo:

• Escaneado de contenedores para Gitlab Container Registry
• Escaneado de contenedores para el registro de contenedores autogestionado de Gitlab

Registro de contenedores de Digital Ocean

DigitalOcean es una sólida solución en la nube que no podíamos esperar a apoyar. ¡Nos complace decir que ahora lo hacemos para contenedores!

Lee la documentación sobre cómo configurarlo

Registro de contenedores Scaleway

Estamos orgullosos de realizar también análisis de exploits para el Registro de Contenedores de Scaleway, ¡una de las pocas nubes europeas reales!

Lee la documentación sobre cómo configurarlo

Mejora del análisis de la accesibilidad de los exploits

Hemos puesto en marcha el análisis de accesibilidad para los ficheros de bloqueo PNPM. Para lograrlo con nuestro nivel de calidad, nos hemos asegurado de cubrir muchos casos extremos típicos (aliasing, notación de versión especial, etc.). Esto significa que nuestro motor de auto-triage se deshace de muchos falsos positivos que otros simplemente no consiguen.

Si usas PNPM y utilizas Aikido, ¡estás de suerte! ¡Estás usando uno de los únicos productos de la industria con este nivel de capacidad de reducción de ruido! 🎉

Ampliación de las normas AWS

Hemos actualizado nuestro conjunto de reglas de AWS para incluir reglas más relevantes. Queremos asegurarnos de que se le notifiquen los problemas que realmente importan. Algunas de las nuevas reglas son:

• Comprobación de credenciales IAM no utilizadas
• Certificados SSL que no se renuevan automáticamente
• Repositorios ECR que no eliminan automáticamente las imágenes antiguas.

Asegúrate de conectar tu nube AWS a Aikido para comprobar si tienes nuevos hallazgos.

Ampliación de la cobertura de autofijación: Python

Con la función Autofix de Aikido, puedes crear pull requests para corregir vulnerabilidades con un solo clic. ¡Ahora también soportamos Python! (Actualmente, esto sólo se aplica a los entornos que utilizan requirements.txt, pero todavía no para los archivos poetry.lock). No hay nada extra que configurar. Sólo tienes que ir a una incidencia de Python y encontrar el botón Autofix.

Más información sobre Autofix en nuestros documentos.

Pruébelas hoy mismo

Accede a tu cuenta de Aikido para probar estas nuevas funciones. También puede solicitar una demostración a nuestro equipo.

Nos encantaría conocer su opinión al respecto. Si se te ocurre alguna idea, no te lo pienses, ¡háznoslo saber! Estamos a tu disposición en el chat de la aplicación 😉 .

Las empresas SaaS tienen una enorme diana pintada en la espalda en lo que respecta a la seguridad, y eso es algo que quita el sueño a sus directores de tecnología. La Cloud Security Alliance publicó su informe State of SaaS Security: 2024 Survey Report y descubrió que "el 58 % de las organizaciones afirman haber sufrido un incidente en los últimos dos años".

‍

La importancia de la seguridad está respaldada por los resultados de la consulta realizada por Aikido a 15 CTO de SaaS, en la que "el 93% de los CTO calificaron la importancia de la prevención de amenazas con un 7 (sobre 10) o más."

Para ayudar a los CTO de SaaS a dormir mejor, hemos creado una exhaustiva lista de comprobación de seguridad para CTO de SaaS. Estamos seguros de que, si la sigues y vuelves a ella, conseguirás que tanto tu empresa como tu aplicación sean 10 veces más seguras.

Riesgos reales para las empresas SaaS

Las herramientas CI/CD como GitHub Actions y CircleCI son objetivos prioritarios de los hackers. Sus frecuentes brechas permiten acceder a las nubes y exponer los datos. Una brecha en CircleCI en 2023 puso en peligro secretos de clientes, mientras que un exploit en GitHub Actions en 2022 afectó a proyectos de código abierto.

Todo el entorno AWS de una startup se vio comprometido a través de un formulario de contacto básico en su sitio web. ¿Cómo? El formulario permitía ataques SSRF, dando acceso a claves IAM que luego se enviaban por correo electrónico. El atacante obtuvo el control de los buckets de S3 y las variables de entorno.

Estas brechas de seguridad ocurrieron a empresas reales y tuvieron efectos reales. Pero podrían haberse evitado si hubieran invertido más tiempo y esfuerzo en mejorar sus prácticas de seguridad.

Lista de comprobación de seguridad del CTO de SaaS: Más de 40 elementos para guiarle

Nuestra lista de comprobación, aparentemente sencilla, abarca más de 40 formas de reforzar la seguridad de su personal, procesos, código, infraestructura y mucho más. Está organizada por etapas de crecimiento empresarial ( bootstrap, startup y scaleup ) para que pueda encontrar las mejores prácticas de seguridad relevantes para su fase actual. A medida que crezca, nuestra lista de comprobación se convertirá en su guía de confianza y compañero constante en el camino hacia las mejores prácticas de seguridad para su empresa SaaS.

Cada elemento de la lista está diseñado para que usted y su equipo piensen en la seguridad en primer lugar, y luego les da instrucciones claras y concisas sobre lo que pueden hacer para hacer frente a la vulnerabilidad. Y cada elemento está etiquetado para que puedas estar seguro de que se aplica a la etapa actual de tu empresa.

La lista de comprobación también está dividida en secciones para que puedas tener en cuenta las necesidades de las distintas partes de tu empresa. Sus empleados son vulnerables a amenazas distintas de las que afectan a su código o a su infraestructura, por lo que tiene sentido examinarlas por separado.

A medida que vaya repasando la lista, descubrirá sin duda que algunos puntos aún no se aplican a su caso. Pero le recomendamos que revise la lista con regularidad para no encontrarse con sorpresas desagradables. La seguridad no tiene por qué dar miedo, siempre que actúes para estar más seguro antes de que ocurra algo malo.

Hemos seleccionado algunos puntos para ofrecerle un anticipo de la lista de comprobación. La lista final contiene más de 40, así que no dudes en descargar tu copia y empezar a mejorar tu seguridad hoy mismo.

Retroceder y volver a subir

La primera se aplica a todas las etapas de crecimiento de la empresa, y es absolutamente vital. Pero, por otra parte, estamos seguros de que ya realiza copias de seguridad con regularidad, ¿verdad? ¿Verdad?

Contratar un equipo externo de pruebas de penetración

Nuestro siguiente punto es crucial para las empresas que están empezando a crecer. El crecimiento va viento en popa, se ha ocupado de todos los problemas que suponen riesgos en el camino, pero ¿está seguro de que su infraestructura es segura a todos los niveles? Entonces es el momento de contratar a un equipo de pruebas de penetración.

Actualice su sistema operativo y sus contenedores Docker

Esta tarea es sencilla, pero muchos desarrolladores la descuidan. Las actualizaciones consumen tiempo mientras otras tareas parecen más urgentes. Pero saltarse las actualizaciones deja los sistemas vitales expuestos a vulnerabilidades. Sé diligente con los parches y las actualizaciones para evitar quebraderos de cabeza en el futuro.

Acostumbrar a todo el mundo a las prácticas básicas de seguridad

El último punto es pertinente en todas las etapas y forma parte integrante de nuestra lista de control: la necesidad de acostumbrar a todo el mundo a las prácticas básicas de seguridad. Los humanos cometemos errores. Es inevitable. Pero si se consigue que todo el mundo piense en la seguridad, esos errores pueden mitigarse.

Descargue gratuitamente la lista de comprobación de seguridad para CTO de SaaS

Éstos son sólo algunos de los consejos esenciales incluidos en la lista de comprobación. También le orientaremos sobre revisiones de código, incorporación y desconexión, ataques DDoS, planes de recuperación de bases de datos y mucho más.

Descargue ahora la Lista de Seguridad 2025 SaaS CTO de Aikido y comience a reforzar su aplicación y a hacer que su equipo piense seriamente en la seguridad. Nunca es demasiado tarde, ni demasiado pronto, independientemente de la fase en la que se encuentre su empresa.

Descargue la lista completa de comprobación de seguridad de SaaS:

Las empresas SaaS tienen una enorme diana pintada en la espalda en lo que respecta a la seguridad, y eso es algo que quita el sueño a sus directores de tecnología. La Cloud Security Alliance publicó a principios de este año su informe State of SaaS Security: 2023 Survey Report y descubrió que "el 55 % de las organizaciones afirman haber sufrido un incidente en los últimos dos años".

La importancia de la seguridad está respaldada por los resultados de la reciente consulta de Aikido a 15 CTO de SaaS, en la que "el 93% de los CTO calificaron la importancia de la prevención de amenazas con un 7 (sobre 10) o más."

Para ayudar a los CTO de SaaS a dormir mejor, hemos creado una exhaustiva lista de comprobación de seguridad para CTO de SaaS. Estamos seguros de que, si la sigues y vuelves a ella, conseguirás que tanto tu empresa como tu aplicación sean 10 veces más seguras.

Riesgos reales para las empresas SaaS

Las herramientas CI/CD como GitHub Actions y CircleCI son objetivos prioritarios de los hackers. Sus frecuentes brechas permiten acceder a las nubes y exponer los datos. Una brecha en CircleCI en 2023 puso en peligro secretos de clientes, mientras que un exploit en GitHub Actions en 2022 afectó a proyectos de código abierto.

Todo el entorno AWS de una startup se vio comprometido a través de un formulario de contacto básico en su sitio web. ¿Cómo? El formulario permitía ataques SSRF, dando acceso a claves IAM que luego se enviaban por correo electrónico. El atacante obtuvo el control de los buckets de S3 y las variables de entorno.

Estas brechas de seguridad ocurrieron a empresas reales y tuvieron efectos reales. Pero podrían haberse evitado si hubieran invertido más tiempo y esfuerzo en mejorar sus prácticas de seguridad.

Lista de comprobación de seguridad del CTO de SaaS: Más de 40 elementos para guiarle

Nuestra lista de comprobación, aparentemente sencilla, abarca más de 40 formas de reforzar la seguridad de su personal, procesos, código, infraestructura y mucho más. Está organizada por etapas de crecimiento empresarial ( bootstrap, startup y scaleup ) para que pueda encontrar las mejores prácticas de seguridad relevantes para su fase actual. A medida que crezca, nuestra lista de comprobación se convertirá en su guía de confianza y compañero constante en el camino hacia las mejores prácticas de seguridad para su empresa SaaS.

Cada elemento de la lista está diseñado para que usted y su equipo piensen en la seguridad en primer lugar, y luego les da instrucciones claras y concisas sobre lo que pueden hacer para hacer frente a la vulnerabilidad. Y cada elemento está etiquetado para que puedas estar seguro de que se aplica a la etapa actual de tu empresa.

La lista de comprobación también está dividida en secciones para que puedas tener en cuenta las necesidades de las distintas partes de tu empresa. Sus empleados son vulnerables a amenazas distintas de las que afectan a su código o a su infraestructura, por lo que tiene sentido examinarlas por separado.

A medida que vaya repasando la lista, descubrirá sin duda que algunos puntos aún no se aplican a su caso. Pero le recomendamos que revise la lista con regularidad para no encontrarse con sorpresas desagradables. La seguridad no tiene por qué dar miedo, siempre que actúes para estar más seguro antes de que ocurra algo malo.

Hemos seleccionado algunos puntos para ofrecerle un anticipo de la lista de comprobación. La lista final contiene más de 40, así que no dudes en descargar tu copia y empezar a mejorar tu seguridad hoy mismo.

Retroceder y volver a subir

La primera se aplica a todas las etapas de crecimiento de la empresa, y es absolutamente vital. Pero, por otra parte, estamos seguros de que ya realiza copias de seguridad con regularidad, ¿verdad? ¿Verdad?

Contratar un equipo externo de pruebas de penetración

Nuestro siguiente punto es crucial para las empresas que están empezando a crecer. El crecimiento va viento en popa, se ha ocupado de todos los problemas que suponen riesgos en el camino, pero ¿está seguro de que su infraestructura es segura a todos los niveles? Entonces es el momento de contratar a un equipo de pruebas de penetración.

Actualice su sistema operativo y sus contenedores Docker

Esta tarea es sencilla, pero muchos desarrolladores la descuidan. Las actualizaciones consumen tiempo mientras otras tareas parecen más urgentes. Pero saltarse las actualizaciones deja los sistemas vitales expuestos a vulnerabilidades. Sé diligente con los parches y las actualizaciones para evitar quebraderos de cabeza en el futuro.

Acostumbrar a todo el mundo a las prácticas básicas de seguridad

El último punto es pertinente en todas las etapas y forma parte integrante de nuestra lista de control: la necesidad de acostumbrar a todo el mundo a las prácticas básicas de seguridad. Los humanos cometemos errores. Es inevitable. Pero si se consigue que todo el mundo piense en la seguridad, esos errores pueden mitigarse.

Descargue gratuitamente la lista de comprobación de seguridad para CTO de SaaS

Éstos son sólo algunos de los consejos esenciales incluidos en la lista de comprobación. También le orientaremos sobre revisiones de código, incorporación y desconexión, ataques DDoS, planes de recuperación de bases de datos y mucho más.

Descargue ahora la lista de comprobación de seguridad 2024 SaaS CTO de Aikido y comience a reforzar su aplicación y a hacer que su equipo piense seriamente en la seguridad. Nunca es demasiado tarde, ni demasiado pronto, independientemente de la fase en la que se encuentre su empresa.

Descargue la lista completa de comprobación de seguridad SaaS

Hemos consultado a 15 directores de tecnología de SaaS sobre sus retos y preocupaciones en materia de seguridad del código y de la nube. ¿Por qué?

• Todos los CTO de SaaS se enfrentan a retos a la hora de asegurar su producto. Queríamos encontrar esas tendencias y descubrir sus necesidades y preocupaciones.
• La investigación de clientes es esencial para el éxito de cualquier startup, ¡y Aikido no es diferente! De hecho, nos encanta conocer la opinión de nuestros clientes.
• Desde el principio, nos hemos centrado en diseñar y hacer evolucionar nuestras herramientas de seguridad basándonos en lo que es más importante para nuestros clientes.

En Aikido creemos en el intercambio abierto de conocimientos, así que ha llegado el momento de transmitir lo que nuestras consultas han descubierto y puesto al descubierto.

Acerca de nuestra consulta sobre seguridad de la nube y del código

Los directores técnicos a los que consultamos pertenecen a startups de software nativo en la nube con entre 51 y 500 empleados. Nos centramos en estos temas de la nube y la seguridad del código:

• la prioridad que puede recibir la prevención de amenazas
• bloqueadores para prevenir amenazas
• su grado de satisfacción con las soluciones actuales
• qué otras soluciones han utilizado y sus defectos
• retos a los que se enfrentan
• sus necesidades y resultados deseados
• características que valoran, y
• lo que quieren conseguir en el futuro.

¿Qué importancia tiene para ti prevenir las amenazas a la seguridad de la nube y del código?

Empecemos por el nivel de prioridad que los CTO conceden a la prevención de las amenazas a la seguridad. Nuestros datos muestran que los CTO conceden un alto nivel de prioridad a la prevención de amenazas. La valoración media es de 8,27 (sobre 10). El 93% de los CTO calificaron la importancia de la prevención de amenazas con un 7 o más. 8 fue la respuesta más popular, y 10 la segunda opción más votada.

¿Qué impide prevenir eficazmente las amenazas a la seguridad de la nube y del código?

Por mucho que a los directores de tecnología les gustaría prevenir las amenazas a la seguridad de la nube y del código, algunos bloqueos crean obstáculos para el éxito. Los tres principales fueron la competencia de prioridades, el presupuesto y la complejidad.

Prioridades contrapuestas

La principal respuesta: prioridades contrapuestas (40%). ¿Qué significa esto en relación con los retos de seguridad? Aunque los directores de tecnología consideran que la seguridad es una gran prioridad, existen otras preocupaciones igual o potencialmente más importantes dentro de una empresa. Por ejemplo, la carrera por sacar nuevas funciones frente a los problemas de seguridad que las rodean es el acto de equilibrio de la ciberseguridad.

Como la seguridad suele ser una buena inversión a largo plazo pero tiene menos impacto en el día a día, es fácil quitarle prioridad".

Limitaciones presupuestarias

El segundo obstáculo son las limitaciones presupuestarias (33%). El principal reto consiste en demostrar la rentabilidad de las medidas de seguridad para la empresa. O, como dice un director de tecnología, "justificar la inversión en seguridad en la nube". Esto también puede estar relacionado con la falta de prioridad diaria mencionada anteriormente.

Complejidad

La complejidad se lleva el bronce (27%). La cuestión aquí es que hay muchas amenazas potenciales. Priorizarlas se convierte en una carga y un reto. Esto puede resultar abrumador y, en consecuencia, es fácil perder de vista las mayores amenazas.

¿Hasta qué punto está satisfecho con sus soluciones actuales para prevenir las amenazas a la seguridad del código y la nube?

Grado D. La valoración media es de 6,4 y un tercio de los directores de tecnología calificaron su satisfacción con las soluciones actuales con un 5 o menos. Sólo el 20% se mostró muy satisfecho, con un 8 o 9, mientras que el 0% obtuvo un 10 perfecto. La clave aquí es comparar esto con el nivel mucho más alto de prioridad que dan a la prevención de amenazas. Encontramos una diferencia notable y preocupante entre importancia y satisfacción.

¿Qué otras soluciones de seguridad utiliza y cuáles son sus defectos?

Las soluciones de seguridad actuales incluyen una amplia gama de lo que hay disponible en el mercado. Los CTO mencionaron 11 productos; SonarQube fue el más utilizado (33%). Más allá de eso, no más del 13% de los CTO utilizaban los mismos productos en el momento de nuestra encuesta.

Precios y modelos de fijación de precios

El 40% de los CTO indicaron que el mayor defecto tiene que ver con los elevados precios y los modelos de fijación de precios. Un director de tecnología señala que los precios son astronómicamente altos: "Hoy en día se pagan por el software cifras del orden de seis dígitos". Otro cuestiona la viabilidad a largo plazo de los precios por línea: "Los modelos de precios que siguen el número de líneas de código son motivo de preocupación para el futuro".

Falsos positivos

El 33% señaló falsos positivos, es decir, alertas que identifican erróneamente una vulnerabilidad o actividad maliciosa. Todos podemos identificarnos con las frustraciones en este caso: la fatiga de las alertas y el despilfarro de recursos que suponen los falsos positivos.

Otros fallos de las soluciones actuales

Otros defectos son las dificultades para evaluar el riesgo, la complejidad de la configuración y el mantenimiento, la falta de adaptación de la pila tecnológica y la protección limitada.

Un director de tecnología señala las frustraciones en torno a la necesidad de emplear múltiples soluciones de seguridad:

'No conozco ninguna solución que cubra múltiples escenarios, lo que significa que mi expectativa como CTO sería que el SaaS que usamos actualmente para escaneos de seguridad automatizados de nuestra base de código seguramente no va a ser lo mismo que una solución que asegure el cumplimiento con uno de nuestros proveedores de nube'.

¿Qué aprendemos de lo que piensan los directores de tecnología sobre los fallos actuales del software de seguridad?

Esta es la principal conclusión. Los directores de tecnología buscan una ventanilla única de software de seguridad del código y de la nube:

• precios razonables
• ausencia de falsos positivos
• una configuración sencilla, y
• mantenimiento sin complicaciones.

¿Cuáles son los mayores retos a la hora de proteger el código y la nube?

Los principales retos actuales para los CTO de SaaS son la oposición dentro de la empresa, demasiada información con la que lidiar, la evolución de las amenazas y la complejidad de tener una cobertura total.

Oposición interna

El 40% afirma que el principal reto es interno: la falta de concienciación u otras prioridades se traducen en recursos limitados. Esto confirma los dos principales obstáculos a la prevención de amenazas mencionados anteriormente (prioridades y presupuesto).

El mayor reto es cambiar la mentalidad de la organización y hacerles comprender que la seguridad es una característica y que debemos invertir continuamente en ella".

La gestión del cambio es notoriamente difícil. Y sensibilizar a los ciudadanos para que introduzcan cambios significativos en su actitud y estrategia puede ser un reto aún más arduo.

Demasiado ruido

La sobrecarga de información es real. El 27% de los directores de tecnología afirman que el mayor reto es clasificar entre el ruido. No es fácil entender qué amenazas priorizar o explorar, ni cómo tratarlas. De nuevo, si hay falsos positivos en la mezcla, puede haber callejones sin salida, ineficiencias y trabajo mal orientado.

Parece que hay datos ilimitados en los registros, pero no hay forma de gestionar lo que significan todos ellos y quién y cómo debe abordarlos".

Evolución, cobertura y complejidad de las amenazas

La evolución de las amenazas, la cobertura y la complejidad se clasificaron como retos de menor nivel. Sin embargo, siguen confirmando algunos de los bloqueos y defectos identificados anteriormente en la encuesta.

Las amenazas a la seguridad no se estancan: evolucionan y tienden a ir un paso por delante de las soluciones de seguridad. Esto significa que sus vulnerabilidades también están evolucionando, y a veces puede parecer que está jugando a la ruleta.

'Los atacantes son cada vez más sofisticados en sus métodos, y se descubren nuevas vulnerabilidades con regularidad.'

Los directores de tecnología señalaron además problemas que confirman algunos de los fallos detectados en sus soluciones actuales. Informan de que reciben una cobertura incompleta, lo que crea una falsa sensación de seguridad. Y en el negocio de la seguridad, ¡eso no es suficiente!

Aunque intentan dar una sensación de seguridad, me preocupa que en realidad no nos protejan contra la mayoría de las amenazas".

La cobertura incompleta está relacionada con la necesidad, o la percepción de la necesidad, de un mosaico de diversas soluciones:

Hay demasiadas partes móviles. Desde los sistemas y el software de desarrollo inicial reales, pasando por el proceso CICD, hasta la infraestructura de aplicaciones y los repositorios de datos, ... no encajan en un planteamiento de solución holística de la postura de seguridad.'

¿Cuáles son los resultados empresariales deseados por los directores de tecnología? Qué es lo que más importa a los CTO sobre la nube y la seguridad del código?

Hicimos estas dos preguntas para averiguar cuáles eran sus objetivos estratégicos y qué era lo más importante para alcanzarlos.

Resultados deseados

Los directores de tecnología clasificaron así los tres principales resultados estratégicos:

1. Proteger la reputación de la marca y la confianza de los clientes (47%)
2. Los datos sensibles están protegidos, lo que significa que no hay filtraciones (33%).
3. Estar cubierto para cumplir la normativa (20%)

¿Qué es lo más importante?

Y, para poner en práctica estos resultados deseados, lo que más importaba a los CTO eran estos (se permite elegir más de uno para esta pregunta):

1. Bajo mantenimiento (53%)
2. Fiabilidad / Ausencia de falsos positivos (40%)
3. Informes claros y eficaces (33%)

¿Notas lo mismo que nosotros? Son conclusiones similares a lo que aprendimos de la pregunta sobre los fallos actuales de las soluciones de seguridad.

¿Y los precios?

Sin embargo, la información clara y eficaz sustituye a los precios razonables en la lista anterior en comparación con los defectos aprendidos. Así, contradiciendo los comentarios y opciones sobre precio y presupuesto anteriores en la encuesta, sólo el 7% dio prioridad al precio en esta pregunta. ¿Qué puede significar esto?

Desentrañemos la perplejidad de los precios. Interpretamos que el precio es un reto y un obstáculo cuando el software de seguridad no cumple las expectativas. Pero, si la solución de seguridad es precisa, fácil de mantener, desmitifica la complejidad con informes sencillos y, a su vez, ayuda a alcanzar los objetivos superiores de proteger la reputación de la marca, generar confianza en los clientes y mantener los datos seguros al tiempo que se cumplen las normas de conformidad, el precio se convierte en un obstáculo menor y más fácil de justificar.

Las características más importantes a la hora de elegir un software de seguridad para la nube y el código

También preguntamos a los directores de tecnología de SaaS qué características técnicas son más importantes para ellos. Clasificaron cinco afirmaciones de la siguiente manera (puntuaciones sobre 4):

1. Detección de errores de configuración en la nube - 3,67 (el 33% lo clasificó en primer lugar)
2. Exploración de vulnerabilidades de código abierto - 3,53 (33% en primer lugar)
3. Detección de secretos (claves API, contraseñas, certificados, etc.) - 3,53 (más del 53% lo clasificó en segundo lugar)
4. Análisis estático de código mediante plataformas CI/CD - 2.93
5. Escaneado de licencias de código abierto - 1,33 (80% en último lugar)

¿Cuáles de estas funciones de seguridad son las más importantes para usted? ¿Hay otras que le gustaría ver en su solución de seguridad?

¿Quiere un producto que resuelva sus retos de seguridad en la nube y del código?

Por encima de todo, cuando se les preguntó qué les gustaría conseguir en el futuro, los directores de tecnología dieron la máxima puntuación a la siguiente afirmación:

'Quiero sentirme completamente a salvo de las amenazas a la seguridad de la nube y del código'.

Esto es música para nuestros oídos. Willem, nuestro director de tecnología, tenía exactamente ese problema en sus anteriores empresas. Ese problema le impulsó a crear la solución adecuada. Así que eso es precisamente lo que estamos construyendo con Aikido.

Nuestra solución reúne las mejores herramientas de seguridad de software de código abierto. Esto le permite cubrir todas las áreas relevantes. Aikido también le muestra qué problemas y vulnerabilidades son realmente importantes y cuáles debe resolver. Nada de falsos positivos.

Compruebe usted mismo cómo Aikido puede aliviar los retos de seguridad de la nube y del código de un CTO. Pruebe Aikido de forma gratuita o póngase en contacto con nosotros.

En el cambiante panorama digital, la seguridad de las aplicaciones es una necesidad. Una de las formas más eficaces de reforzar la seguridad de su aplicación es evaluarla con el Top 10 de OWASP. Pero, ¿qué es exactamente el OWASP Top 10 y por qué debería importarle?

OWASP Top 10: un marco para la seguridad web

El Open Web Application Security Project(OWASP) es una fundación sin ánimo de lucro que lucha por hacer más seguro el software en la web. Su Top 10 es un informe ampliamente reconocido que describe los 10 riesgos más críticos para la seguridad de las aplicaciones web. Básicamente, se trata de una lista de comprobación de los puntos débiles más comunes que podrían convertir tu aplicación en objetivo de las ciberamenazas.

¿Por qué debería interesarle el Top 10 de OWASP?

El Top 10 de OWASP trata sobre la gestión de riesgos. Abordar las vulnerabilidades destacadas en el Top 10 de OWASP ayuda a mitigar el riesgo de una brecha de seguridad, desarrollar código más seguro y crear una aplicación más segura.

Seguir el Top 10 de OWASP también es una medida inteligente para cumplir las normas reglamentarias y dar a los usuarios confianza en su compromiso con las mejores prácticas de seguridad. Si tu aplicación maneja datos confidenciales, tus usuarios querrán saber que están a salvo.

La lista de comprobación de OWASP se actualiza cada tres o cuatro años aproximadamente y la última actualización fue en 2021. Cada vez se produce alguna consolidación, cambio de nombre y reordenación, a medida que las vulnerabilidades y amenazas aumentan y disminuyen en gravedad. Ser consciente de los peligros actuales puede ayudarle a saber por dónde empezar y qué riesgos críticos necesitan atención inmediata.

Echemos un vistazo a la lista más reciente.

Los 10 principales riesgos para la seguridad de las aplicaciones web de OWASP

1. Control de acceso roto

A menudo no se aplican las restricciones sobre lo que pueden hacer los usuarios autenticados. Los piratas informáticos pueden aprovechar estos fallos para acceder a funciones y/o datos no autorizados. Podrían acceder a otras cuentas de usuario, ver archivos confidenciales, modificar o destruir datos y cambiar los derechos de acceso. Incluso podrían acabar teniendo derechos de administrador de todo el sistema. El Top 10 de OWASP hace hincapié en una regla esencial: excepto para los recursos públicos, denegar por defecto.

2. Fallos criptográficos

Muchas aplicaciones web no protegen adecuadamente los datos sensibles, como tarjetas de crédito, credenciales de autenticación, historiales médicos y otros datos personales. Los atacantes pueden robar o modificar datos débilmente protegidos para llevar a cabo fraudes con tarjetas de crédito, robos de identidad u otros delitos. En el caso de las empresas, es necesario mantener a salvo la propiedad intelectual y otros secretos comerciales. Asegúrese de evaluar las necesidades de protección de los datos en tránsito y en reposo. Y evalúe periódicamente todos los protocolos y algoritmos en busca de puntos débiles.

3. Inyección

Los fallos de inyección se producen cuando una aplicación envía datos no fiables como parte de un comando o consulta. Los atacantes pueden engañar al intérprete para que ejecute comandos no deseados o acceda a datos no autorizados, con la consiguiente pérdida de datos, corrupción o acceso no autorizado. La revisión del código fuente le ayudará en este sentido, al igual que el uso riguroso de herramientas de comprobación de la seguridad de las aplicaciones antes de desplegarlas en producción.

4. Diseño inseguro

OWASP recomienda encarecidamente que la seguridad comience antes de que se realice la codificación. Los fallos de diseño o arquitectura pueden condenar una aplicación incluso si está implementada de forma segura. Esta fase previa a la codificación debe incluir más modelos de amenazas, patrones y principios de diseño seguro y arquitecturas de referencia. Tiene que incluir un equilibrio entre los requisitos técnicos y los de la empresa, junto con una mirada fría y dura al perfil de riesgo de la empresa.

5. Desconfiguración de la seguridad

El riesgo de mala configuración se refiere a la aplicación incorrecta de controles para mantener a salvo los datos de la aplicación, como errores en los ajustes de seguridad, actualizaciones de software, archivos de configuración del servidor o funciones y páginas de la aplicación. Puede contribuir en gran medida a mitigar estos riesgos manteniendo un barco hermético en forma de plataforma mínima. No incluyas funciones, marcos ni componentes innecesarios. Lo esencial, según el Top 10 de OWASP, es desactivar las cuentas y contraseñas por defecto, asegurarse de que la gestión de errores no revele demasiada información y mantener todo parcheado y actualizado.

6. Componentes vulnerables y obsoletos

Los componentes, como bibliotecas, frameworks y otros módulos de software, se ejecutan con los mismos privilegios que la aplicación. Si se explota un componente vulnerable, un ataque puede suponer una grave pérdida de datos o incluso la toma completa del servidor. Hay que conocer las versiones que se utilizan tanto en el lado del cliente como del servidor, buscar vulnerabilidades con regularidad y estar al tanto de los boletines de seguridad. Pero lo más importante, dice OWASP, es que no te limites a aplicar parches cada mes o cada trimestre, ya que esto deja tu aplicación expuesta y en peligro.

7. Fallos de identificación y autenticación

Si las funciones de autenticación y gestión de sesiones de su aplicación no se implementan correctamente, los atacantes pueden comprometer contraseñas, claves o testigos de sesión, o explotar otros fallos de implementación para asumir otras identidades. El Top 10 de OWASP advierte contra las contraseñas débiles, la reutilización de identificadores de sesión, los procesos de recuperación débiles o permitir ataques automatizados. Si puedes, la autenticación multifactor es el camino a seguir, junto con una serie de medidas de autenticación sencillas y de sentido común.

8. Fallos en el software y en la integridad de los datos

Cuando las aplicaciones dependen de fuentes no fiables, como plugins o bibliotecas, pueden producirse fallos en el software y en la integridad de los datos. Además, contar con canales de CI/CD inseguros puede dar lugar a accesos no autorizados o incluso comprometer el sistema. Otro riesgo proviene de las funciones de actualización automática que no hacen lo suficiente para verificar la integridad y las formas inseguras de organizar las estructuras de datos. Para prevenir estos riesgos, su equipo debería utilizar firmas digitales. Éstas pueden confirmar la seguridad del software o los datos. Asegúrese de utilizar únicamente repositorios de confianza para bibliotecas y dependencias. También deberías implementar herramientas de seguridad de la cadena de suministro de software para comprobar vulnerabilidades conocidas. OWASP sugiere mantener un proceso de revisión para los cambios de código y configuración y establecer un control de acceso adecuado para la canalización CI/CD. Por último, no envíes datos serializados sin firmar o sin cifrar a los clientes a menos que hayas comprobado su integridad o añadido una firma digital.

9. Fallos en el registro y la supervisión de la seguridad

Un registro y una supervisión insuficientes, combinados con una integración inexistente o ineficaz con la respuesta a incidentes, permiten a los atacantes atacar sistemas, mantener la persistencia, pivotar a más sistemas y manipular, extraer o destruir datos. Entre otras medidas, el Top 10 de OWASP sugiere que se registren todos los eventos, como los inicios de sesión y los inicios de sesión fallidos, las advertencias y los errores deben generar mensajes de registro claros, y los registros nunca deben almacenarse únicamente a nivel local. Hacer que los eventos de registro y alerta sean visibles para un usuario también es una fuente de riesgo.

10. Falsificación de peticiones del lado del servidor

Los problemas de falsificación de peticiones del lado del servidor (SSRF) se producen cuando una aplicación web obtiene datos de una fuente remota sin comprobar la URL proporcionada por el usuario. Esto puede permitir a los atacantes engañar a una aplicación para que realice peticiones a lugares no deseados, incluso saltándose las medidas de seguridad de la red. OWASP cree que estos problemas son cada vez más comunes, ya que las aplicaciones web modernas a menudo necesitan obtener URL. Los riesgos son cada vez más graves debido al uso de servicios en la nube y sistemas complejos. Una vez más, el enfoque de denegación por defecto en el nivel de acceso a la red es su amigo aquí. Y también hay una serie de medidas a tomar en la capa de aplicación.

He escrito un blog sobre un caso de uso real, no dudes en echarle un vistazo.

¿Por qué utilizar OWASP Top 10?

El Top 10 de OWASP no es sólo una lista de problemas, es una guía de soluciones. Cada elemento de la lista incluye una sección sobre cómo prevenir la vulnerabilidad y ejemplos de ataques que proporcionan a los desarrolladores pasos prácticos para mejorar la seguridad de sus aplicaciones. La seguridad de las aplicaciones es un proceso continuo y no dejan de surgir nuevas amenazas. Si se mantiene alerta y hace de la seguridad una prioridad, podrá proteger su aplicación y a sus usuarios.

Y para las empresas, el Top 10 de OWASP no es sólo una lista de comprobación, es un tema de conversación. Es una herramienta que lleva la seguridad al primer plano del proceso de desarrollo, fomentando una cultura de concienciación sobre la seguridad dentro de su organización. Al centrarse en los 10 puntos principales de OWASP, no sólo está mejorando la seguridad de su aplicación, sino que está haciendo de la seguridad una parte fundamental de su proceso de desarrollo.

Si eres una empresa nativa de la nube, Aikido ahora te facilita el escaneo de tu entorno de desarrollo para la cobertura OWASP Top 10. Nuestras herramientas de prueba e informes de seguridad le dan una clara puntuación OWASP Top 10 y un análisis de las medidas adoptadas para prevenir cada vulnerabilidad. Puede compartir los informes con las partes interesadas y utilizarlos para obtener una instantánea rápida de las prácticas de seguridad en las que debe centrarse.

Escanee su entorno con Aikido ahora mismo para obtener su puntuación OWASP Top 10.

¿Cómo evitar errores comunes al crear un panel de administración de SaaS? Esbozaremos algunas dificultades y posibles soluciones específicas para todos los creadores de SaaS.

¿Qué ocurre cuando se crea una aplicación SaaS que tiene más de unos pocos clientes? En algún momento ocurre lo inevitable. El personal de ventas y atención al cliente se dirige al equipo de desarrollo con requisitos como:

• Muéstrame qué cuentas se utilizan activamente
• Permitirme entrar en una cuenta de cliente para soporte técnico
• Activar o desactivar un indicador de función específico para alguna cuenta
• Algunos usuarios no pueden iniciar sesión, ¿puede decirme qué método utilizan para autenticarse?
• Tengo un revendedor y necesitan acceso a sus subcuentas
• Necesito ampliar la prueba gratuita de una cuenta
• Una cuenta necesita una configuración específica que sólo los agentes de éxito del cliente deberían poder configurar
• Muéstrame el MRR total de un grupo específico de clientes.

Diversas herramientas pueden cubrir algunos de estos casos de uso. Herramientas de PLG como Segment y journy.io pueden realizar un seguimiento de la actividad. Tal vez utilice un servicio de señalización de características como LaunchDarkly. Stripe o Chargebee podrían gestionar algunos de los aspectos relacionados con la facturación. Mientras tanto, los problemas relacionados con la autenticación podrían ser visibles en su cuenta Auth0. Sin embargo, es poco probable que esté utilizando todas estas plataformas. Incluso si lo está, probablemente no pueda cubrir algunos casos de uso.

La solución es construir un panel de administración personalizado. Parece que hay algunos frameworks y servicios comerciales disponibles para empezar rápidamente. Pero, ¿cómo elegir uno frente a construir uno propio desde cero?

Evita los paneles de administración integrados en tu aplicación

Como primer principio, recomendamos evitar cualquier panel de administración inyectado en el código de la aplicación principal, como hace ActiveAdmin. Esto tiene muchas desventajas:

• Es probable que se detecten nuevas rutas API de administración en el código cliente de su aplicación y que los atacantes puedan sondear o atacar esta vulnerabilidad
• Es probable que acabe teniendo varios tipos de usuarios dentro de una misma base de código, lo que complicará las revisiones de control de acceso.
• Añadir funciones de protección adicionales, como restringir el acceso desde una única dirección IP, será mucho más difícil.
• Si se detecta un problema crítico en el código del panel de administración, es más difícil desconectarlo sin desconectar la aplicación.

Las aplicaciones que no siguen este principio tienen más posibilidades de acabar en las historias de Slashdot. He aquí una: https://yro.slashdot.org/story/23/01/09/221207/researchers-track-gps-location-of-all-of-californias-new-digital-license-plates. En particular, esta historia demuestra que es posible convertir una cuenta de usuario en una cuenta de superadministrador que puede ver los datos de otros usuarios.

Elija un panel de administración con un registro de auditoría de las acciones de los usuarios

En caso de que haya que decirlo, eso significa que sus administradores tendrán que autenticarse con cuentas de usuario separadas. (¡Nada de iniciar sesión con una contraseña compartida utilizando support@app.io!). ¿Cuál es la ventaja de esto? Si se actualiza la configuración de alguna cuenta sensible, podrás averiguar más tarde quién hizo el cambio.

Imponer al menos 2FA (o 3FA) para autenticar a los usuarios administradores.

Elija una solución de panel de administración que le permita añadir factores adicionales a la 2FA, como restricciones de IP o acceso a través de otras soluciones de confianza cero.

Bonificación: Utilice las cabeceras de la Política de Seguridad de Contenidos (CSP) para bloquear javascript desconocido.

Bloquear javascript desconocido es crítico, especialmente en portales de administración interna. A continuación, un ejemplo de cómo Apple era vulnerable a la vulnerabilidad de inyección de correo electrónico, que podría haberse resuelto con simples cabeceras CSP.

Este tuit me ha recordado a una vez que estaba hackeando en el programa de recompensas por fallos de Apple. Encontré, de todas las cosas, una cita de Harry Potter codificada en base64 en una página interna de depuración y administración de cuentas de iCloud. Es la primera vez que comparto esto, ya que han pasado más de 90 días ... https://t.co/CBc8QC5y3i pic.twitter.com/BNauDq7w01

- Sam Curry (@samwcyo) 24 de diciembre de 2023

Reflexiones finales sobre la creación de un panel de administración seguro

Sí, es posible crear un panel de administración seguro para tu aplicación. Tendrás que elegir un marco de trabajo que te ayude o una solución SaaS o de bajo código existente que te ayude a empezar. Mientras lo mantengas separado de tu aplicación principal y se comunique con ella a través de API privadas, no tendrás problemas.

Aikido es una herramienta de seguridad de aplicaciones todo en uno. ¿Quieres ver si tu aplicación es segura? Empieza a escanear gratis.