daniel-blazquez_hdiv
Daniel Blázquez Product Marketing Manager Hdiv Security

IAST: la solución para conseguir DevSecOps

DevSecOps

Cada vez es más importante encontrar herramientas eficaces que permitan un control férreo de la seguridad a la hora de publicar aplicaciones de software. No en vano, la transformación digital ha impulsado un crecimiento exponencial en cuanto al número de aplicaciones que salen al mercado, así como en la constante actualización de estas.

Muchas de estas aplicaciones tienen requisitos altos de seguridad, ya sea porque manejan datos personales, soporten casos de uso financieros o porque la empresa dependa de las aplicaciones para operar al día. Hasta ahora, el estándar para verificar y mejorar la seguridad de las aplicaciones ha sido el uso de herramientas de análisis estático (SAST), scanners de vulnerabilidades (DAST) o revisiones manuales de las aplicaciones como pentesting. Sin embargo, la aparición de nuevas tecnologías de despliegue como containers o microservicios, así como metodologías de desarrollo ágiles como DevOps, obligan a un nuevo enfoque de seguridad que opere al ritmo de los equipos de desarrollo y cumpla los objetivos de negocio.

La metodología DevSecOps es uno de los enfoques más conocidos para resolver este dilema y para mantener la velocidad de desarrollo sin comprometer la seguridad. A grandes rasgos, la idea detrás de DevSecOps es la automatización de la seguridad y la incorporación de actividades de seguridad durante todo el ciclo de vida de las aplicaciones.

El enfoque IAST sigue ganando cuota de mercado y está maduro. Es la tecnología de referencia en la fase de desarrollo y en la de ‘testing’

¿Por qué el enfoque interactivo IAST es superior?

Las soluciones tradicionales como el análisis estático SAST o el análisis dinámico DAST disfrutan de una gran aceptación, pero no son capaces de dar respuesta a estos nuevos retos. El análisis estático es lento y tiende a producir falsos positivos. El análisis dinámico a través de scanners web suele omitir muchos tipos de riesgos y solo es útil en las fases finales del ciclo de vida.

Para cubrir la brecha que dejan estas soluciones, la industria de la seguridad de las aplicaciones ha evolucionado hacia la tecnología interactiva IAST (Interactive Application Security Testing), un nuevo paradigma en la seguridad de las aplicaciones. De hecho, Gartner ya reconoce que «IAST supera los problemas que ocurren cuando SAST o DAST se ejecutan solos».

La tecnología IAST combina lo mejor del enfoque estático y del enfoque dinámico. Al trabajar con la aplicación en funcionamiento, como un DAST, observa las aplicaciones en ejecución, sin necesidad de simular su comportamiento. Y al mismo tiempo, el acceso a la estructura interna de la aplicación proporciona un contexto completo para detectar problemas de seguridad que a veces no son obvios desde el exterior.

El enfoque IAST continúa ganando cuota de mercado, y aunque es una tecnología emergente, ya está plenamente madura. De hecho, según Forrester, el enfoque IAST ya ha superado al DAST en cuanto a adopción y uso, y ya es la tecnología de referencia tanto en la fase de desarrollo como en la de testing. «El cambio de DAST a IAST ayuda a los equipos a integrar la seguridad en sus procesos de desarrollo existentes», afirma la empresa.

IAST_DevSecOps
Fuente: National Institute of Standards and Technology.

¡Sigue leyendo!

Aquí te hemos mostrado tan solo una parte de este artículo.

¿Quieres leer el contenido completo?

Leer Completo
Contenido seleccionado de la revista digital
Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad