Seguridad en la nube: cinco conclusiones clave de la encuesta SANS DevSecOps

Un informe reciente del SANS Institute revela que los equipos de DevSecOps están mejorando sus herramientas, procesos y técnicas, pero los entornos de TI cada vez más híbridos y multinube de sus organizaciones son cada vez más difíciles de proteger. Vea los puntos destacados de la “Encuesta SANS 2022 DevSecOps”.

Las organizaciones siguen haciendo madurar DevSecOps – alineando los equipos de desarrollo, operaciones y seguridad junto con herramientas y procesos – pero mejorar su postura de seguridad no es más fácil debido a los nuevos y más complejos desafíos.

Esa es una conclusión clave proveniente de la “Encuesta SANS 2022 DevSecOps” del SANS Institute, con base en una encuesta aplicada a 431 líderes y profesionales de la seguridad en todo el mundo.

En este blog, destacamos cinco conocimientos provenientes del informe, que ofrece una visión detallada de las tendencias de DevSecOps, así como recomendaciones concretas para mantener los esfuerzos de DevSecOps en el buen camino. También proporcionamos información de cómo puede ayudar Tenable.

En la raíz de muchos de los desafíos de DevSecOps destacados en el informe SANS, se encuentra la naturaleza cada vez más híbrida y multinube de los entornos de TI de las organizaciones, donde las aplicaciones se hospedan “más que nunca” localmente y en varias plataformas de nube mediante máquinas virtuales, contenedores y funciones sin servidor.

“Estos entornos presentan desafíos de seguridad debido a las diferencias inherentes entre los distintos proveedores de servicios en la nube y a las muy diferentes demandas de hospedaje local”, dice el informe de 20 páginas, patrocinado por Tenable.

Cinco conocimientos para reforzar su estrategia de DevSecOps

Fuente: SANS Institute, “Encuesta SANS 2022 DevSecOps”, septiembre de 2022

1. Cuando se les pidió que enumeraran los principales factores que contribuían al éxito de DevSecOps, los encuestados mencionaron los siguientes factores:
   • Aceptación de la dirección.
   • Mejora de las comunicaciones entre las áreas de desarrollo, seguridad y operaciones.
   • Flujo de trabajo automatizado de creación/prueba/implementación.
   • Pruebas de seguridad automáticas integradas.
   • Aceptación de los desarrolladores.
2. Los equipos de DevSecOps están subutilizando el software de gestión de postura de seguridad en la nube (CSPM), que puede ayudar a proteger entornos multinube a escala con una combinación de máquinas virtuales, contenedores y sin servidor. El informe sugiere que las organizaciones consideran aumentar su uso y adopción de productos CSPM.
3. CSPM y policy-as-code están ayudando a las organizaciones a automatizar aún más la aplicación de sus políticas de cumplimiento a escala, y varios encuestados afirman que el 100 % de sus políticas se aplican automáticamente, pasando del 5,1 % en 2021 al 18,4 % este año.
4. Siendo que los equipos de DevSecOps lanzan software a producción de forma más rápida y frecuente, algunos a diario y otros incluso las 24 horas del día, deben asegurarse de que todo el código se entregue a través de un pipeline CI/CD (integración continua / implementación continua) con pruebas de seguridad integradas.
5. Se ha producido un aumento general en las pruebas de seguridad durante el ciclo de generación y lanzamiento, con una sola excepción: el uso de plug-ins de seguridad en entornos de desarrollo integrados (IDE) ha disminuido con respecto al año pasado.

Fuente: SANS Institute, “Encuesta SANS 2022 DevSecOps”, septiembre de 2022

¿Cómo puede ayudar Tenable a poner estos conocimientos a trabajar para usted?

Tenable ofrece soluciones de software-as-a-service (SaaS) y experiencia, como Tenable Cloud Security, una solución unificada de gestión de vulnerabilidades y seguridad en la nube que se puede aplicar para respaldar muchos de los hallazgos de SANS, independientemente de dónde se encuentre usted:

1. Para mejorar la aceptación de la dirección y fomentar la colaboración con DevSecOps. Tenable Cloud Security ofrece a los ejecutivos y profesionales de DevSecOps tableros de control integrados basados en funciones que ofrecen los conocimientos específicos que cada uno necesita para tomar mejores decisiones de seguridad para sus respectivos roles. Por ejemplo, una puntuación global de Cyber Exposure permite a los ejecutivos y arquitectos de seguridad en la nube evaluar la postura general de seguridad en la nube de su organización en comparación con sus colegas de la industria y justificar las decisiones de inversión.
2. Para aliviar la dificultad de proteger entornos de nube de proveedores mixtos. Tenable Cloud Security admite prácticas recomendadas populares como puntos de referencia del Center for Internet Security (CIS) listos para usar y los aplica de forma consistente a proveedores de nube y tecnologías, desde máquinas virtuales hasta arquitecturas nativas en la nube que utilizan infrastructure as code (IaC), contenedores y Kubernetes. También permite la definición de policy-as-code personalizado para cumplir con requisitos únicos.
3. Para reforzar el cumplimiento a escala. Tenable Cloud Security permite realizar pruebas de conformidad para marcos normativos críticos, como la Norma de Seguridad de Datos en la Industria de las Tarjetas de Pago (PCI DSS), la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA), el Reglamento General de Protección de Datos (RGPD) y otros en todos los entornos de tiempo de ejecución: desarrollo, pruebas, preparación y producción. Además, proporciona informes de cumplimiento automatizados, detección de desviaciones y alertas cuando las configuraciones de tiempo de ejecución no cumplen las normativas.
4. Para garantizar que las pruebas de seguridad se apliquen dentro de los pipelines CI/CD, Tenable Cloud Security se integra con las herramientas CI/CD populares y aplica una base de conocimiento extensa de 1500 políticas y 72 000 vulnerabilidades de Tenable Research. Lo anterior para identificar configuraciones incorrectas en IaC y vulnerabilidades en imágenes, así como para proporcionar protecciones automáticas para notificar o prevenir la implementación para infracciones graves.
5. Para impulsar una mayor automatización en los flujos de trabajo de creación y lanzamiento. Tenable Cloud Security proporciona opciones de prueba adicionales para los equipos de DevSecOps, incluidas las pruebas de código por parte de los desarrolladores en su escritorio, la integración y prueba de repositorios de gestión de código fuente y la capacidad de crear pull requests automatizadas que incluyan código en conformidad que los desarrolladores puedan aceptar con un solo clic, o bien, los equipos de seguridad puedan establecer la corrección automática.

Más información

• Visite la página de soluciones de Tenable Cloud Security: https://www.tenable.com/solutions/cloud-security-posture-management.
• Lea la “Encuesta SANS 2022 DevSecOps” del SANS Institute.
• Vea el seminario web de Tenable "Cuando tiene que ver con una seguridad en la nube eficaz, compartir es mostrar interés".