Imatge: Pexels
En un moment donat, les estadístiques de ciberseguretat van demostrar-ho més de 80,000 ciberatacs ocorren diàriament, que sumen uns 30 milions cada any. Els incidents de ransomware fins i tot creixen un 350% anual.
Aquestes xifres només us indiquen que la protecció de llocs web, aplicacions i bases de dades hauria de ser una de les preocupacions més importants de qualsevol empresa en línia o basada en el programari.
Malauradament, amb la creixent demanda de programari, moltes empreses i desenvolupadors poden passar per alt el reforç de les defenses de les seves aplicacions i llocs en crear-les. Un cop infiltrats pels segrestadors cibernètics, aquestes eines explotades poden convertir-se en la causa última de pèrdues massives i d’aturades permanents del negoci.
Llavors, com podeu, com a desenvolupadors empresarials, garantir la seguretat del vostre programari el 2021? Consulteu aquestes cinc estratègies de ciberseguretat:
1. Construir una mentalitat de ciberseguretat des del principi
Tenir una mentalitat de ciberseguretat us ajuda a integrar mesures de seguretat al llarg del cicle de vida del desenvolupament del producte. Si sou conscient de la seguretat del vostre lloc web o programari des del principi, podeu treballar amb més cura per garantir-ne la seguretat a l’hora de codificar-lo, actualitzar-lo i desplegar-lo.
Una manera de crear una mentalitat de ciberseguretat a mesura que desenvolupeu el vostre programari és mitjançant familiaritzar la matriu MITRE ATT & CK.
Significa MITRE Tàctiques adverses, tècniques i coneixements comuns i és una base de coneixement i un model de coneixement i accessibilitat internacionals per a activitats ciberdelinqüents de la vida real.
El marc MITRE ATT & CK us mostra les accions controvertides específiques i les plataformes dirigides amb freqüència en totes les fases del viatge amb ciberatac.
En concret, el marc revela el Tàctiques en columnes (vegeu la taula següent). Això representa els objectius antagònics i astuts a curt termini d'un atac.
D'altra banda, el Tècniques en cèl·lules individuals mostren els mètodes enganyosos que els ciberdelinqüents utilitzen per implementar els seus objectius.
Font de la imatge: McAfee.
Per exemple, mireu el fitxer Moviment lateral columna. Notareu la cel·la "Eina de desplegament de programari" que hi ha a sota. Suposem que heu creat una d'aquestes eines per a la vostra empresa i que resulta vulnerable i penetra. Els ciberdelinqüents poden explotar-lo per obtenir moviment lateral a la vostra xarxa i executar remotament codi maliciós als vostres sistemes. Finalment, això els permetrà controlar i causar estralls al vostre sistema i a l’empresa.
El MITRE ATT & CK és similar a la cadena de cyber kill desenvolupada per Lockheed Martin, però és més completa. També s’ha modernitzat ja que inclou tècniques i tàctiques natives al núvol (que falten a la cadena de ciber kill).
A més, MITRE ATT & CK s’actualitza constantment amb les aportacions de la indústria, equipant-vos amb les últimes tendències en atac cibernètic per protegir el vostre programari de la vostra construcció o manteniment.
2. Prova de seguretat del producte
Provar les defenses del vostre lloc web o del programari descobreix i ajuda a garantir la seva resistència contra els ciberatacs. Quan descobreixis les parts en què l’aplicació o el lloc web encara són susceptibles, podeu corregir-les i optimitzar-les abans de finalitzar i llançar el vostre producte.
Podeu treballar amb el vostre departament de TI i altres experts en ciberseguretat que la vostra empresa aporta per provar la seguretat del vostre programari. Un mètode actual i fiable per a això és implementant una simulació d'atac.
La simulació d’atacs i atacs, en particular, és una nova estratègia de ciberseguretat que replica automàticament els intents de penetració d’adversaris moderns i realistes i revela llacunes de seguretat al vostre programari i, fins i tot, a tot el vostre ecosistema de TI.
És com una prova de penetració actualitzada i una combinació automatitzada i contínuament implementada de mètodes d’associació vermella i blava (que sovint es realitzen manualment).
Un cop executada aquesta simulació i l'eina BAS descobreix els punts febles de seguretat, s'enumeren les mesures correctores prioritàries necessàries.
Una estratègia BAS també funciona de manera autònoma 24/7. Això us permet augmentar la vostra visibilitat sobre les vulnerabilitats del vostre programari, abordar-les amb rapidesa i augmentar la seguretat del vostre producte, especialment si teniu una àmplia gamma d’eines desenvolupades.
3. Protecció del vostre codi
Com més la vostra empresa confiï en el vostre programari desenvolupat, més urgent hauríeu de protegir-lo i el seu codi. Per què? Com que el codi del vostre programari és l’eix vital no només de la vostra eina, sinó també de tota la vostra organització. Si es pirateja, podeu perdre milers de milions de dòlars i fins i tot tancar el vostre negoci.
Una excel·lent estratègia de seguretat del codi és implementar còpies de seguretat de codi regulars, fins i tot si ja manteniu el vostre codi en dipòsits com GitHub i GitLab.
Com a desenvolupador, sabeu que aquests i altres dipòsits no són completament segurs dels pirates informàtics, ja que també contenen llacunes de seguretat. Els informes de notícies són fins i tot animats amb aquests incidents, com ara el presumptament piratejat el compte de Microsoft GitHub el maig de 2020.
Dit això, protegiu el vostre codi amb robustes eines de còpia de seguretat de tercers especialitzades en la duplicació automàtica de repositoris de codi. La còpia de volums de codi és extremadament pesada i requereix molt de temps, ja que comporta possibles fuites i errors de còpia de seguretat. Amb aquestes eines externes, podeu racionalitzar les còpies de seguretat de codis i continuar amb les tasques principals de desenvolupador.
Apreneu-vos també a la codificació segura, un pas crític a l’inici del desenvolupament del vostre producte. Tots els llenguatges de programació tenen el seu conjunt de febleses complexes i capricis a tenir en compte i per a què convertir-se en un millor Java o en un altre programador el 2021, Que haver de conèixer-los. Alguns exemples de vulnerabilitats per als llenguatges de programació inclouen:
- Scripts entre llocs (XSS) o CWE-119 sota el framework Common Weakness Enumeration (CWE) per a C i C ++ (i aplicacions web escrites en Ruby i PHP)
- CWE-20 causant problemes de validació d'entrada per a Python
- XSS, que també es pot experimentar amb JavaScript.
4. Instal·lació d’actualitzacions periòdiques
Els ciberadversaris que intenten infiltrar-se i accedir a la vostra aplicació, base de dades o lloc web sempre trien el camí amb menys resistència, i sovint ho trobeu en programes insegurs i obsolets.
Això fa que la instal·lació regular de pedaços i actualitzacions de seguretat sigui extremadament crítica per al negoci. Els desenvolupadors empresarials no es poden permetre el luxe de descuidar-los, ja que una petita vulnerabilitat de programari pot permetre als segrestadors accés lliure per controlar i infectar tot el sistema.
Juntament amb això, també heu de desactivar el programari no utilitzat i obsolet. Coordineu-vos amb el vostre departament de TI i cerqueu programari vinculat als sistemes de la vostra empresa que fa temps que no funcionen. Si no es marca, aquest programari també pot oferir als pirates informàtics vies fàcils i ràpides d'arribar al vostre panorama informàtic.
5. Encriptació de dades confidencials de clients
Si la vostra empresa emmagatzema dades d’usuaris privats, com ara les dels vostres clients, clients, empleats i membres del consell, assegureu-vos de xifrar-les adequadament.
Mantenir actius de dades sense xifrar, especialment un cop exposats als segrestadors cibernètics, poden fer que la vostra empresa es posi ràpidament en aigua calenta. El fet de no protegir la informació sensible infringeix les lleis de privadesa de les dades i comporta una pèrdua de pèrdues financeres, de reputació i de clients.
El xifratge de dades dels usuaris és encara més crític si la vostra empresa utilitza entorns d’allotjament compartit on diverses persones poden accedir a fitxers i informació sensibles.
No oblideu mai aquestes directrius de ciberseguretat per als desenvolupadors.
El 2021, la ciberseguretat de les vostres aplicacions, llocs web, codi de programari i bases de dades ja no és una opció. Recordeu que només cal una petita escletxa de seguretat perquè els pirates informàtics puguin accedir i explotar il·legalment el vostre sistema de TI. No deixeu que penetrin ni un centímetre!
Per tant, tingueu presents aquestes directrius de ciberseguretat i no les descuideu mai. Juntament amb el vostre departament de TI, feu estratègies per implementar-les de manera estricta i freqüent. Fer-ho pot arribar a impedir que els vostres recursos i empreses de dades es converteixin en objectius sense esforç per als ciberdelinqüents.
