Cómo pueden contribuir los ingenieros a la seguridad de las API
- Seguridad Inteligente
Cuando trabaja con otros, una organización de ingeniería puede contribuir significativamente a la seguridad de la API. Pero la forma en que pensamos sobre el software hace que sea difícil comenzar. Hay una perspectiva alternativa, un camino que no se ha tomado, que debe tenerse en cuenta cuando se trata de proteger los endpoints de los actores de amenazas.
Los ingenieros crean y optimizan aplicaciones para resolver problemas de usuarios reales. El tiempo de ingeniería a menudo es escaso, por lo que optimizamos la velocidad a la que podemos escribir esas aplicaciones. Para acelerar nuestros procesos, simplificamos problemas y encontramos patrones o técnicas reutilizables.
Esta perspectiva es constructiva. Los pensamientos son lo primero y luego el software. Y al refactorizar el código existente para el software, debemos pensar de esta manera. Pero esta utilidad tiene un coste: si el software funciona, solo vemos lo que debería hacer. La verdadera historia detrás de escena puede ser mucho más compleja.
Para construir software seguro, debemos considerar el camino que no hemos tomado e incorporar mayor seguridad a nuestras aplicaciones.
Cuando defiende el software, su tiempo limitado es una desventaja. Hay muchos ingenieros, y algunos han estado escribiendo software durante muchos años, lo que significa que tienes mucho código que defender. Cada aplicación depende de cientos o miles de proyectos de código abierto, desde bibliotecas hasta herramientas de implementación y sistemas operativos de servidor.
Las herramientas de seguridad pueden ayudarlo a pensar desde ambas perspectivas, especialmente aquellas que descubren automáticamente puntos finales y rastrean estadísticas de respuesta. Puede usar estos datos para comprender cómo el código se asigna a la superficie de su API pública.
Además de las herramientas, aquí hay varias sugerencias de técnicas de campo que puede probar.
- Leer el código
Elija una aplicación, averigüe dónde está el código de autenticación y autorización y léalo. Incluso si no eres un programador fuerte, puedes aprender algo interesante. Mejor aún, intente tomar la perspectiva del atacante y busque formas de explotar el código y hacer que funcione para usted.
- Leer reseñas de código
Los ingenieros toman decisiones en solicitudes de incorporación de cambios (PR). El contenido de las relaciones públicas anteriores y los comentarios de revisión tienen mucho contexto y se pueden usar para ayudarlo a informar su toma de decisiones. Revise el historial, luego piense en algunas preguntas de revisión centradas en la seguridad:
- Trabajar con ingenieros
Si sus ingenieros están trabajando en código relevante para la seguridad, pida tiempo para hablar. Descubra en qué están trabajando (y por qué). Ayúdelos a pensar como un atacante y explíqueles algunas de las técnicas que un atacante podría usar para romper su aplicación. Y recuerda tomar el camino no tomado mientras trabajas para garantizar la seguridad de tus aplicaciones.
Más información
CyberRes es la unidad de negocio de Micro Focus que busca ayudar a los clientes a mejorar su ciberseguridad y acelerar la confianza, la fiabilidad y la supervivencia en tiempos de adversidad, crisis y volatilidad empresarial. ¿Quieres conocer más sobre CyberRes? Puedes consultar este enlace