OWASP Top Ten 2017 (es)

Próximos pasos para Testers

Languages: en de [es]
Establecer auditorias continuas de seguridad de las aplicaciones
Construir código de modo seguro es importante. Pero es crítico verificar que la seguridad que pretende construir está realmente presente, correctamente implementada, y es utilizada en todos los lugares donde se supone que debe serlo. El objetivo de las pruebas de seguridad es proveer esta evidencia. El trabajo es difícil y complejo, y los procesos modernos de desarrollo a alta velocidad como Agile y DevOps han colocado una presión extrema en los enfoques y las herramientas tradicionales. Por lo tanto lo alentamos a pensar en cómo va a enfocarse en lo que es importante para su portafolio de aplicaciones, y hacerlo efectivo en términos de costo.
Los riesgos modernos cambian rápidamente, así que los días de escanear o hacer un test de penetración a una aplicación para encontrar vulnerabilidades una vez al año han pasado hace tiempo. El desarrollo moderno de software requiere revisión continua de seguridad de la aplicación a través de todo el ciclo de vida del desarrollo de software. Se debe analizar cómo mejorar los canales de desarrollo existentes automatizando la seguridad para que no retrase el desarrollo. Cualquiera sea el enfoque que elija, considere el costo anual de revisar, clasificar, remediar, revisar de nuevo, y volver a poner en producción una sola aplicación, multiplicado por la cantidad de aplicaciones.

Comprender el Modelo de las Amenazas:

Antes de comenzar la revisión, asegúrese de comprender en qué es importante emplear el tiempo. Las prioridades vienen del Modelado de Amenazas, así que si Ud. no tiene uno, necesita crearlo antes de la revisión. Considere usar OWASP ASVS y la Guía de pruebas de seguridad OWASP como un insumo y no confíe en vendedores de herramientas para decidir qué es importante para su negocio.

Comprender su SDLC:

Su enfoque de la revisión de seguridad de aplicaciones debe ser altamente compatible con las personas, procesos y herramientas que usa en su SDLC. Intentos de forzar pasos, flujos de autorizaciones y revisiones extra probablemente causarán fricción, serán evitados y difíciles de superar. Busque oportunidades naturales para recabar información de seguridad y retroalimente su proceso con ella.

Estrategias de pruebas:

Escoja la técnica más simple, rápida y precisa para verificar cada requerimiento. El Marco de Trabajo de Conocimiento en Seguridad de OWASP y el Estándar de Verificación de Seguridad de Aplicaciones de OWASP pueden ser buenas fuentes de requerimientos de seguridad funcionales y no funcionales en la revisión y en las pruebas de unidad y de integración. Considere los recursos humanos requeridos para lidiar con falsos positivos provenientes del uso de herramientas automáticas, así como con los serios peligros de los falsos negativos.

Lograr Cobertura y Precisión:

No comience por probarlo todo. Concéntrese en lo que es importante y amplíe su programa de verificación con el tiempo. Esto significa ampliar el conjunto de defensas y riesgos de seguridad que se prueban automáticamente, así como ampliar el conjunto de aplicaciones y APIs que se incluyen en el alcance. El objetivo es lograr un estado en el que la seguridad esencial de todas sus aplicaciones y API se verifique continuamente.

Comunicar los hallazgos claramente:

No importa que tan buena sea su revisión, no hará ninguna diferencia a menos que la comunique efectivamente. Construya confianza mostrando que comprende cómo funciona la aplicación. Describa claramente y sin jerga técnica como puede ser abusada e incluya un escenario de ataque para hacerlo real. Haga una estimación realista de qué tan difícil es descubrir una vulnerabilidad y explotarla, y que tan malo podría ser. Finalmente, distribuya los hallazgos en las herramientas de desarrollo que los equipos ya usan, no en archivos PDF.