A medida que más organizaciones cambian al desarrollo de aplicaciones nativas de la nube para admitir nuevas funciones comerciales e iniciativas de transformación digital, los problemas de la cadena de suministro de software se vuelven más visibles. Debido a que el desarrollo nativo de la nube depende en gran medida del software de código abierto, las organizaciones deben comenzar a pensar en los componentes que se incluyen en estas aplicaciones.
Para crear estas aplicaciones nativas de la nube, los desarrolladores han adoptado prácticas de desarrollo de aplicaciones ágiles y ciclos de lanzamiento rápidos, y confían en gran medida en el código fuente abierto y los microservicios de una comunidad ampliamente distribuida y, a menudo, vasta para componer sus contenedores y funciones sin servidor. Si bien el código fuente puede provenir principalmente de un ecosistema establecido, es común que algunos se originen en fuentes desconocidas o proyectos obsoletos.
Los enfoques de seguridad tradicionales no están diseñados para manejar este nuevo enfoque para el desarrollo de aplicaciones, especialmente para las arquitecturas modernas de cómputo en la nube y sin servidor. Esta es el área para la que evolucionaron las plataformas de protección de aplicaciones nativas de la nube. Gartner describe a CNAPP como «un conjunto integrado de capacidades de seguridad y cumplimiento diseñado para ayudar a asegurar y proteger las aplicaciones nativas de la nube durante el desarrollo y la producción».
Según un informe reciente de Frost & Sullivan, las ventas de CNAPP superaron los $1700 millones en 2021, casi un 49 % más que en 2020. Frost & Sullivan proyecta que los ingresos de CNAPP crecerán a una tasa de crecimiento anual compuesto de casi el 26 % de 2021 a 2026. El autor del informe, director de la industria para la seguridad cibernética global Anh Tien Vu, pronostica que para 2026, los ingresos superarán los $ 5.4 mil millones «debido a la creciente demanda de una plataforma de seguridad en la nube unificada que fortalezca la seguridad de la infraestructura de la nube y proteja las aplicaciones y los datos a lo largo de su ciclo de vida».
Prevenir problemas durante el desarrollo
Los atacantes se concentran cada vez más en objetivos nativos de la nube para explotar las vulnerabilidades que ingresan a la cadena de suministro de software. El año pasado, la vulnerabilidad Log4Shell en la biblioteca de tiempo de ejecución Java Log4j ampliamente implementada ilustró el amplio impacto que dicha vulnerabilidad puede tener en el ecosistema de aplicaciones. Dado el despliegue distribuido generalizado de aplicaciones Java, las organizaciones tuvieron que luchar para encontrarlas y parchearlas después de la divulgación pública de Apache Foundation.
«Con Log4j, la gente no sabía si esas bibliotecas estaban en uso o no», dice Melinda Marks, analista sénior de Enterprise Strategy Group. Los expertos citan con frecuencia a Log4j como una llamada de atención para los CISO y los CIO de que los ciclos de vida del desarrollo de software deben colaborar más estrechamente y cambiar a la izquierda.
Marks dice que CNAPP permite a las organizaciones establecer procesos DevSecOps en los que los desarrolladores de software toman la iniciativa para descubrir fallas potenciales en el código antes de implementar los tiempos de ejecución de la aplicación en producción, pero también va más allá. «Esto es importante para evitar problemas de seguridad antes de implementar sus aplicaciones en la nube, porque una vez que las implementa, están disponibles para los piratas informáticos», dice Marks.
Supervise el tiempo de ejecución para identificar prioridades
Las CNAPP consolidan capacidades en silos, incluido el escaneo de artefactos de desarrollo como contenedores e infraestructura como código (IaC), gestión de postura de seguridad en la nube (CSPM), gestión de infraestructura en la nube (CIEM) y plataformas de protección de cargas de trabajo en la nube en tiempo de ejecución. Además de proporcionar un enfoque más unificado y una mejor visibilidad del riesgo de los entornos informáticos nativos de la nube, CNAPP proporciona controles comunes para mitigar las vulnerabilidades.
En particular, CNAPP también facilita la colaboración entre los equipos de desarrollo de aplicaciones, ciberseguridad e infraestructura de TI, allanando el camino para detectar y mitigar vulnerabilidades antes de que las aplicaciones se implementen en producción. Los proveedores de seguridad como Check Point y Palo Alto Networks están agregando capacidades CNAPP a sus plataformas de seguridad.
Marks advierte que hay un concepto erróneo acerca de cambiar la seguridad a la izquierda: que se trata de mover la seguridad al frente en los ciclos de desarrollo y construcción de software. «También existe la necesidad de vincular el monitoreo del tiempo de ejecución y tener ese contexto para los flujos de trabajo de los desarrolladores, de modo que no pierdan el tiempo arreglando cosas que no tienen impacto en cómo se ejecutará realmente la aplicación en la nube», dice.
Relacionado:
Cómo las agencias federales deben priorizar y abordar los requisitos establecidos por la OMB
