Las agencias federales aceleran con Mobile DevSecOps

El gobierno federal de EE. UU. se basa en una amplia gama de aplicaciones móviles para ejecutar operaciones, defender el país y relacionarse con los ciudadanos. Los dispositivos móviles han cambiado la forma en que se lanzan y actualizan las aplicaciones, y las agencias federales, como el Departamento de Defensa, han adoptado DevSecOps para dar rienda suelta a la velocidad y la innovación. De hecho, la Fuerza Aérea opera varias fábricas de software como BESPIN, Kessel Run y ​​Platform One.

Las aplicaciones móviles dominan el uso de medios digitales con el 69 % de todo el tráfico digital, superando el tiempo dedicado a la web, según Comscore.Estado mundial de la telefonía móvil» informe. El uso de aplicaciones para teléfonos inteligentes continúa aumentando y ahora representa el 63 % de todo el uso digital, mientras que las aplicaciones para tabletas obtienen el 6 %. En comparación, el uso de la web de teléfonos inteligentes y tabletas representa solo el 8% de todo el tiempo de medios digitales combinados, lo que muestra una fuerte preferencia por las aplicaciones móviles nativas sobre la web.

Gráfico de uso de medios digitales.  63 % aplicación para smartphone, 23 % escritorio, 7 % web para smartphone, 6 % aplicación para tablet, 1 % web para tablet

Las aplicaciones móviles dominan el uso de los medios digitales.

Sin embargo, abundan los riesgos de las aplicaciones móviles. Las pruebas comparativas de NowSecure de aplicaciones de Apple® App Store® y Google Play™ revelan que el 85% de las aplicaciones móviles tienen vulnerabilidades de seguridad y el 70% filtran datos privados. De manera alarmante, eso significa que muchas de las aplicaciones móviles que las agencias federales crean, compran y usan podrían exponer propiedad intelectual (IP) crítica o información de identificación personal (PII) de ciudadanos y usuarios que podrían comprometer la seguridad nacional.

El 70% de las aplicaciones móviles filtran datos personales confidenciales

El 70% de las aplicaciones móviles filtran datos personales confidenciales

Riesgos de seguridad de las aplicaciones móviles federales

Los problemas de seguridad de las aplicaciones móviles han puesto en peligro a los miembros del servicio o han comprometido potencialmente la inteligencia. Considere estos incidentes:

  • Los investigadores utilizaron la aplicación de cerveza Untappd para sigue los movimientos del personal militar y de inteligencia en todo el mundo para descubrir datos confidenciales y viajes a lugares confidenciales.
  • Los atacantes aprovecharon la pandemia para crear una aplicación de seguimiento de coronavirus de Android Secuestro de datos que bloquea los teléfonos y exige el pago en bitcoin.
  • El año pasado, Software Kilswitch/APASS utilizados para la coordinación del apoyo aéreo y el conocimiento de la situación ponen a los infantes de marina y marineros en un riesgo sustancial de que los piratas informáticos y los adversarios extranjeros obtengan acceso a información confidencial del campo de batalla o datos de ubicación.
  • Hace algunos años, el mapa interactivo y la aplicación de seguimiento de actividad física de Strava revelaron ubicaciones sensibles de las tropas estadounidenses que usaban dispositivos de seguimiento de actividad física mientras hacían ejercicio.
  • En 2016, un ciberataque a una aplicación de artillería resultó mortal cuando los piratas informáticos la usaron para apuntar a las tropas ucranianas. En todos estos casos, los piratas informáticos podrían conocer las ubicaciones de las tropas utilizando las aplicaciones y, en algunos casos, podrían acceder a otra información operativa altamente confidencial.
  • En 2015, los investigadores de NowSecure descubrieron una vulnerabilidad en la cadena de suministro llamada Corrupdate que afectó a las aplicaciones Samsung Account y GALAXY al permitir que un atacante de la red adyacente reemplazara una actualización oficial de la aplicación Samsung con su propia aplicación maliciosa.

Los problemas de seguridad de las aplicaciones móviles han puesto en peligro a los miembros del servicio o han comprometido potencialmente la inteligencia.

En los casos anteriores, las aplicaciones móviles inseguras podrían tener consecuencias potencialmente mortales y subrayan la necesidad de un proceso riguroso para encontrar y reparar las vulnerabilidades de seguridad de las aplicaciones móviles dentro del código desarrollado internamente y la cadena de suministro de software externo antes de que se lance el software. “La seguridad móvil es el desafío más importante”, dijo Terry Halvorsen, CIO interino del Departamento de Defensa, en 2017. Y un cliente federal de NowSecure compartió: “El mayor desafío es el tiempo necesario para continuar con el proceso del marco de gestión de riesgos”.

Pero al mismo tiempo, una barra de alta seguridad impide la cadencia de lanzamiento. Los departamentos militares deben respaldar un proceso riguroso que pueda detectar y resolver rápidamente los problemas de seguridad para lograr un ATO continuo que es necesario para que las aplicaciones críticas estén en manos de los miembros del servicio y los combatientes con mayor rapidez. Y para ATO continuo, necesitan DevSecOps.

Los recientes ataques a la cadena de suministro de SolarWinds han aumentado drásticamente las preocupaciones de seguridad y subrayan los riesgos que se presentan en todos los elementos de la cadena de suministro. Todas las agencias federales usan aplicaciones móviles comerciales y, por lo tanto, deben monitorear continuamente su cadena de suministro de aplicaciones móviles para detectar riesgos de seguridad, privacidad y cumplimiento. (Obtenga más información uniéndose a nuestro seminario web del 4 de marzo, Protección de la cadena de suministro de aplicaciones móviles con DHS AppVet.)

Como un esfuerzo de mitigación enfocado en las cadenas de suministro de aplicaciones móviles de las agencias, la investigación continua de las aplicaciones móviles nuevas y actualmente implementadas en busca de riesgos cibernéticos o cambios en el comportamiento a lo largo del tiempo es de vital importancia para bloquear o eliminar las aplicaciones móviles de alto riesgo de los usuarios y las redes de las agencias. Los riesgos comunes y las vulnerabilidades de los atacantes incluyen:

  • Fuga de credenciales que podrían usarse para moverse lateralmente a través de la red
  • No validar correctamente las conexiones que podrían redirigir a los usuarios a sitios de phishing
  • Fuga a gran escala de PII, geolocalización, telemetría y otros datos de misión crítica.

Obtenga más información sobre cómo el Servicio de Alguaciles de EE. UU. protege su cadena de suministro móvil en este estudio de caso.

Pruebas continuas de AppSec móvil

La inclusión de la seguridad en el proceso de desarrollo de aplicaciones móviles permite a las agencias federales lograr una seguridad continua a través de la automatización. La complejidad y la naturaleza lenta de las pruebas de seguridad de aplicaciones manuales hacen que sea imposible escalar para acomodar el volumen, la velocidad y la frecuencia crecientes de los lanzamientos de aplicaciones móviles. Pero las soluciones automatizadas de pruebas de seguridad de aplicaciones móviles permiten a las agencias federales evaluar de manera rápida y confiable las aplicaciones móviles a la velocidad requerida por los equipos de DevOps.

Para descubrir vulnerabilidades, problemas de privacidad y fallas de cumplimiento, las agencias deben probar continuamente los componentes de código abierto de la cadena de suministro de software y los binarios compilados de aplicaciones móviles. Para código abierto, asegúrese de probar los componentes con herramientas de análisis de composición de software. Para las pruebas de seguridad binaria de aplicaciones móviles, busque una cobertura completa de SAST, DAST, IAST y Pruebas de seguridad API basadas en estándares de la industria, como los Estándares de verificación de seguridad de aplicaciones móviles (MASVS) de OWASP y la Asociación nacional de garantía de la información (NIAP).

Las herramientas de prueba deben integrarse a la perfección con la canalización de CI/CD y los sistemas de emisión de boletos para ejecutarse de forma autónoma en segundo plano y probar cada compilación, todos los días. Los bucles de retroalimentación rápidos permiten a los desarrolladores solucionar problemas rápidamente a medida que crean la aplicación móvil, lo que ahorra tiempo y dinero. Para las agencias de defensa que requieren una garantía rigurosa del cumplimiento de NIAP, las pruebas automatizadas de NIAP están disponibles para acelerar drásticamente el ATO. Al automatizar las pruebas de seguridad con los criterios de prueba correctos en el proceso DevSecOps, las agencias federales pueden acelerar hacia ATO continuo.

Para obtener información sobre cómo optimizar el ciclo de vida de desarrollo de software móvil para entregar aplicaciones móviles de forma rápida y segura, descargue nuestro libro electrónico, «La guía definitiva para establecer una cadena de herramientas eficaz de DevSecOps móvil».

Deja un comentario