Your browser is not supported

For the best experience, use Google Chrome or Mozilla Firefox.

¿Qué es la seguridad de las aplicaciones?

bg

Descripción

La seguridad de las aplicaciones es la disciplina que se ocupa de los procesos, la herramientas y las prácticas utilizadas para proteger las aplicaciones de las amenazas a lo largo de su ciclo de vida útil. Los cibercriminales están organizados, especializados y motivados para detectar y aprovechar las vulnerabilidades en aplicaciones empresariales, con el fin de robar datos, propiedad intelectual e información confidencial. La seguridad de las aplicaciones puede ayudar a las organizaciones a proteger toda clase de aplicaciones (tales como los sistemas heredados, de escritorio, microservicios) utilizados por las partes interesadas internas y externas, entre los que se incluyen clientes, socios de negocio y empleados.

Seguridad de las aplicaciones

¿Por qué utilizar la seguridad de las aplicaciones?

Según confirman múltiples estudios, la mayoría de las infracciones que tienen éxito se dirigen a vulnerabilidades explotables que residen en la capa de la aplicación, lo que indica la necesidad de que los departamentos de TI de la empresa estén muy atentos a la seguridad de las aplicaciones. Para agravar aún más el problema, el número y la complejidad de las aplicaciones está creciendo. Hace diez años, el desafío de la seguridad del software consistía en proteger las aplicaciones de escritorio y los sitios web estáticos, que eran bastante inocuos y fáciles de detectar y proteger. Ahora, la cadena de suministro de software es mucho más compleja considerando el desarrollo externalizado y el número de aplicaciones heredadas, además del desarrollo interno que aprovecha los componentes de software de terceros, de código abierto y comerciales, disponibles en el mercado.

Las organizaciones necesitan soluciones de seguridad que abarquen todas sus aplicaciones, desde las que se utilizan internamente hasta las aplicaciones externas más populares que se utilizan en los teléfonos móviles de los clientes. Estas soluciones deben cubrir toda la fase de desarrollo y ofrecer pruebas después de utilizar una aplicación para supervisar problemas potenciales. Las soluciones de seguridad de las aplicaciones deben ser capaces de analizar las vulnerabilidades potenciales y explotables de las aplicaciones web, tener la capacidad de analizar el código, ayudar a gestionar los procesos de gestión de la seguridad y el desarrollo coordinando los esfuerzos y permitiendo la colaboración entre las distintas partes interesadas. Las soluciones también deben ofrecer pruebas de seguridad de aplicaciones que sean fáciles de usar e implementar.

¿Qué es SAST, DAST y SCA?

¿Qué es SAST?

SAST, que son las siglas de Static Application Security Testing (pruebas de seguridad de aplicaciones estáticas), analiza los archivos fuente de la aplicación, identifica con precisión la causa del problema y ayuda a solucionar los defectos de seguridad subyacentes.

 

Ventajas de las pruebas de seguridad de aplicaciones estáticas (SAST):

  • Identifica y elimina vulnerabilidades en el código fuente, binario o de bytes.
  • Revisa los resultados de los análisis estáticos en tiempo real con acceso a recomendaciones, navegación por línea de código para encontrar vulnerabilidades con mayor rapidez y auditoría colaborativa.
  • Se integra completamente con el entorno de desarrollo integrado (IDE).

¿Qué es DAST?

DAST, siglas de Dynamic Application Security Testing (pruebas de seguridad de aplicaciones dinámicas), simula ataques controlados a una aplicación o a un servicio web en ejecución para identificar vulnerabilidades explotables en un entorno en ejecución.

Ventajas de las pruebas de seguridad de aplicaciones dinámicas:

  • Proporciona una visión completa de la seguridad de las aplicaciones centrándose en lo que es explotable y cubriendo todos los componentes (servidor, código personalizado, código abierto y servicios).
  • Se puede integrar en las áreas de desarrollo, control de calidad y producción para ofrecer una visión holística continua.
  • El análisis dinámico permite un enfoque más amplio para gestionar el riesgo de la cartera (miles de aplicaciones) y puede analizar aplicaciones heredadas como parte de la gestión de riesgos.
  • Prueba la aplicación funcional, por lo que, a diferencia de SAST, no está limitada por el idioma y se pueden identificar problemas relacionados con el tiempo de ejecución y el entorno.

¿Qué es SCA?

 SCA , siglas de Software Composition Analysis (análisis de composición de software) es un proceso automatizado que ayuda a identificar y realizar un seguimiento de los componentes de código abierto utilizados en las aplicaciones. Las herramientas de SCA más sólidas pueden analizar todos los componentes de código abierto para determinar el riesgo de seguridad, el cumplimiento de licencias y la calidad del código.

Beneficios del análisis de composición de software:

  • Proporciona visibilidad y comprensión de los componentes de código abierto de su organización (crea una lista de materiales de software).
  • Automatización de políticas para prevenir problemas de seguridad y licencia.
  • Ofrece sugerencias de corrección de vulnerabilidades y asesoría de riesgos de las licencias.
  • Análisis del estado de los proyectos de código abierto para eliminar el riesgo causado por comunidades deficientes o en declive.

Servicios gestionados, locales y SaaS

Las soluciones de seguridad de las aplicaciones consisten en el software de ciberseguridad (las herramientas) y las prácticas que ejecutan el proceso para proteger las aplicaciones.

En el entorno local

Las soluciones de pruebas de seguridad de aplicaciones pueden ejecutarse en el entorno local (internamente), donde las operan y mantienen equipos internos. Este enfoque requiere que las organizaciones proporcionen la infraestructura y el personal, y que adquieran soluciones de seguridad de las aplicaciones para que estos las utilicen. Las soluciones locales garantiza a las organizaciones que los datos de sus aplicaciones no se comparten con terceros y que no salen de sus instalaciones.

SaaS

El enfoque SaaS de la seguridad de las aplicaciones proporciona soluciones basadas en la nube con una interfaz de usuario basada en la web, lo que permite al cliente configurar, aplicar y gestionar la seguridad de las aplicaciones. Esta opción también requiere que las organizaciones proporcionen el personal y la experiencia necesarios para ejecutar las diversas herramientas de prueba de la seguridad de aplicaciones, pero sin que corra de su cargo la infraestructura, el mantenimiento, las actualizaciones, etc.

Servicios gestionados

La seguridad de las aplicaciones también puede ofrecerse en forma de servicios gestionados , en cuyo caso, el cliente consume servicios que el proveedor de seguridad de las aplicaciones proporciona como una solución "llave en mano". Este enfoque no requiere ninguno de los requisitos previos del enfoque local, pero sí precisa confiar parcial o totalmente en el proveedor de SaaS y, en la mayoría de los casos, permitir que los datos de las aplicaciones se compartan con el proveedor. La seguridad de las aplicaciones como servicio gestionado es una manera fácil de comenzar y ofrece capacidad de ampliación y velocidad. Las implementaciones híbridas (que combinan los enfoques local, SaaS y de servicios gestionados en diferentes proyectos y prácticas) tienen como objetivo proporcionar lo mejor de las tres opciones, proporcionando flexibilidad, capacidad de ampliación y optimización de costes.

¿Qué es el Top 10 de OWASP?

Top 10 de OWASP

OWASP, acrónimo de Open Web Application Security Project (proyecto abierto de seguridad de aplicaciones web) es una comunidad de seguridad de las aplicaciones de código abierto cuyo objetivo es mejorar la seguridad del software. Sus directrices OWASP Top 10 estándar del sector proporcionan una lista de los riesgos de seguridad de las aplicaciones más críticos con el fin de ayudar a los desarrolladores a proteger mejor las aplicaciones que diseñan e implementan.

Soluciones de seguridad de las aplicaciones

Las soluciones de seguridad de aplicaciones de OpenText ofrecen pruebas de la seguridad de las aplicaciones y gestión en las instalaciones, a modo de servicios alojados y SaaS para ayudar a las empresas a proteger sus aplicaciones de software, incluidas las aplicaciones heredadas, móviles, de terceros y de código abierto.

Las ofertas de Fortify incluyen análisis de código estáticopruebas de seguridad de aplicaciones dinámicasanálisis de composición de software (SCA) y herramientas interactivas de pruebas de seguridad de las aplicaciones para proporcionar seguridad de código para sus aplicaciones webAPIaplicaciones móvilesinfraestructura como códigocontenedorescadena de suministro de software.

Las soluciones incluyen lo siguiente:

Fortify Static Code Analyzer - Pruebas de seguridad de aplicaciones estáticas (SAST). Identifica y localiza las vulnerabilidades de seguridad en el código fuente en una fase temprana del ciclo de desarrollo de software.

Fortify WebInspect - Pruebas de seguridad de aplicaciones dinámicas (DAST). Simula los ataques de seguridad en el mundo real en una aplicación activa para ofrecer un análisis completo de servicios y aplicaciones web complejos.

Pruebas de seguridad de aplicaciones interactivas (IAST). Integración de nuestras pruebas dinámicas y análisis del tiempo de ejecución para identificar más vulnerabilidades ampliando la cobertura de la superficie de ataque y exponiendo los ataques mejor que solo con las pruebas dinámicas.

Fortify on Demand – Seguridad como servicio. Una forma sencilla, fácil y rápida de probar aplicaciones con precisión sin la necesidad de instalar o gestionar software o añadir recursos adicionales.

Mobile Security – Metodología de pruebas de aplicaciones móviles que evalúa los tres niveles, incluyendo el cliente, la red y el servidor.

Fortify Insight. Agregue y analice numerosas fuentes de datos previamente aislados y visualícelos en un panel empresarial para obtener información procesable.

Software Security Assurance. Repositorio de gestión centralizado que ofrece visibilidad que ayuda a resolver vulnerabilidades de seguridad.

Fortify Software Security Center Repositorio de gestión centralizado que ofrece visibilidad a todo el programa de pruebas de seguridad de aplicaciones. Proioriza, gestiona y realiza el seguimiento de las actividades de prueba de seguridad y proporciona una imagen precisa de los riesgos de la seguridad del software en toda la empresa.

Recursos

Activos

¿Qué es la ciberseguridad?
Blog: Integración de la seguridad de las aplicaciones en sus operaciones de software
Blog: Donde la seguridad de las aplicaciones móviles encaja en la experiencia del usuario
Recursos de seguridad de la información de SANS
Recursos de seguridad de TI según Computer weekly
Recursos de seguridad según Dark Reading
¿Qué es DAST?
¿Qué es la capacidad de recuperación cibernética?
Forrester Wave: Pruebas de seguridad de aplicaciones estáticas
Historias de éxitos de clientes de Fortify
¿Qué es el Top 10 de OWASP?
Descargue el Gartner Magic Quadrant de 2021 para pruebas de seguridad de aplicaciones

Productos, soluciones y servicios relacionados

Application security testing: Fortify
SAST: Fortify Static Code Analyzer (SCA)
DAST: Fortify WebInspect
Seguridad de las aplicaciones como servicio: Fortify on Demand (FoD)
Panel centralizado: Fortify Software Security Center (SSC)

Comunidad

Blog de seguridad de AppSec
Blog sobre investigación de seguridad
Seguridad de Micro Focus en Twitter
Seguridad de Micro Focus en LinkedIn
Comunidad Fortify
Asistencia técnica y documentación de productos
Fortify Marketplace
Fortify Unplugged

Recursos de seguridad de las aplicaciones

Vídeo: AppSec 101 . Serie de YouTube donde se explican los aspectos básicos de la seguridad de las aplicaciones.
Informe oficial: Creating a Software Supply Chain You Can Trust
Webinar en vídeo: Serie de webinars sobre la seguridad del código
Informe: Gartner® Magic Quadrant™ para pruebas de seguridad de aplicaciones
Casos prácticos: DevSecOps, Seguridad de la cadena de suministro de software, Transformación de la nube, Madurez a escala
OWASP Top 10 Most Critical Web Application Security Risks
Informe: AppSec Trend Report

Recursos de OpenText Fortify

Fortify Unplugged: canal de YouTube
Prueba gratuita de Fortify on Demand
Comunidad Fortify
Cartera de Fortify
Ecosistema de integración de Fortify

Nuestras soluciones

SAST: Fortify Static Code Analyzer

Análisis de código estático automatizado para ayudar a los desarrolladores a eliminar las vulnerabilidades y crear software seguro.

Más información ›

DAST: Fortify WebInspect

Herramienta de pruebas de seguridad dinámicas automatizada para encontrar y dar prioridad a vulnerabilidades web.

Más información ›

Fortify on Demand

Confíe en nuestra experiencia para la seguridad de su software; comience fácilmente y escale a medida que crezca.

Más información ›

Fortify Software Security Center

Gestione los riesgos del software a lo largo del ciclo de desarrollo de software seguro, desde el desarrollo al control de calidad y la producción.

Más información ›
    Seguridad de las aplicaciones

    Infórmese hoy mismo

    Más información
    release-rel-2023-5-2-9075 | Thu May 18 01:07:06 PDT 2023
    9075
    release/rel-2023-5-2-9075
    Thu May 18 01:07:06 PDT 2023
    AWS