SecDevOps o cómo promover un enfoque 'security by design' en DevOps

Las empresas a menudo cometen el error de sacrificar las medidas de integridad de los sistemas de información bajo el pretexto de que ralentizan la innovación, suponiendo que configurar controles de seguridad demorará sus proyectos. Dan por hecho que invertir recursos en funcionalidades de seguridad, implica añadir retrasos en las entregas cuando, lo que el mercado reclama, es mayor agilidad y velocidad. Pero, en realidad, si un proyecto no está correctamente protegido fracasará, habrá que corregirlo a posteriori, generará retrasos y afectará a la imagen de la empresa.

Para conciliar agilidad, innovación y seguridad, la solución reside en implementar la seguridad desde el inicio del proyecto, no una vez se ha finalizado. Este movimiento se llama SecDevOps (también conocido como DevOpsSec o DevSecOps) y tiene como ventaja la integración de la seguridad desde el inicio del proyecto y, por lo tanto, promover un enfoque “security by design”. Este será uno de los temas principales de Valencia Testing, VLC Testing 19, un evento que se celebra los días 27 y 28 de noviembre en el que, a través de diferentes ponencias, se aprenderán técnicas, metodologías y herramientas avanzadas en testeo de software, y en el que no podía falta flexygo.

Rubén Pardo, product architect de flexygo y Rafael Rivera, CTO/Director Tecnológico de ITCON, contarán cómo el despliegue continuo permite solventar, de manera ágil y rápida, cualquier tipo de ataque a las vulnerabilidades de un producto. A lo largo de su ponencia explicarán cómo integrar el Haking Ético y la seguridad informática al mundo DevOps.

Mostrarán el proceso que se sigue para descubrir nuevas vulnerabilidades de la herramienta, cómo convertir nuevos ataques en tests que validarán la seguridad de nuestra plataforma, el proceso de integración continua y metodologías ágiles que permite solucionar un fallo de seguridad y desplegar una actualización en todos los clientes en un tiempo récord, así como la nueva herramienta de contención, mitigación y análisis de ataques flexyguard.

Durante el VLC Testing se simulará un ejercicio de Red Team (Equipo que intenta hackear) y Blue Team (Equipo que detecta el ataque), donde el Red Team usará una de las vulnerabilidades conocidas para explotar el sistema. Acto seguido el Sentinel capturará este acceso y nos mandará una notificación Push a una app con un botón de mitigar. Se agregará a la BBDD donde se hace el despliegue continuo, el comando usado para explotar la vulnerabilidad, seguidamente se lanzará el despliegue y se parcheará el exploit. Generando una nueva versión con la vulnerabilidad solucionada.