Este es mi primer articulo en mi propio blog, durante los ultimos 5 años mis actividades laborales estuvieron enfocadas en Application Security (AppSec) y Incident Response (IR), y en particular en seguridad de APIs (Análisis y detección de vulnerabilidades,fraude). El escenario y el día a día permitio aprender y conocer más sobre los servicios interconeados,en ese sentido existen dos posturas de seguridad : Shift Left (seguridad desde el inicio) y Shift Right (Seguridad en runtime, "al vuelo")

En algunos casos la seguridad en el proceso de desarollo de software se considera como una actividad "especifica" al final del desarrollo con pase a producción directo y comienzan los dolores de cabezas asociados a informacion expuesta, acceso no autorizado, fraude, etc, etc.

Shift Left

Este enfoque nos plantea desplazar "seguridad" hacia la izquierda del ciclo de desarrollo,en otras palabras intervenir desde la fase 0, incluso antes de escribir una linea de código.

¿Qué implica en APIs?

  • Revisar la especificación OpenAPI/Swagger antes de escribir código (Requisitos de negocio -> Spec OpenAPI -> AppSec -> Codigo
  • Definir controles de autenticación y autorización en el diseño
  • Threat Modeling de los endpoints
  • Integrar validaciones de seguridad en el pipeline CI/CD
  • Que el equipo de desarrollo conozca las vulnerabilidades / riesgos con base en el OWASP API Top 10

Esta seria una sugerencia de implementación de Shift Left:

image

Shift Right

Esta postura significa identificar, proteger y monitorear las APIs en runtime, en producción, donde ya hay trafico real, posibles ataques "undergoing", sin monitoreo no se puede saber si estamos bajo ataque, a esto se puede sumar otra variable, sin controles de seguridad, sin pruebas de seguridad, el escenario se va complicado.

¿Qué implica en APIs?

  • Obtener visibilidad, descubrir todas las APIs expuestas (Shadow APIs, Zombie APIs).
  • Monitorear el trafico para detectar posibles abusos
  • Aplicar controles de acceso en el gateway
  • Detectar anomalias de comportamiento (BOLA, scraping, credential stuffing)
  • Responder a incidentes en tiempo real (Sin monitoreo, esto es casi imposible de hacer)

Sugerencia de Implementación de Shift Right

image

Conclusión

Shift Left y Shift Right no son posturas opuestas sino complementarias. Una organización madura podria aplicar de manera paralela:

  • Shift Left evita que los problemas lleguen a producción.
  • Shift Right detecta lo que igual llega y protege en tiempo real
  • El Inventario de endpoints es el hilo conductor que conecta ambas posturas

En el proximo articulo profundizare en una postura llamada "Shift Everywhere!" Nos vemos en la proxima Entrada