Más es menos: acabemos con la deuda técnica de herramientas de seguridad
En cuanto los equipos de seguridad se enteran de un nuevo tipo de ciberataque, suelen apresurase a añadir las herramientas más recientes para defenderse, pensando que lo mejor es desplegar toda la artillería posible. Y, aunque la intención es buena, el resultado final es una colección de firewalls de aplicaciones web (WAF) antiguos que se van acumulando de años anteriores.
Estas situaciones de los clientes me hacen pensar en un término que el legendario programador Ward Cunningham acuñó en los noventa y que, sin duda, todos conocemos: «deuda técnica», una metáfora popular entre los desarrolladores de software y que se refiere al trabajo y el gasto adicionales que se van acumulando como consecuencia de malas decisiones de diseño.
Es lo que sucede con muchos de estos WAF heredados: que no aportan demasiado a la seguridad, pero requieren un mantenimiento continuo que acarrea costes adicionales. Al mismo tiempo, las nuevas generaciones del personal encargado de la seguridad invierten en distintas herramientas que van surgiendo y desapareciendo y no hacen más que sumarse a esa deuda técnica acumulada.
Ya va siendo hora de acabar con la deuda técnica. Y, aunque modernizar ese popurrí de productos heredados quizás no sea la solución definitiva, al menos sí puedes evitar que siga creciendo.
¿Por qué a menudo más es menos?
A medida que los ataques proliferan y se vuelven más sofisticados, añadir nuevos WAF para repeler cada nueva amenaza hace que sea más difícil obtener un análisis preciso de la situación general de seguridad. Lo que se obtienen son más bien visiones parciales, ya que la mayoría de los WAF heredados obligan a los clientes a trabajar dentro de sus consolas individuales o a rebuscar en los archivos de registro.
Además, si los proveedores de seguridad añaden nuevas capacidades a través de adquisiciones sin integrarlas, cada herramienta (p. ej., un dispositivo o un WAF basado en la nube) tendrá una interfaz distinta que el usuario deberá conocer para poder confirmar si realmente se ha producido un ataque. Esto desencadena una visión todavía más fragmentada del conjunto de aplicaciones y una complejidad de tal orden que es prácticamente imposible para el equipo de seguridad obtener la imagen completa.
Está claro que las organizaciones necesitan una protección uniforme independientemente de dónde residan sus aplicaciones o API. Sin embargo, cada vez es más frecuente que deban lidiar con las diferencias generacionales que se dan en su infraestructura, por ejemplo, derivadas de la antigüedad de sus infraestructuras o de si sus carteras de productos residen en entornos locales, en la nube o en un pod de Kubernetes.
Es de vital importancia saber si hay peticiones web maliciosas tratando de acceder a tus instancias de servidor, y cuáles son sus intenciones. Igual de importante es entender de dónde provienen las peticiones originales. Estas capas de herramientas dificultan la búsqueda de respuestas fáciles a preguntas como las siguientes: ¿Qué más podrían intentar los atacantes? ¿Están tratando de enumerar los nombres de los directorios? ¿Su objetivo es el flujo de autenticación o el flujo de compra?
Los responsables de la defensa deben tener acceso rápido a una vista unificada y sencilla de los datos de seguridad de producción para saber qué está sucediendo en todas esas capas. Esa misma información debería estar disponible en las herramientas que ya utilizan, desde herramientas de SIEM como Splunk hasta herramientas de DevOps como Slack, PagerDuty y Jira. En lugar de eso, se ven obligados a perder un tiempo muy valioso en reunir la telemetría que debería estar a su alcance desde el primer momento.
Un WAF listo para el futuro
No estoy a favor de añadir más WAF, sino de usar un WAF mejor, que sea más eficiente y que te permita deshacerte de toda la deuda técnica acumulada con los años.
A la mayoría de los equipos de seguridad no les hará mucha gracia tener que eliminar y reemplazar toda su infraestructura por una promesa de marketing. Sin embargo, estamos en una encrucijada tecnológica donde los WAF antiguos no hacen más que restar debido al nivel de mantenimiento que requieren, por no hablar de su tendencia a bloquear el tráfico legítimo y generar falsos positivos.
A medida que el sector adopta un enfoque de infraestructura de edge computing más distribuida, cualquier solución debería ser fácil de desplegar e integrar con otras herramientas de seguridad en las que el cliente ya haya invertido. Es decir, una instrumentación de seguridad que sea fácil de instalar y administrar, pero que no interrumpa el funcionamiento de las aplicaciones con montones de falsos positivos.
Los CIO y las partes interesadas deben preguntarse si realmente necesitan un WAF nuevo para cada vector de ataque o si hay alguna solución mejor. Podrán reducir los costes y la deuda técnica con una solución moderna de protección de aplicaciones y API que les permita ahorrar en mantenimiento y que, además, esté preparada para hacer frente a las amenazas futuras.
Los equipos necesitan soluciones que aporten el valor prometido sin provocar nuevos quebraderos de cabeza operativos. El futuro cambia constantemente, por lo que se necesita una arquitectura de seguridad lo suficientemente flexible como para proteger las aplicaciones y las API allá donde residan: en un centro de datos, en la nube, en el edge, en un contenedor o en cualquier otro lugar aún no inventado.