BLOG

Seis razones por las que DevSecOps debería abordar la gestión de bots

Miniatura de Jim Downey
Jim Downey
Publicado el 21 de julio de 2022

En esta era de competencia digital, todas las empresas son empresas de tecnología y las innovaciones contemporáneas han revolucionado industrias desde las finanzas hasta los alimentos y el transporte. Para triunfar como empresa tecnológica moderna es necesario innovar más rápido que la competencia, y la innovación rápida requiere DevOps. DevOps es una colaboración entre desarrolladores y operaciones de TI que ha generado avances en el ritmo de lanzamiento de productos al aplicar los principios Lean a la entrega de software. A pesar de la promesa de DevOps, los ataques de bots y otros problemas de seguridad, si no se abordan adecuadamente, pueden impedir que las organizaciones obtengan sus beneficios. Afortunadamente, DevOps ha dado lugar a DevSecOps, un rol bien posicionado para abordar las preocupaciones de seguridad, y en particular la gestión de bots, en el acelerado mundo de DevOps.

En una cultura DevOps, DevSecOps asume la responsabilidad de incorporar la seguridad en el proceso de integración continua/desarrollo continuo (CI/CD), garantizando una rápida retroalimentación a los desarrolladores sobre errores de seguridad y mejorando continuamente la integración de la seguridad en el flujo de valor de la tecnología.

Con su base en las prácticas de fabricación Lean, DevOps pone énfasis en trasladar las consideraciones de calidad más temprano en el flujo de valor para reducir las fallas más adelante, donde el costo del reproceso es mayor; es mejor diseñar calidad en un producto que descubrir fallas a través de la inspección. Como la seguridad es un elemento crítico de la calidad, DevSecOps también se encarga de mover la seguridad hacia la izquierda, asegurándose de que cualquier brecha se planifique antes en el flujo de trabajo. Cuanto antes se ejecuten las herramientas, como las pruebas de seguridad de análisis estático, las pruebas de seguridad de análisis dinámico y los análisis de vulnerabilidad, antes los desarrolladores recibirán comentarios y antes se podrán corregir los errores.

Y cuanto más se aborde la seguridad en la recopilación de requisitos, el diseño y la codificación, más eficaces serán los controles de seguridad. Si bien estos son conceptos fundamentales de la codificación segura y el ciclo de vida del desarrollo de software (SDLC), estas prácticas se vuelven cada vez más importantes en un entorno DevOps porque abordar la seguridad más adelante impediría implementaciones rápidas o causaría riesgos de seguridad.

Dado el papel fundamental de DevSecOps en la protección de la empresa moderna, se deduce que la gestión de bots debería incluirse entre las responsabilidades de esa disciplina en particular. La gestión de bots no solo es esencial para la seguridad y, por lo tanto, fundamental para la misión de DevSecOps, sino que DevSecOps también está en una posición ideal para garantizar que las organizaciones estén bien protegidas contra bots maliciosos. Entonces, como prometimos, aquí están las seis razones por las que DevSecOps debería abordar la gestión de bots:

1)   La protección contra bots es esencial para la seguridad y la privacidad de los datos.

Los bots son scripts que automatizan el envío de solicitudes HTTP a aplicações y API. Los delincuentes utilizan bots para atacar aplicaciones web y móviles en varios tipos de ataques:

  • Credential stuffing: Los atacantes prueban las credenciales robadas contra los inicios de sesión para apoderarse de las cuentas.
  • Creación de cuenta falsa : Los delincuentes crean cuentas falsas para realizar fraudes como influencia en las redes sociales y lavado de dinero. (Ver un análisis de F5 sobre el problema de las cuenta falsa de Twitter ).
  • Cardadura: Los delincuentes validan datos de tarjetas de crédito robadas.
  • Cracking de tarjetas: Los delincuentes identifican los códigos de seguridad y las fechas de inicio y vencimiento faltantes de los datos de tarjetas de pago robadas probando diferentes valores.
  • Robo de saldos de tarjetas de regalo y puntos de fidelidad: Los delincuentes roban saldos de tarjetas de regalo y puntos de fidelidad , aprovechando que los usuarios consultan dichos saldos con poca frecuencia.
  • Compra/Reventa: Los intermediarios ilícitos compran bienes en ofertas por tiempo limitado para revenderlos a precios más altos.
  • Acaparamiento de inventario: Los bots reservan bienes y servicios, pero no completan la compra, lo que hace que parezca que el inventario no está disponible e impide compras legítimas.
  • Raspado: Los bots de raspado extraen datos de las aplicaciones, lo que genera una desventaja competitiva y ralentiza el rendimiento del sitio.

Para obtener una taxonomía completa de los ataques de bots, consulte el Manual de amenazas automatizadas de OWASP o este resumen de Kyle Roberts.

De todos los ataques de bots, el credential stuffing es particularmente pernicioso. La Asamblea Global de Privacidad (GPA) ha declarado que el credential stuffing es una amenaza global a la privacidad de los datos. La GPA, que representa a más de 130 reguladores y encargados de hacer cumplir la ley en materia de protección de datos y privacidad, insiste en que la gestión de bots es ahora una medida necesaria para la privacidad de los datos y, por lo tanto, obligatoria para todas las empresas B2C que realizan negocios en línea.

Si DevSecOps va a cumplir su misión de proteger a la organización y a sus clientes, es fundamental resolver el problema de los bots maliciosos.

2)   Los bots corrompen la telemetría de la que depende DevOps

Según el Manual de DevOps , la telemetría es esencial para predecir, diagnosticar y resolver problemas en sistemas complejos, es decir, sistemas que son demasiado grandes y están demasiado entrelazados para que una sola persona pueda entender cómo encajan todas las piezas. Para que DevOps tenga éxito, la telemetría debe cubrir múltiples capas, incluidas las métricas comerciales, el uso de funciones, el rendimiento de la red y la carga de la infraestructura, de modo que un problema en una capa pueda rastrearse a lo largo de la pila para la rápida identificación de las causas raíz.

Los bots distorsionan la telemetría en gran medida. Muchos clientes de F5 Distributed Cloud Bot Defense descubrieron que la mayoría de sus cuentas de usuario eran falsas y que los bots representaban más del 95% del tráfico de inicio de sesión. En algunos casos, la mayor parte de la infraestructura de una organización no hacía nada más que servir a los bots de raspado.

Sin la capacidad de distinguir entre humanos y robots, la telemetría perdería sentido. ¿Una función falla debido a usuarios reales o bots? ¿Por qué la tasa de éxito del inicio de sesión es tan variable? ¿Qué provocó un aumento repentino en el tráfico hacia una ruta de aplicação particular? Los bots ahogan la señal con todo su ruido.

Para que DevOps tenga éxito, necesita telemetría significativa, y para que la telemetría sea significativa se requiere la capacidad de detectar bots. DevSecOps puede hacer una contribución significativa al éxito de DevOps al participar en la gestión de bots, garantizando la integridad de los datos tan esenciales para DevOps.

3)   La protección contra bots no es seguridad de código ni una tarea exclusiva de desarrollo.

A diferencia de las vulnerabilidades tradicionales que los desarrolladores pueden abordar mediante las mejores prácticas de codificación y las pruebas de vulnerabilidad, los ataques de bots apuntan principalmente a la funcionalidad legítima que una aplicación debe exponer, como el inicio de sesión, el olvido de la contraseña, el pago del producto y la información de precios del producto. (Dan Woods de F5 se refiere a estas como vulnerabilidades inherentes en su entrevista en Pirate Radio ). Si bien la protección contra bots es esencial para la seguridad de las aplicaciones, no se trata de codificación segura y los desarrolladores no pueden resolverlo solos. La protección contra bots cae en ese espacio entre los desarrolladores e InfoSec, precisamente el espacio que ocupa DevSecOps.

Debido a que las organizaciones criminales tienen grandes incentivos para desarrollar bots que evitan la detección, la protección contra bots maliciosos resulta sorprendentemente difícil. CAPTCHA ya no funciona. Los servicios de resolución de CAPTCHA que utilizan ML y granjas de clics humanos hacen que la resolución de CAPTCHA sea rápida y económica. (Ver Tales of a Human CAPTCHA Solver de Dan Wood). Los bots ejecutan JavaScript para satisfacer pruebas de trabajo, imitar el comportamiento humano real, introducir aleatoriedad sutil y explotar redes proxy para disfrazar sus orígenes a través de millones de direcciones IP residenciales válidas. Y los delincuentes reestructuran los bots pocas horas después de detectarlos. Esta sofisticación y rápida evolución de los bots significa que los días en que era necesario detenerlos mediante actualizaciones manuales de las reglas del WAF ya quedaron atrás.

Forzar este nivel de esfuerzo al personal de desarrollo les impediría implementar cualquier característica. Dejar en manos del equipo de operaciones la tarea de actualizar las reglas de WAF consumiría todos sus recursos. Las organizaciones necesitan que DevSecOps esté involucrado para integrar una solución de gestión de bots en el flujo de valor de la tecnología.

4)   DevSecOps conoce la lógica de la aplicación, lo cual es esencial para una protección eficaz contra bots.

Si bien la protección contra bots no es una tarea puramente de desarrollo, tampoco es una tarea puramente de operaciones en el sentido tradicional de operaciones; configurar la protección contra bots requiere un conocimiento detallado de la aplicação, sus requisitos, diseño e implementación.

Teniendo en cuenta los tipos de ataques de bots enumerados anteriormente, ¿cuáles de ellos se aplican a su aplicação? Para cada uno de estos tipos de ataques, ¿qué ruta o API seguirán los bots? Para cada uno de estos caminos, ¿dónde es posible instrumentar la recopilación de señales para reunir los datos necesarios para distinguir a los bots de los humanos?

Al configurar la protección contra bots para la web, en F5 nos referimos a las rutas protegidas como puntos finales y a las páginas que requieren instrumentación como puntos de entrada. Imagínese un inicio de sesión. Una página web puede albergar el formulario de inicio de sesión, al que llamaríamos el punto de entrada. Y ese formulario puede publicarse en una ruta particular, a la que llamaríamos punto final. Por supuesto, no siempre es tan sencillo. El formulario de inicio de sesión puede existir en muchas páginas y estos formularios pueden publicarse en diferentes rutas.

Lo mismo ocurre con los dispositivos móviles. La protección de las aplicaciones móviles contra los bots generalmente requiere la integración de un SDK para la instrumentación de telemetría. Para determinar qué solicitudes de red deben incluir esta telemetría es necesario conocer la aplicación.

Dado este conocimiento de la aplicación necesario para la configuración, la gestión de bots es una buena opción para DevSecOps, en particular porque tiene sentido mover este paso a la izquierda, al considerar la gestión de bots durante las fases de requisitos y diseño.

5)   DevOps conoce la infraestructura

La protección contra los bots también requiere una comprensión de la infraestructura de red. Generalmente, la protección contra bots se proporcionará a través de una API que se llama desde una capa en la red, tal vez un CDN, un balanceador de carga, un portal API, un controlador de ingreso o una plataforma de aplicação . Una de estas capas se configurará para enviar tráfico relevante a la API de gestión de bots para determinar si una solicitud proviene de un humano o un bot.

Al trabajar con desarrollo y operaciones, el equipo de DevSecOps tendrá la perspectiva más amplia sobre cómo decidir dónde implementar estas llamadas API de una manera que pueda automatizarse completamente (como parte de la cadena de suministro de CI/CD) y que ofrezca un rendimiento óptimo.

6)   DevSecOps sabe dónde debe encajar la gestión de bots en el flujo de trabajo de CI/CD

A medida que las organizaciones lanzan nuevas funciones a través del flujo de valor tecnológico, las defensas contra bots necesitarán actualizaciones de configuración, al igual que otros componentes de seguridad como el WAF. El equipo de DevSecOps está bien posicionado para determinar en qué parte del proceso de CI/CD debe realizarse esta actualización de configuración automatizada.

Esto es más complejo de lo que parece en un principio, ya que la protección contra bots podría interferir con las pruebas de control de calidad automatizadas, que serían detectadas como un bot. Hay varias formas de resolver el problema, como permitir la inclusión de herramientas de prueba en la lista a través de encabezados o direcciones IP o poner protecciones contra bots solo después de que se completen las pruebas de control de calidad automatizadas.

Lo más importante es que DevSecOps debe trabajar con los desarrolladores e InfoSec para determinar dónde se requiere protección contra bots y brindar una manera de asegurarse de que esté implementada a medida que se lanzan funciones relevantes.

Envolviéndolo

Las organizaciones que ofrecen aplicações para consumidores necesitan mantener a los clientes seguros en línea, protegiendo la privacidad de sus datos y su seguridad financiera. En cualquier organización que busque una ventaja competitiva a través de la rápida innovación que hace posible DevOps, proteger a los clientes requiere DevSecOps para que la seguridad se mantenga al ritmo de los lanzamientos. Entre las responsabilidades de DevSecOps, la gestión de bots es esencial. Los ataques de bots ponen en grave riesgo la seguridad del cliente, y DevSecOps aporta habilidades que son muy valiosas para defenderse contra bots maliciosos y empoderar a las organizaciones para adoptar de forma segura la innovación rápida.

Para obtener más información sobre el ROI de la protección contra bots, consulte el Informe de impacto económico total de Forrester . Obtenga más información y programe una conversación con un experto en bots de F5 en f5.com/bot-defense .