Cuenta
Favor esperar un momento.

¿No tiene cuenta? Haga su registro.

×

Diseñan software para detección automatizada de vulnerabilidades de seguridad en aplicaciones en la nube

Software ciberseguridad

Internacional. La computación en la nube es un mercado en crecimiento. Pero los ataques cibernéticos a los sistemas de software en la nube también están aumentando, ya que estas aplicaciones a menudo contienen vulnerabilidades de seguridad que los piratas informáticos pueden explotar.

El software CodeShield, que es producido por la empresa del mismo nombre, descubre estas vulnerabilidades y las corrige mediante métodos automatizados. CodeShield es una empresa derivada del Instituto Fraunhofer de Diseño de Sistemas Mecatrónicos IEM y del Instituto Heinz Nixdorf de la Universidad de Paderborn.

Cada vez más empresas están trasladando su infraestructura de TI a la nube, utilizando la capacidad de almacenamiento y computación que ofrecen los servicios en la nube o las aplicaciones de programación directamente en la nube. Los sistemas en la nube ofrecen numerosas ventajas, pero también requieren la implementación de medidas de seguridad especiales.

Muchas empresas no están preparadas para esto, algo que puede tener consecuencias para la seguridad de sus datos. “A menudo, vemos interfaces web inseguras, interfaces configuradas incorrectamente o protocolos de acceso vulnerables que están abiertos a la explotación por parte de los ciberdelincuentes. Esto puede resultar en la pérdida de datos sensibles, por nombrar un ejemplo”, afirma el profesor Eric Bodden, científico de Fraunhofer IEM, quien junto con colegas del Instituto Heinz Nixdorf de la Universidad de Paderborn, estableció la spin-off CodeShield en 2020 y desarrolló una herramienta del mismo nombre que analiza y evalúa la seguridad de las aplicaciones en la nube y corrige vulnerabilidades.

- Publicidad -

Además del Prof. Bodden, la start-up fue fundada por Manuel Benz, Andreas Dann y el Dr. Johannes Späth y ahora cuenta con nueve empleados. “Los objetivos de los ataques de piratas informáticos pueden incluir los depósitos de escritura pública de las empresas. Estos tipos de contenedores en la nube almacenan datos en forma de objetos. Los ataques son posibles si el depósito no es de solo lectura y, por lo tanto, se puede acceder a él públicamente, por ejemplo”, explica Bodden. Entre las víctimas más conocidas de este tipo de ataque se incluyen la plataforma comercial BHIM y AutoClerk, un sistema de gestión de propiedades hoteleras basado en plataforma. Los ataques dieron como resultado que millones de elementos de datos de usuarios y cuentas cayeran en manos de los perpetradores.

Detección automática de vulnerabilidades de seguridad
El objetivo de CodeShield es detener estas actividades de delitos informáticos. El software utiliza un proceso automatizado para analizar las vulnerabilidades en el código del programa, centrándose en las aplicaciones nativas de la nube, que actualmente están experimentando un auge en popularidad. Entre los ejemplos destacados de tecnologías nativas de la nube se incluyen Spotify y Netflix. Los patinetes eléctricos, que son un espectáculo habitual en nuestras calles desde hace algún tiempo, también están conectados a la nube. Las aplicaciones están alojadas directamente por el proveedor de la nube. El código del programa también se programa en la nube y luego se almacena y ejecuta en empresas como Amazon Web Services, un proveedor popular en este campo.

El meollo del asunto es el siguiente: “Las interfaces y los componentes puestos a disposición por los proveedores, que pueden describirse como una especie de caja de herramientas modular, no son fáciles de usar. Aunque permiten a los programadores desarrollar nuevas aplicaciones en un corto espacio de tiempo, los datos privados pueden acabar publicándose de forma inadvertida si las interfaces se configuran de forma incorrecta”, comenta el informático. "CodeShield no solo descubre estas vulnerabilidades en tiempo real utilizando medios automatizados, sino que también las visualiza al mismo tiempo". Cubriendo todo, desde el sitio web y la aplicación hasta el código y el contenedor de datos, el software presenta toda la infraestructura de la nube en forma de diagramas para que los programadores puedan identificar rápidamente problemas y debilidades. Los componentes como bibliotecas de código abierto de proveedores externos también se pueden integrar, mostrar y verificar aquí.

Método de toma de huellas dactilares y análisis de flujo de datos
Para descubrir vulnerabilidades de seguridad en el código, la herramienta utiliza lo que se conoce como método de toma de huellas digitales. Esto implica que Bodden y su equipo descarguen los componentes de código abierto de la nube y calculen una huella digital para cada componente. Esta huella dactilar permite reconocer inmediatamente cualquier código inseguro si se vuelve a integrar en una aplicación en una fecha posterior.

Además, CodeShield analiza el código del programa que los propios desarrolladores escriben, almacenan en la nube y editan constantemente para adaptar y ampliar funcionalidades. En este caso, CodeShield realiza análisis de flujo de datos altamente eficientes a diario. El trabajo de estos análisis incluye verificar las entradas del usuario en el front-end para detectar cualquier manipulación rápidamente. Los algoritmos especialmente desarrollados permiten realizar análisis de alta calidad.

La tasa de falsos positivos de CodeShield está por debajo del cinco por ciento. “Muchas herramientas de seguridad de TI generan falsos positivos de entre el 70 y el 80 por ciento, lo que es un gran problema para los desarrolladores. Eso es comparable a un corrector ortográfico que resalta los errores en cada oración donde no los hay”, explica el científico. Sin embargo, la tecnología CodeShield es diferente. Como ejemplo, identificó vulnerabilidades de seguridad en la aplicación de advertencia de coronavirus de Alemania antes de su lanzamiento.

En 2019, CodeShield recibió el premio Ernst Denert Software Engineering Award; está financiado por el programa europeo START-UP transfer.NRW y por el programa StartUpSecure de BMBF.

- Publicidad -

Fuente: Instituto Fraunhofer.

Duván Chaverra Agudelo
Author: Duván Chaverra Agudelo
Jefe Editorial en Latin Press, Inc,.
Comunicador Social y Periodista con experiencia de más de 16 años en medios de comunicación. Apasionado por la tecnología y por esta industria. [email protected]

No hay ideas en “Diseñan software para detección automatizada de vulnerabilidades de seguridad en aplicaciones en la nube”

• Si ya estás registrado, favor ingresar primero al sistema.

Deje su comentario

En respuesta a Some User
Suscribase Gratis
SUSCRÍBASE AL INFO-BOLETIN
¿REQUIERE UNA COTIZACIÓN?
ENTREVISTAS DESTACADAS

Webinar: NxWitness el VMS rápido fácil y ultra ligero

Webinar: Por qué elegir productos con certificaciones de calidad

Por: Eduardo Cortés Coronado, Representante Comercial - SECO-LARM USA INC La importancia de utilizar productos certificados por varias normas internacionales como UL , Ul294, CE , Rosh , Noms, hacen a tus instalciones mas seguras y confiables además de ser un herramienta más de venta que garantice nuestro trabajo, conociendo qué es lo que certifica cada norma para así dormir tranquilos sabiendo que van a durar muchos años con muy bajo mantenimiento. https://www.ventasdeseguridad.com/2...

Webinar: Anviz ONE - Solución integral para pymes

Por: Rogelio Stelzer, Gerente comercial LATAM - Anviz Presentación de la nueva plataforma Anviz ONE, en donde se integran todas nuestras soluciones de control de acceso y asistencia, video seguridad, cerraduras inteligentes y otros sensores. En Anviz ONE el usuario podrá personalizar las opciones según su necesidad, de forma sencilla y desde cualquier sitio que tenga internet. https://www.ventasdeseguridad.com/2...

Webinar: Aplicaciones del IoT y digitalización en la industria logística

Se presentarán los siguientes temas: • Aplicaciones del IoT y digitalización en la industria logística. • Claves para decidir el socio en telecomunicaciones. • La última milla. • Nuevas estrategias de logística y seguimiento de activos sostenibles https://www.ventasdeseguridad.com/2...

Sesión 5: Milestone, Plataforma Abierta que Potencializa sus Instalaciones Manteniéndolas Protegidas

Genaro Sanchez, Channel Business Manager - MILESTONE https://www.ventasdeseguridad.com/2...
Load more...
PATROCINADORES










ULTIMO BOLETIN
Ultimo Info-Boletin