Cuenta
Favor esperar un momento.

¿No tiene cuenta? Haga su registro.

×

Diseñan software para detección automatizada de vulnerabilidades de seguridad en aplicaciones en la nube

Software ciberseguridad

Internacional. La computación en la nube es un mercado en crecimiento. Pero los ataques cibernéticos a los sistemas de software en la nube también están aumentando, ya que estas aplicaciones a menudo contienen vulnerabilidades de seguridad que los piratas informáticos pueden explotar.

El software CodeShield, que es producido por la empresa del mismo nombre, descubre estas vulnerabilidades y las corrige mediante métodos automatizados. CodeShield es una empresa derivada del Instituto Fraunhofer de Diseño de Sistemas Mecatrónicos IEM y del Instituto Heinz Nixdorf de la Universidad de Paderborn.

Cada vez más empresas están trasladando su infraestructura de TI a la nube, utilizando la capacidad de almacenamiento y computación que ofrecen los servicios en la nube o las aplicaciones de programación directamente en la nube. Los sistemas en la nube ofrecen numerosas ventajas, pero también requieren la implementación de medidas de seguridad especiales.

Muchas empresas no están preparadas para esto, algo que puede tener consecuencias para la seguridad de sus datos. “A menudo, vemos interfaces web inseguras, interfaces configuradas incorrectamente o protocolos de acceso vulnerables que están abiertos a la explotación por parte de los ciberdelincuentes. Esto puede resultar en la pérdida de datos sensibles, por nombrar un ejemplo”, afirma el profesor Eric Bodden, científico de Fraunhofer IEM, quien junto con colegas del Instituto Heinz Nixdorf de la Universidad de Paderborn, estableció la spin-off CodeShield en 2020 y desarrolló una herramienta del mismo nombre que analiza y evalúa la seguridad de las aplicaciones en la nube y corrige vulnerabilidades.

- Publicidad -

Además del Prof. Bodden, la start-up fue fundada por Manuel Benz, Andreas Dann y el Dr. Johannes Späth y ahora cuenta con nueve empleados. “Los objetivos de los ataques de piratas informáticos pueden incluir los depósitos de escritura pública de las empresas. Estos tipos de contenedores en la nube almacenan datos en forma de objetos. Los ataques son posibles si el depósito no es de solo lectura y, por lo tanto, se puede acceder a él públicamente, por ejemplo”, explica Bodden. Entre las víctimas más conocidas de este tipo de ataque se incluyen la plataforma comercial BHIM y AutoClerk, un sistema de gestión de propiedades hoteleras basado en plataforma. Los ataques dieron como resultado que millones de elementos de datos de usuarios y cuentas cayeran en manos de los perpetradores.

Detección automática de vulnerabilidades de seguridad
El objetivo de CodeShield es detener estas actividades de delitos informáticos. El software utiliza un proceso automatizado para analizar las vulnerabilidades en el código del programa, centrándose en las aplicaciones nativas de la nube, que actualmente están experimentando un auge en popularidad. Entre los ejemplos destacados de tecnologías nativas de la nube se incluyen Spotify y Netflix. Los patinetes eléctricos, que son un espectáculo habitual en nuestras calles desde hace algún tiempo, también están conectados a la nube. Las aplicaciones están alojadas directamente por el proveedor de la nube. El código del programa también se programa en la nube y luego se almacena y ejecuta en empresas como Amazon Web Services, un proveedor popular en este campo.

El meollo del asunto es el siguiente: “Las interfaces y los componentes puestos a disposición por los proveedores, que pueden describirse como una especie de caja de herramientas modular, no son fáciles de usar. Aunque permiten a los programadores desarrollar nuevas aplicaciones en un corto espacio de tiempo, los datos privados pueden acabar publicándose de forma inadvertida si las interfaces se configuran de forma incorrecta”, comenta el informático. "CodeShield no solo descubre estas vulnerabilidades en tiempo real utilizando medios automatizados, sino que también las visualiza al mismo tiempo". Cubriendo todo, desde el sitio web y la aplicación hasta el código y el contenedor de datos, el software presenta toda la infraestructura de la nube en forma de diagramas para que los programadores puedan identificar rápidamente problemas y debilidades. Los componentes como bibliotecas de código abierto de proveedores externos también se pueden integrar, mostrar y verificar aquí.

Método de toma de huellas dactilares y análisis de flujo de datos
Para descubrir vulnerabilidades de seguridad en el código, la herramienta utiliza lo que se conoce como método de toma de huellas digitales. Esto implica que Bodden y su equipo descarguen los componentes de código abierto de la nube y calculen una huella digital para cada componente. Esta huella dactilar permite reconocer inmediatamente cualquier código inseguro si se vuelve a integrar en una aplicación en una fecha posterior.

Además, CodeShield analiza el código del programa que los propios desarrolladores escriben, almacenan en la nube y editan constantemente para adaptar y ampliar funcionalidades. En este caso, CodeShield realiza análisis de flujo de datos altamente eficientes a diario. El trabajo de estos análisis incluye verificar las entradas del usuario en el front-end para detectar cualquier manipulación rápidamente. Los algoritmos especialmente desarrollados permiten realizar análisis de alta calidad.

- Publicidad -

La tasa de falsos positivos de CodeShield está por debajo del cinco por ciento. “Muchas herramientas de seguridad de TI generan falsos positivos de entre el 70 y el 80 por ciento, lo que es un gran problema para los desarrolladores. Eso es comparable a un corrector ortográfico que resalta los errores en cada oración donde no los hay”, explica el científico. Sin embargo, la tecnología CodeShield es diferente. Como ejemplo, identificó vulnerabilidades de seguridad en la aplicación de advertencia de coronavirus de Alemania antes de su lanzamiento.

En 2019, CodeShield recibió el premio Ernst Denert Software Engineering Award; está financiado por el programa europeo START-UP transfer.NRW y por el programa StartUpSecure de BMBF.

Fuente: Instituto Fraunhofer.

Duván Chaverra Agudelo
Author: Duván Chaverra Agudelo
Jefe Editorial en Latin Press, Inc,.
Comunicador Social y Periodista con experiencia de más de 16 años en medios de comunicación. Apasionado por la tecnología y por esta industria. [email protected]

No hay ideas en “Diseñan software para detección automatizada de vulnerabilidades de seguridad en aplicaciones en la nube”

• Si ya estás registrado, favor ingresar primero al sistema.

Deje su comentario. Su email no será publicado.

En respuesta a Some User
Suscribase Gratis
SUSCRÍBASE AL INFO-BOLETIN
¿REQUIERE UNA COTIZACIÓN?
ENTREVISTAS DESTACADAS

MONITORING & SURVEILLANCE SUMMIT - Bienvenida

Bienvenida alMonitoring and Surveillance Summit producido por el medio Ventas de Seguridad de la mano del periodista Duván Chaverra e Invitados. https://www.ventasdeseguridad.com/m...

Sesión 1: Milestone, Una Plataforma abierta y segura para brindar soluciones y retorno de inversión.

Se busca educar a los asistentes en dos materias fundamentales: Que significa un VMS como plataforma abierta y universal y a su vez la importancia de la seguridad intrínseca de la solución. Aplicaciones en Centros de Monitoreo, C3, C4 y C5, servicios conexos que se pueden sumar y que permiten obtener ganancias, sin olvidar la calidad y el compromiso. Manuel Hernandez Gomez, Gerente de Ventas, América del Sur - MILESTONE https://www.ventasdeseguridad.com/m...

Sesión 2: Administración de videovigilancia remota y eficiente.

Conoce como a través de nuestro VAST 2 podemos integrar herramientas como las analíticas de video, la ciberseguridad y el reconocimiento facial para obtener una solución de videovigilancia sin puntos ciegos. Cristiam Gomez, Country Manager NOLA - VIVOTEK https://www.ventasdeseguridad.com/m...

Sesión 3: Descubre junto a SoftGuard las claves para monitorear sin límites

La clave del éxito es saber encontrar nuevas oportunidades de negocios para convertirse en un prestador líder de servicios avanzados de monitoreos y seguridad electrónica. En SoftGuard te contamos como potenciar tu central de monitoreo y servicio de seguridad, más allá de lo imaginado. Virginia D'Errico, Directora Comercial - SOFTGUARD https://www.ventasdeseguridad.com/m...

Sesión 4: Hacer que las ciudades sean inteligentes con el análisis de vídeo de la IA.

• Características de Agent Vi innoVi • El beneficio de un sistema proactivo versus reactivo • innoVi para protección y seguridad • Detección de Anomalías: Eventos Indefinidos • Solución completa para ciudades inteligentes Giovanni Gutiérrez, Account Executive - AGENT VI https://www.ventasdeseguridad.com/m...
Load more...
HISTORIAL
PATROCINADORES