Leí sobre el modelado de amenazas de aplicaciones que hace que los productos de software estén seguros desde sus etapas iniciales (SDLC). Pero si hacemos algo mal en la fase de implementación, eso será un problema.
Por ejemplo, un administrador del sistema abre un puerto en el servidor de seguridad que no es requerido por el producto.
¿Existe una metodología que podamos usar para identificar las amenazas de tiempo de implementación?
Por lo general, lo que haría aquí es integrar algún tipo de procedimiento de prueba en su implementación o proceso posterior a la implementación.
Esto podría ser tan ligero como un simple escaneo de puertos, que podría identificar puertos dejados abiertos inadvertidamente, o tan grande como una evaluación de seguridad completa de terceros (también conocida como prueba de penetración) donde se contrata a un tercero para revisar la seguridad del implementado sistema.
Lo más importante que debes hacer es comprender y luego comunicar cuáles son tus expectativas. Si su modelo de seguridad prohíbe abrir un puerto de firewall, ¿está documentado? (Dejando de lado, si esperas estar seguro porque estás detrás de un firewall, te sugiero que lo repenses, pero creo que lo estás utilizando como ejemplo).
Puede documentar en una 'guía de operaciones de seguridad' o en código, por ejemplo, un script "check_security" o un escáner en la nube para validar. Ambos tienen sus usos, y una guía puede ser una buena manera de documentar y discutir sus expectativas, mientras que el código se adapta mejor.
Una vez que tenga un conjunto de expectativas claras, hay muchas formas de validarlas.
Normalmente, su código se probaría & remediado contra las vulnerabilidades en los entornos de pre-prod / staging antes de entrar en producción. Sí, no todos los entornos son iguales, por lo que algunas de las medidas que tomé son usar Splunk (también conocido como herramientas de correlación de registros) para monitorear implementaciones y correlacionarlas con actividades web durante {x} horas después de la implementación. Esta correlación y alerta en Splunk me ha ayudado a encontrar tráfico y patrones inusuales con respecto a las implementaciones, es decir, picos repentinos en errores, almacenamiento en caché incorrecto que causa picos de memoria, etc.
También existen herramientas como Contrast Security que proporciona Autoprotección de aplicaciones en tiempo de ejecución (RASP). Por lo general, se integran directamente en IIS, por ejemplo, y bloquean los ataques. Es diferente a IPS o WAF.
Lea otras preguntas en las etiquetas risk-management vulnerability threat-modeling threats vulnerability-scanners