A medida que nos adentramos en 2023, la firma de código será más importante que nunca, y eso es mucho decir.
En el entorno de confianza cero actual, la firma de código representa un paso crítico en la protección de la integridad del Software y la infraestructura. Cuando se realiza correctamente, la firma de código garantiza que solo las personas y herramientas adecuadas tengan acceso para firmar código, y esa firma permite a los usuarios y dispositivos determinar qué Software confiar y cuál no.
Por supuesto, como todo en el mundo de la seguridad, introducir las prácticas adecuadas en torno a la firma de código para lograr el estado final deseado es más fácil de decir que de hacer. Pero hacerlo bien será una prioridad esencial para 2023 para protegerse contra las filtraciones y los ataques a la cadena de suministro.
¿Cómo es exactamente el panorama actual en torno al firmado de código y qué cambios podemos esperar para el próximo año? Para responder a estas preguntas, nos reunimos con Eric Mizell, vicepresidente de Ingeniería de Campo en Keyfactor. Esto es lo que nos compartió.
Keyfactor: En su opinión, ¿cuáles son algunas de las principales razones por las que el firmado de código aún no ha sido ampliamente adoptado?
Eric Mizell: Creo que hay varias razones por las que el firmado de código aún no ha sido ampliamente adoptado, y la mayoría tienen que ver con diferentes niveles de concienciación. Esas razones, comenzando por el nivel más bajo de concienciación, incluyen:
- Los equipos no saben cómo firmar código o dónde encaja el firmado de código en su organización.
- El firmado de código está en la lista de tareas pendientes, pero con una prioridad menor que otras.
- El firmado de código se está realizando, pero está limitado a un grupo específico y es potencialmente desconocido para el resto de la organización.
Finalmente, uno de los mayores obstáculos para el firmado de código, independientemente de los niveles de concienciación, es la limitación de estándares y la falta de soporte y mejores prácticas para el firmado de código.
Keyfactor: A pesar de la lenta adopción, ¿por qué el firmado de código está adquiriendo mayor importancia?
Eric: En primer lugar, el firmado de código desempeña un papel fundamental en la implementación de estrategias de seguridad de confianza cero (zero-trust), que se están convirtiendo rápidamente en el estándar en todas las organizaciones. Cada empresa es una empresa de Software y el número de aplicaciones que desarrollan e implementan sigue creciendo. ¿Cómo se puede confiar en lo que se desarrolla e implementa (confianza cero) si no se firma?
Además, también estamos observando un aumento de las amenazas internas. Específicamente, con cada vez más ingenieros trabajando desde casa, muchos están asumiendo más trabajos y subcontratando código de individuos no confiables. Esto conlleva más amenazas internas y requerirá que las organizaciones introduzcan más controles y equilibrios (uno de los cuales debería ser el firmado de código) como respuesta.
Keyfactor: A medida que aumenta la concienciación sobre la importancia del firmado de código, ¿podemos esperar la introducción de más estándares?
Eric: Absolutamente, y GitHub ya ha comenzado a establecer el estándar. Recientemente, GitHub lanzó requisitos de autenticación para verificar a la persona que registra el código. De hecho, las empresas ahora pueden habilitar una capacidad dentro de GitHub que requiere autorización de certificado para los desarrolladores, a fin de asegurar que el código provenga del desarrollador designado. Este es el primer paso en la cadena de suministro de Software para garantizar que el código provenga de un desarrollador de confianza.
Keyfactor: ¿Cuándo cree que alcanzaremos el punto de inflexión en el que el firmado de código se convierta en la norma?
Eric: Afortunadamente, muy pronto. El firmado de código pronto será un requisito para los bancos, y esa es la primera señal de que el punto de inflexión se acerca, ya que, históricamente, una vez que las instituciones de seguridad de alto riesgo (como los bancos) adoptan una nueva medida de seguridad, otras industrias les siguen de cerca.
Dicho esto, todavía estamos al principio de este proceso, ya que se están introduciendo nuevas regulaciones que exigen cadenas de suministro de Software seguras en EE. UU. El mandato actual se aplica a los proveedores que venden al gobierno de EE. UU., pero esto se extenderá rápidamente y espero ver un panorama muy diferente al final del año.
Keyfactor: ¿Existen estándares internacionales que podamos tomar como modelo?
Eric: Hasta ahora, los requisitos en EE. UU. son muy similares a los internacionales, pero muchas empresas de la Unión Europea están por delante de sus homólogas estadounidenses. A medida que aprendamos más, es posible que encontremos regulaciones más estrictas originadas en la UE.
Keyfactor: ¿Qué cree que está impulsando estos nuevos requisitos para los bancos?
Eric: Sencillamente, ya no podemos vivir bajo el enfoque de «confiar y verificar». Ahora vivimos en un mundo de confianza cero (zero-trust), y eso significa que debemos asegurarnos de que todo el Software, scripts y binarios que desarrollamos e implementamos estén firmados de forma segura.
Keyfactor: ¿El hecho de que muchos servicios bancarios sean ahora internacionales complica su capacidad para proporcionar este nivel de seguridad?
Eric: Esto se extiende mucho más allá. Creo que todas las empresas tienen este problema, ya que los desarrolladores ya no trabajan necesariamente en la misma oficina en una red segura. Cuando los desarrolladores pueden estar en cualquier parte del mundo, ¿cómo verificamos su identidad y confirmamos que son realmente ellos quienes registran el código? Asegurar la cadena de suministro de Software, desde el registro del código hasta el firmado de las compilaciones, es el camino correcto a seguir.
¿Listo para implementar el firmado seguro de código en su organización?
2023 será, sin duda, el año en que el firmado de código se convierta en una prioridad máxima para organizaciones de todo tipo. Manténgase a la vanguardia y comience a proteger su organización ahora con Keyfactor Signum, una plataforma segura de firmado como servicio que facilita el firmado de código, contenedores, Software y firmware para los equipos de aplicaciones y operaciones, y es fácil de gestionar para los equipos de seguridad.
