Los riesgos en seguridad criptográfica se amplifican en las características de DevOps, en ambientes comprometidos de desarrollo o prueba y se pueden esparcir a sistemas de producción y a las aplicaciones.

De acuerdo con un estudio dirigido por Dimensional Research, muchos servicios de organizaciones financieras tienen políticas de seguridad criptográfica bastante fuertes en sus sistemas de producción, sin embargo, a menudo fallan al cumplir las mismas medidas vitales en sus entornos de DevOps.

Adicionalmente, las organizaciones de servicios financieros continúan empleando certificados de DevOps una vez que el software, aplicaciones y actualizaciones se han liberado. Esta supervisión deja vulnerabilidades en sus sistemas que pueden ser fácilmente prevenibles.

“Las organizaciones de servicios financieros emplean la tecnología DevOps para liberar nuevas características y mejorar la experiencia de los clientes en el mercado hiper competitivo de hoy en día”, indicó Kevin Bocek, jefe de estrategia en seguridad para Venafi. “Sin embargo, las ventajas competitivas que DevOps ofrece no pueden venir a expensas de la seguridad, privacidad de los datos y el cumplimiento. Está claro que muchas organizaciones de servicios financieros aún están luchando con asegurar la identidad del dispositivo, desde la banca móvil hasta el comercio de alta velocidad. Sin embargo, los equipos de DevOps indican que están advertidos de los riesgos asociados con las llaves y certificados TLS/SSL, el método empleado más frecuentemente para establecer la identidad de los dispositivos, esta advertencia claramente no ha sido traducida a una protección significativa”.

Las organizaciones de servicios financieros luchan con reforzar las políticas de seguridad para los ambientes DevOps. Al menos un tercio (30%) de las organizaciones de servicios financieros no refuerzan constantemente las mismas políticas de seguridad criptográfica para proyectos de DevOps como lo hacen con entornos productivos. Adicionalmente, el 7% de los encuestados no están seguros sobre si estas políticas fueron reforzadas a través del entorno DevOps y el de producción.

La mayoría (80%) de los equipos de servicios financieros DevOps están prevenidos sobre el volumen y severidad de los ataques como resultado de llaves y certificados comprometidos. Dos tercios (67%) de esos equipos están informados sobre los controles necesarios para prevenir este tipo de ataques.

Sólo la mitad (51%) de las organizaciones de servicios financieros reemplazan todos los certificados DevOps por certificados de entorno productivo una vez liberado. Cuando los certificados no se cambian, no hay manera de distinguir entre la identidad no verificada del dispositivo que podría permanecer en desarrollo y dispositivos confiables que son seguros para colocar en producción.

En el lado positivo, las organizaciones de servicios financieros generalmente implementan prácticas robustas de seguridad criptográfica en sus operaciones, con el 75% solicitando llaves fuertes (llaves de 2048 bits o mayores) y 60% de las organizaciones solicitando distintas autoridades certificadoras para los ambientes de desarrollo y producción. Alentadoramente, solo el 2% de los encuestados respondieron que su organización no requiere ni llaves ni políticas de certificados.

Como la velocidad y escala del desarrollo DevOps se intensifica, particularmente en la industria de servicios financieros, la necesidad de asegurar la identidad del dispositivo es explotando. Sin medidas robustas y prácticas de seguridad, los ataques exitosos que hacen blanco de los certificados y llaves DevOps pueden permitir a los atacantes permanecer ocultos en el trafico cifrado y evadir la detección. De acuerdo con un reporte reciente de A10 Networks, 41% de los ataques emplean cifrado para evadir la detección.

“Como hemos visto con los ataques SWIFT, las organizaciones de servicios financieros son un objetivo valioso y popular para los criminales”, indicó Tim Bedard, director de inteligencia de amenazas y analítica para Venafi. “Si las llaves y certificados usados por los equipos DevOps de servicios financieros no están correctamente protegidos, los criminales podrán explotar los certificados y llaves SSL/TLS para generar sus propios túneles de cifrado. O bien, los atacantes pueden emplear inapropiadamente las llaves SSH para pivotear dentro de la red, elevar sus privilegios de acceso, instalar malware, obtener grandes cantidades de datos sensibles de la organización, y todo sin ser detectados”.