[20/02/2023] La startup israelí Oligo Security sale del modo oculto con el lanzamiento público de su software homónimo, que ofrece una nueva faceta en la supervisión, observabilidad y corrección de la seguridad de las aplicaciones basada en bibliotecas. Utilizando una tecnología denominada filtro de paquetes Berkeley ampliado (eBPF, por sus siglas en inglés), es capaz de proporcionar cobertura de seguridad sin agentes para el código fuente abierto.
Dada la prevalencia del código fuente abierto en el software moderno (Oligo afirma que representa entre el 80% y el 90%), se necesitan soluciones de análisis de la composición del software que puedan detectar posibles vulnerabilidades en el código. Sin embargo, la generación actual de soluciones es “ruidosa”, según Oligo. Tiende a producir muchos falsos positivos y no contextualiza las alertas dentro de un tiempo de ejecución determinado. Esta última tendencia es poco útil para establecer prioridades de corrección.
La mayoría de las herramientas de supervisión de la seguridad de este tipo se basan en la protección de la seguridad de las aplicaciones en tiempo de ejecución (RASP), que requiere un agente que viva en la aplicación, según Jim Mercer, vicepresidente de investigación de IDC para devops y devsecops.
eBPF, por su parte, permite que los programas se ejecuten dentro del sistema operativo, actuando como una máquina virtual en el núcleo que permite la recopilación de datos de aplicaciones y recursos de red, ofreciendo un nivel granular de observabilidad y permitiendo la creación de una SBOM (lista de materiales de software) dinámica.
“Una de las principales ventajas de la solución Oligo es que no necesita agentes y aprovecha eBPF”, afirmó Mercer. “Una crítica tradicional a la tecnología RASP es que el agente introduce cierta sobrecarga en la aplicación”.
Oligo contextualiza las alertas de seguridad
Además, dado que Oligo funciona a nivel de sistema operativo sin agente y con eBPF, puede contextualizar las alertas, dando prioridad a la corrección de vulnerabilidades que se desvíen activamente de la política de permisos de una determinada biblioteca de código, según la empresa. Esto ahorra tiempo de desarrollo al centrarse en las superficies de ataque reales, no solo en las vulnerabilidades potenciales conocidas.
Sin embargo, según Mercer, el enfoque de Oligo no está exento de posibles escollos. Por un lado, está diseñado únicamente para detectar vulnerabilidades conocidas, mientras que algunos tipos de sistemas basados en RASP pueden identificar nuevas inseguridades tanto en código escrito de forma nativa como en código abierto. Además, el sistema de alerta más selectivo tiene el potencial, si se configura de forma inexperta, de pasar por alto problemas potencialmente graves.
“Sospecho que la clave está en una buena gestión de las políticas, y que a Oligo le convendría ofrecer contenidos que ayuden a las organizaciones a redactar políticas seguras, pero no ruidosas”, afirma Mercer.
No obstante, el planteamiento de Oligo puede resultar atractivo para una gran variedad de clientes potenciales, dada la omnipresencia del código fuente abierto, e incluso podría utilizarse para buscar vulnerabilidades en software comercial.
“En general, [el enfoque más selectivo de Oligo] es probablemente positivo, ya que hay bibliotecas de código abierto que se pueden utilizar y que tienen vulnerabilidades, pero no se están utilizando de forma vulnerable”, afirmó.
La tecnología de la empresa ya está siendo utilizada por empresas de los mercados informático, de software analítico e inmobiliario, aunque no se disponía inmediatamente de datos actuales sobre precios y disponibilidad.
Otras empresas de ciberseguridad también han recurrido a eBPF. Por ejemplo, en agosto del año pasado, Traceable AI incorporó eBPF a su plataforma de seguridad para una mayor observabilidad y visibilidad de las API.
Basado en el artículo de Jon Gold (CSO) y editado por CIO Perú