L'avenir de la cybersécurité : ce qui ne se produira pas dans l'année à venir
Une version de cet article a été initialement publiée dans Lecture sombre. Il a été mis à jour pour la syndication ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prévoir les problèmes les plus brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards de données sensibles volées en 2019, j'ai pensé qu'il serait plus précis de prédire ce que ne sera pas ce qui se produira dans le domaine de la cybersécurité en 2020, voire dans un avenir prévisible.
J'ai rencontré mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Cela se veut un peu léger, mais cela vous fait réfléchir au long chemin qui reste à parcourir pour renforcer chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons notre boule de cristal et révélons nos prédictions. Nous ne verrons pas :
Les injections SQL ont été supprimées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus dérangés pour identifier les bogues d'injection SQL, ad nauseam.
Malheureusement, cela fait plus de vingt ans que nous attendons ce jour, et nous en attendrons encore au moins un autre. C'est la vulnérabilité qui, comme un cafard, a survécu à toutes les tactiques utilisées jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près aussi longtemps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement logiciel (en particulier dès le début) reste trop faible, et certainement insuffisante compte tenu de la forte augmentation de la production de code depuis la découverte de l'injection SQL.
(Vous souhaitez en savoir plus sur les modèles de codage susceptibles de conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et AppSec deviennent de meilleurs amis
Ah, les développeurs et l'équipe AppSec. S'entendront-ils un jour ou sont-ils voués à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent juste au dernier obstacle : lorsque les spécialistes AppSec examinent le code d'un développeur. Le développeur a créé de belles fonctionnalités fonctionnelles (ce qui est leur priorité absolue) qui sont détruites si des failles de sécurité sont découvertes. Le gourou de la sécurité logicielle a en effet traité son bébé de laid et a obligé le développeur à revenir en arrière et à corriger les bogues, retardant souvent le déploiement.
Dans l'état actuel des choses, cela ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas vers un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas par défaut en 2020 (et pour de nombreuses entreprises, quelques années plus tard), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité d'améliorer leurs compétences en matière de sécurité et de travailler selon des normes plus élevées, en incluant des objectifs de sécurité dès le départ.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel dans le monde entier en matière d'expertise en matière de sécurité.
Selon un rapport de l'ISC (2), il existe environ 2,93 millions de postes en cybersécurité actuellement vide. La situation va certainement empirer avant de s'améliorer, et il n'y a aucune armée de sécurité cachée prête à venir à notre secours au cours des prochaines années.
Dans un avenir immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et de renforcer les compétences de notre personnel existant, ce qui implique de donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que de créer une culture de sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre d'anciens bogues de sécurité bien connus (voir point 1 ci-dessus). Si nous veillons à ce qu'ils n'aient pas à consacrer un temps et des efforts précieux à la résolution de ces problèmes courants, ils disposeront de plus de bande passante pour se concentrer sur les problèmes de sécurité les plus complexes (pour le moment, ils sont susceptibles d'inclure des problèmes liés aux API, ainsi que des outils de création adaptés aux pipelines de développement).
Moins de code produit
Le monde se numérise à un rythme effarant et la demande sociétale ne faiblira pas. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera que croître et devenir de plus en plus terrifiant (pour les équipes AppSec déjà sollicitées, en tout cas).
L'augmentation du volume de code augmente inévitablement les failles de sécurité potentielles. C'est pourquoi penser que 2020 sera une année plus lente en termes de production de logiciels et de violations est à peu près aussi réaliste que les courses de licornes organisées au Grand National.
Diminution du vol d'enregistrements de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards de dossiers ont été volés dans le monde en 2019, et la défense contre les attaquants reste une tâche un peu désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il se rapprochera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période allant de 2005 à 2010, on constate une hausse constante avec un léger flux et reflux entre les années. C'est intéressant, mais un facteur important à souligner est qu'en 2009, il y a eu une forte baisse du nombre de violations signalées par rapport à 2008. Cependant, il y a eu une nette augmentation du nombre de dossiers volés malgré la diminution du nombre de violations.
Les enregistrements de données sont la nouvelle or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et nombre de dossiers volés, avec un pic énorme en 2017. Le nombre d'attaques a connu une tendance à la baisse en 2018, peut-être en raison du renforcement des mesures de sécurité, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques deviendront de plus en plus sophistiquées et de plus en plus volumineuses et ne disparaîtront pas de sitôt. Et à l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent rapidement plus de logiciels que jamais auparavant. Ils sont les gardiens de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs exigent des formations vidéo à la sécurité plus longues et plus fréquentes
S'il y a une chose que les développeurs adorent, c'est de regarder des heures et des heures de vidéos de formation assistée par ordinateur (TCC). En fait, la demande pour ce contenu captivant est telle que Netflix annoncera une toute nouvelle sous-catégorie dédiée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, leur introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leurs études supérieures, et la formation en cours d'emploi peut être la toute première rencontre avec la sécurité logicielle. Et, comme on pouvait s'y attendre, cela ne leur plaît pas souvent.
Pour que les développeurs prennent la sécurité au sérieux, et pour que la formation soit utile, elle doit être pertinente, attrayante et contextuelle à leur travail. Une formation ponctuelle sur la conformité, ou un flux interminable de vidéos ennuyeuses, n'est pas la solution idéale pour les développeurs et ne permettra pas de réduire les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait la moindre chance de devenir une force défensive consciente de la sécurité contre les vulnérabilités courantes, demandez-leur de travailler avec de vrais exemples de code, du type qu'ils trouveraient dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage soit de la taille d'une bouchée, facile à développer, et incitez-le en vous amusant. Pour qu'une culture de sécurité prospère, elle doit être positive, engageante et développer de véritables compétences et solutions au sein de l'organisation.
Qui sait ? Avec une formation adaptée, un développeur peut reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
OK, donc ce n'est clairement pas une question de rire. J'ai dit à de nombreuses reprises que le monde ne se soucierait tout simplement pas de la cybersécurité tant que des personnes ne commenceraient pas à mourir à la suite d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Cyberattaques contre des hôpitaux américains ont été associés à une augmentation des décès par crise cardiaque en 2019. Bien entendu, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par rançongiciel contre les systèmes et équipements des hôpitaux ont ralenti les délais de traitement des soins intensifs.
Ce étude de l'Université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Parmi les personnes touchées par un incident de sécurité, il a fallu en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison de modifications procédurales, de nouvelles mesures de sécurité mises en œuvre et de problèmes d'assistance informatique qui ont pris plus de temps qu'auparavant. Identifier et traiter une crise cardiaque est une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation ne fera qu'empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous redoubler d'efforts pour améliorer la sécurité des logiciels et la placer au cœur de toutes les activités.
Moins d'images de stock de « hackers cagoulés »
Si vous tapez « hacker » dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé et sans visage tapant sur un ordinateur portable, ou d'un personnage similaire masqué par Guy Fawkes.
Cette image stéréotypée d'un hacker est vraiment fatigante et fait passer tout le monde pour un méchant. Il existe de nombreuses personnes douées pour la sécurité, et les connotations négatives qui entourent l'image de « hacker » ne rendent pas service à tout le monde.
Est-ce que je pense que cela va bientôt changer ? Probablement pas, mais c'est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
Dans notre secteur, de nombreux experts en sécurité ont commencé à prévoir les principaux problèmes de l'année, mais avec plus de cinq milliards d'enregistrements de données sensibles volés en 2019, nous avons pensé qu'il serait plus précis de prévoir ce qui ne se passera pas en matière de cybersécurité dans un avenir proche.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Une version de cet article a été initialement publiée dans Lecture sombre. Il a été mis à jour pour la syndication ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prévoir les problèmes les plus brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards de données sensibles volées en 2019, j'ai pensé qu'il serait plus précis de prédire ce que ne sera pas ce qui se produira dans le domaine de la cybersécurité en 2020, voire dans un avenir prévisible.
J'ai rencontré mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Cela se veut un peu léger, mais cela vous fait réfléchir au long chemin qui reste à parcourir pour renforcer chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons notre boule de cristal et révélons nos prédictions. Nous ne verrons pas :
Les injections SQL ont été supprimées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus dérangés pour identifier les bogues d'injection SQL, ad nauseam.
Malheureusement, cela fait plus de vingt ans que nous attendons ce jour, et nous en attendrons encore au moins un autre. C'est la vulnérabilité qui, comme un cafard, a survécu à toutes les tactiques utilisées jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près aussi longtemps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement logiciel (en particulier dès le début) reste trop faible, et certainement insuffisante compte tenu de la forte augmentation de la production de code depuis la découverte de l'injection SQL.
(Vous souhaitez en savoir plus sur les modèles de codage susceptibles de conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et AppSec deviennent de meilleurs amis
Ah, les développeurs et l'équipe AppSec. S'entendront-ils un jour ou sont-ils voués à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent juste au dernier obstacle : lorsque les spécialistes AppSec examinent le code d'un développeur. Le développeur a créé de belles fonctionnalités fonctionnelles (ce qui est leur priorité absolue) qui sont détruites si des failles de sécurité sont découvertes. Le gourou de la sécurité logicielle a en effet traité son bébé de laid et a obligé le développeur à revenir en arrière et à corriger les bogues, retardant souvent le déploiement.
Dans l'état actuel des choses, cela ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas vers un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas par défaut en 2020 (et pour de nombreuses entreprises, quelques années plus tard), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité d'améliorer leurs compétences en matière de sécurité et de travailler selon des normes plus élevées, en incluant des objectifs de sécurité dès le départ.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel dans le monde entier en matière d'expertise en matière de sécurité.
Selon un rapport de l'ISC (2), il existe environ 2,93 millions de postes en cybersécurité actuellement vide. La situation va certainement empirer avant de s'améliorer, et il n'y a aucune armée de sécurité cachée prête à venir à notre secours au cours des prochaines années.
Dans un avenir immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et de renforcer les compétences de notre personnel existant, ce qui implique de donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que de créer une culture de sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre d'anciens bogues de sécurité bien connus (voir point 1 ci-dessus). Si nous veillons à ce qu'ils n'aient pas à consacrer un temps et des efforts précieux à la résolution de ces problèmes courants, ils disposeront de plus de bande passante pour se concentrer sur les problèmes de sécurité les plus complexes (pour le moment, ils sont susceptibles d'inclure des problèmes liés aux API, ainsi que des outils de création adaptés aux pipelines de développement).
Moins de code produit
Le monde se numérise à un rythme effarant et la demande sociétale ne faiblira pas. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera que croître et devenir de plus en plus terrifiant (pour les équipes AppSec déjà sollicitées, en tout cas).
L'augmentation du volume de code augmente inévitablement les failles de sécurité potentielles. C'est pourquoi penser que 2020 sera une année plus lente en termes de production de logiciels et de violations est à peu près aussi réaliste que les courses de licornes organisées au Grand National.
Diminution du vol d'enregistrements de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards de dossiers ont été volés dans le monde en 2019, et la défense contre les attaquants reste une tâche un peu désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il se rapprochera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période allant de 2005 à 2010, on constate une hausse constante avec un léger flux et reflux entre les années. C'est intéressant, mais un facteur important à souligner est qu'en 2009, il y a eu une forte baisse du nombre de violations signalées par rapport à 2008. Cependant, il y a eu une nette augmentation du nombre de dossiers volés malgré la diminution du nombre de violations.
Les enregistrements de données sont la nouvelle or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et nombre de dossiers volés, avec un pic énorme en 2017. Le nombre d'attaques a connu une tendance à la baisse en 2018, peut-être en raison du renforcement des mesures de sécurité, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques deviendront de plus en plus sophistiquées et de plus en plus volumineuses et ne disparaîtront pas de sitôt. Et à l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent rapidement plus de logiciels que jamais auparavant. Ils sont les gardiens de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs exigent des formations vidéo à la sécurité plus longues et plus fréquentes
S'il y a une chose que les développeurs adorent, c'est de regarder des heures et des heures de vidéos de formation assistée par ordinateur (TCC). En fait, la demande pour ce contenu captivant est telle que Netflix annoncera une toute nouvelle sous-catégorie dédiée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, leur introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leurs études supérieures, et la formation en cours d'emploi peut être la toute première rencontre avec la sécurité logicielle. Et, comme on pouvait s'y attendre, cela ne leur plaît pas souvent.
Pour que les développeurs prennent la sécurité au sérieux, et pour que la formation soit utile, elle doit être pertinente, attrayante et contextuelle à leur travail. Une formation ponctuelle sur la conformité, ou un flux interminable de vidéos ennuyeuses, n'est pas la solution idéale pour les développeurs et ne permettra pas de réduire les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait la moindre chance de devenir une force défensive consciente de la sécurité contre les vulnérabilités courantes, demandez-leur de travailler avec de vrais exemples de code, du type qu'ils trouveraient dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage soit de la taille d'une bouchée, facile à développer, et incitez-le en vous amusant. Pour qu'une culture de sécurité prospère, elle doit être positive, engageante et développer de véritables compétences et solutions au sein de l'organisation.
Qui sait ? Avec une formation adaptée, un développeur peut reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
OK, donc ce n'est clairement pas une question de rire. J'ai dit à de nombreuses reprises que le monde ne se soucierait tout simplement pas de la cybersécurité tant que des personnes ne commenceraient pas à mourir à la suite d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Cyberattaques contre des hôpitaux américains ont été associés à une augmentation des décès par crise cardiaque en 2019. Bien entendu, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par rançongiciel contre les systèmes et équipements des hôpitaux ont ralenti les délais de traitement des soins intensifs.
Ce étude de l'Université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Parmi les personnes touchées par un incident de sécurité, il a fallu en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison de modifications procédurales, de nouvelles mesures de sécurité mises en œuvre et de problèmes d'assistance informatique qui ont pris plus de temps qu'auparavant. Identifier et traiter une crise cardiaque est une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation ne fera qu'empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous redoubler d'efforts pour améliorer la sécurité des logiciels et la placer au cœur de toutes les activités.
Moins d'images de stock de « hackers cagoulés »
Si vous tapez « hacker » dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé et sans visage tapant sur un ordinateur portable, ou d'un personnage similaire masqué par Guy Fawkes.
Cette image stéréotypée d'un hacker est vraiment fatigante et fait passer tout le monde pour un méchant. Il existe de nombreuses personnes douées pour la sécurité, et les connotations négatives qui entourent l'image de « hacker » ne rendent pas service à tout le monde.
Est-ce que je pense que cela va bientôt changer ? Probablement pas, mais c'est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
Une version de cet article a été initialement publiée dans Lecture sombre. Il a été mis à jour pour la syndication ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prévoir les problèmes les plus brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards de données sensibles volées en 2019, j'ai pensé qu'il serait plus précis de prédire ce que ne sera pas ce qui se produira dans le domaine de la cybersécurité en 2020, voire dans un avenir prévisible.
J'ai rencontré mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Cela se veut un peu léger, mais cela vous fait réfléchir au long chemin qui reste à parcourir pour renforcer chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons notre boule de cristal et révélons nos prédictions. Nous ne verrons pas :
Les injections SQL ont été supprimées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus dérangés pour identifier les bogues d'injection SQL, ad nauseam.
Malheureusement, cela fait plus de vingt ans que nous attendons ce jour, et nous en attendrons encore au moins un autre. C'est la vulnérabilité qui, comme un cafard, a survécu à toutes les tactiques utilisées jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près aussi longtemps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement logiciel (en particulier dès le début) reste trop faible, et certainement insuffisante compte tenu de la forte augmentation de la production de code depuis la découverte de l'injection SQL.
(Vous souhaitez en savoir plus sur les modèles de codage susceptibles de conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et AppSec deviennent de meilleurs amis
Ah, les développeurs et l'équipe AppSec. S'entendront-ils un jour ou sont-ils voués à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent juste au dernier obstacle : lorsque les spécialistes AppSec examinent le code d'un développeur. Le développeur a créé de belles fonctionnalités fonctionnelles (ce qui est leur priorité absolue) qui sont détruites si des failles de sécurité sont découvertes. Le gourou de la sécurité logicielle a en effet traité son bébé de laid et a obligé le développeur à revenir en arrière et à corriger les bogues, retardant souvent le déploiement.
Dans l'état actuel des choses, cela ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas vers un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas par défaut en 2020 (et pour de nombreuses entreprises, quelques années plus tard), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité d'améliorer leurs compétences en matière de sécurité et de travailler selon des normes plus élevées, en incluant des objectifs de sécurité dès le départ.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel dans le monde entier en matière d'expertise en matière de sécurité.
Selon un rapport de l'ISC (2), il existe environ 2,93 millions de postes en cybersécurité actuellement vide. La situation va certainement empirer avant de s'améliorer, et il n'y a aucune armée de sécurité cachée prête à venir à notre secours au cours des prochaines années.
Dans un avenir immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et de renforcer les compétences de notre personnel existant, ce qui implique de donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que de créer une culture de sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre d'anciens bogues de sécurité bien connus (voir point 1 ci-dessus). Si nous veillons à ce qu'ils n'aient pas à consacrer un temps et des efforts précieux à la résolution de ces problèmes courants, ils disposeront de plus de bande passante pour se concentrer sur les problèmes de sécurité les plus complexes (pour le moment, ils sont susceptibles d'inclure des problèmes liés aux API, ainsi que des outils de création adaptés aux pipelines de développement).
Moins de code produit
Le monde se numérise à un rythme effarant et la demande sociétale ne faiblira pas. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera que croître et devenir de plus en plus terrifiant (pour les équipes AppSec déjà sollicitées, en tout cas).
L'augmentation du volume de code augmente inévitablement les failles de sécurité potentielles. C'est pourquoi penser que 2020 sera une année plus lente en termes de production de logiciels et de violations est à peu près aussi réaliste que les courses de licornes organisées au Grand National.
Diminution du vol d'enregistrements de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards de dossiers ont été volés dans le monde en 2019, et la défense contre les attaquants reste une tâche un peu désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il se rapprochera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période allant de 2005 à 2010, on constate une hausse constante avec un léger flux et reflux entre les années. C'est intéressant, mais un facteur important à souligner est qu'en 2009, il y a eu une forte baisse du nombre de violations signalées par rapport à 2008. Cependant, il y a eu une nette augmentation du nombre de dossiers volés malgré la diminution du nombre de violations.
Les enregistrements de données sont la nouvelle or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et nombre de dossiers volés, avec un pic énorme en 2017. Le nombre d'attaques a connu une tendance à la baisse en 2018, peut-être en raison du renforcement des mesures de sécurité, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques deviendront de plus en plus sophistiquées et de plus en plus volumineuses et ne disparaîtront pas de sitôt. Et à l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent rapidement plus de logiciels que jamais auparavant. Ils sont les gardiens de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs exigent des formations vidéo à la sécurité plus longues et plus fréquentes
S'il y a une chose que les développeurs adorent, c'est de regarder des heures et des heures de vidéos de formation assistée par ordinateur (TCC). En fait, la demande pour ce contenu captivant est telle que Netflix annoncera une toute nouvelle sous-catégorie dédiée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, leur introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leurs études supérieures, et la formation en cours d'emploi peut être la toute première rencontre avec la sécurité logicielle. Et, comme on pouvait s'y attendre, cela ne leur plaît pas souvent.
Pour que les développeurs prennent la sécurité au sérieux, et pour que la formation soit utile, elle doit être pertinente, attrayante et contextuelle à leur travail. Une formation ponctuelle sur la conformité, ou un flux interminable de vidéos ennuyeuses, n'est pas la solution idéale pour les développeurs et ne permettra pas de réduire les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait la moindre chance de devenir une force défensive consciente de la sécurité contre les vulnérabilités courantes, demandez-leur de travailler avec de vrais exemples de code, du type qu'ils trouveraient dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage soit de la taille d'une bouchée, facile à développer, et incitez-le en vous amusant. Pour qu'une culture de sécurité prospère, elle doit être positive, engageante et développer de véritables compétences et solutions au sein de l'organisation.
Qui sait ? Avec une formation adaptée, un développeur peut reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
OK, donc ce n'est clairement pas une question de rire. J'ai dit à de nombreuses reprises que le monde ne se soucierait tout simplement pas de la cybersécurité tant que des personnes ne commenceraient pas à mourir à la suite d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Cyberattaques contre des hôpitaux américains ont été associés à une augmentation des décès par crise cardiaque en 2019. Bien entendu, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par rançongiciel contre les systèmes et équipements des hôpitaux ont ralenti les délais de traitement des soins intensifs.
Ce étude de l'Université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Parmi les personnes touchées par un incident de sécurité, il a fallu en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison de modifications procédurales, de nouvelles mesures de sécurité mises en œuvre et de problèmes d'assistance informatique qui ont pris plus de temps qu'auparavant. Identifier et traiter une crise cardiaque est une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation ne fera qu'empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous redoubler d'efforts pour améliorer la sécurité des logiciels et la placer au cœur de toutes les activités.
Moins d'images de stock de « hackers cagoulés »
Si vous tapez « hacker » dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé et sans visage tapant sur un ordinateur portable, ou d'un personnage similaire masqué par Guy Fawkes.
Cette image stéréotypée d'un hacker est vraiment fatigante et fait passer tout le monde pour un méchant. Il existe de nombreuses personnes douées pour la sécurité, et les connotations négatives qui entourent l'image de « hacker » ne rendent pas service à tout le monde.
Est-ce que je pense que cela va bientôt changer ? Probablement pas, mais c'est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Une version de cet article a été initialement publiée dans Lecture sombre. Il a été mis à jour pour la syndication ici.
Dans notre secteur, de nombreux experts en sécurité ont pris l'habitude de prévoir les problèmes les plus brûlants de l'année à venir (et je ne fais pas exception), mais avec plus de cinq milliards de données sensibles volées en 2019, j'ai pensé qu'il serait plus précis de prédire ce que ne sera pas ce qui se produira dans le domaine de la cybersécurité en 2020, voire dans un avenir prévisible.
J'ai rencontré mon cofondateur, Matias Madou, et nous avons bien ri en dressant cette liste. Cela se veut un peu léger, mais cela vous fait réfléchir au long chemin qui reste à parcourir pour renforcer chaque organisation contre les cyberattaques malveillantes.
Maintenant, regardons notre boule de cristal et révélons nos prédictions. Nous ne verrons pas :
Les injections SQL ont été supprimées de tous les logiciels
Je pense que tous les professionnels de la sécurité de la planète attendent le jour où ils ne seront plus dérangés pour identifier les bogues d'injection SQL, ad nauseam.
Malheureusement, cela fait plus de vingt ans que nous attendons ce jour, et nous en attendrons encore au moins un autre. C'est la vulnérabilité qui, comme un cafard, a survécu à toutes les tactiques utilisées jusqu'à présent pour l'éradiquer définitivement.
C'est pour le moins frustrant, car le remède est connu depuis à peu près aussi longtemps. Cependant, la priorité accordée aux meilleures pratiques de sécurité à chaque étape du développement logiciel (en particulier dès le début) reste trop faible, et certainement insuffisante compte tenu de la forte augmentation de la production de code depuis la découverte de l'injection SQL.
(Vous souhaitez en savoir plus sur les modèles de codage susceptibles de conduire à une injection SQL ? Relevez le défi ici).
Les développeurs et AppSec deviennent de meilleurs amis
Ah, les développeurs et l'équipe AppSec. S'entendront-ils un jour ou sont-ils voués à une vie de rivalité comme Rocky contre Apollo ? La réponse courte est oui, ils peuvent s'entendre, mais à l'heure actuelle, leurs priorités sont souvent très différentes.
Lorsqu'ils se rencontrent dans le cadre d'un projet, ils sont sur des pages opposées et s'affrontent juste au dernier obstacle : lorsque les spécialistes AppSec examinent le code d'un développeur. Le développeur a créé de belles fonctionnalités fonctionnelles (ce qui est leur priorité absolue) qui sont détruites si des failles de sécurité sont découvertes. Le gourou de la sécurité logicielle a en effet traité son bébé de laid et a obligé le développeur à revenir en arrière et à corriger les bogues, retardant souvent le déploiement.
Dans l'état actuel des choses, cela ne sera pas résolu tant que les développeurs et les équipes AppSec ne travailleront pas vers un objectif commun, à savoir la création de logiciels sécurisés. Cela ne se produira pas par défaut en 2020 (et pour de nombreuses entreprises, quelques années plus tard), mais avec l'avènement du mouvement DevSecOps et au-delà, les développeurs reconnaissent la nécessité d'améliorer leurs compétences en matière de sécurité et de travailler selon des normes plus élevées, en incluant des objectifs de sécurité dès le départ.
Une offre excédentaire de professionnels de la sécurité
En 2020, 2025, 2030... il est presque garanti que nous manquerons de personnel dans le monde entier en matière d'expertise en matière de sécurité.
Selon un rapport de l'ISC (2), il existe environ 2,93 millions de postes en cybersécurité actuellement vide. La situation va certainement empirer avant de s'améliorer, et il n'y a aucune armée de sécurité cachée prête à venir à notre secours au cours des prochaines années.
Dans un avenir immédiat, notre meilleure chance de remédier à cette pénurie de compétences est de faire de la sécurité une priorité organisationnelle et de renforcer les compétences de notre personnel existant, ce qui implique de donner aux développeurs la formation et les outils nécessaires pour coder en toute sécurité, ainsi que de créer une culture de sécurité à l'échelle de l'entreprise. La plupart des équipes AppSec actuelles luttent probablement contre d'anciens bogues de sécurité bien connus (voir point 1 ci-dessus). Si nous veillons à ce qu'ils n'aient pas à consacrer un temps et des efforts précieux à la résolution de ces problèmes courants, ils disposeront de plus de bande passante pour se concentrer sur les problèmes de sécurité les plus complexes (pour le moment, ils sont susceptibles d'inclure des problèmes liés aux API, ainsi que des outils de création adaptés aux pipelines de développement).
Moins de code produit
Le monde se numérise à un rythme effarant et la demande sociétale ne faiblira pas. Environ 111 milliards de lignes de code sont écrites chaque année, et ce chiffre ne fera que croître et devenir de plus en plus terrifiant (pour les équipes AppSec déjà sollicitées, en tout cas).
L'augmentation du volume de code augmente inévitablement les failles de sécurité potentielles. C'est pourquoi penser que 2020 sera une année plus lente en termes de production de logiciels et de violations est à peu près aussi réaliste que les courses de licornes organisées au Grand National.
Diminution du vol d'enregistrements de données
Comme je l'ai dit, plus de code signifie plus de vulnérabilités, ce qui offre plus de possibilités aux attaquants de trouver un moyen de voler des données.
Au moins 5,3 milliards de dossiers ont été volés dans le monde en 2019, et la défense contre les attaquants reste une tâche un peu désespérée et réactive. Ce chiffre ne doublera peut-être pas au cours des douze prochains mois, mais je pense qu'il se rapprochera.
À titre d'exemple, examinons les tendances historiques des données volées signalées aux États-Unis d'une année sur l'autre :
Si l'on considère la période allant de 2005 à 2010, on constate une hausse constante avec un léger flux et reflux entre les années. C'est intéressant, mais un facteur important à souligner est qu'en 2009, il y a eu une forte baisse du nombre de violations signalées par rapport à 2008. Cependant, il y a eu une nette augmentation du nombre de dossiers volés malgré la diminution du nombre de violations.
Les enregistrements de données sont la nouvelle or ; ils ont de la valeur pour un attaquant. Le graphique reflète une tendance générale à la hausse des violations et nombre de dossiers volés, avec un pic énorme en 2017. Le nombre d'attaques a connu une tendance à la baisse en 2018, peut-être en raison du renforcement des mesures de sécurité, mais le nombre d'enregistrements obtenus n'a jamais été aussi élevé. Les cyberattaques deviendront de plus en plus sophistiquées et de plus en plus volumineuses et ne disparaîtront pas de sitôt. Et à l'échelle mondiale, il est peu probable que nous assistions à un ralentissement en 2020, car les entreprises produisent rapidement plus de logiciels que jamais auparavant. Ils sont les gardiens de nos données et doivent travailler plus intelligemment pour protéger notre vie privée.
Les développeurs exigent des formations vidéo à la sécurité plus longues et plus fréquentes
S'il y a une chose que les développeurs adorent, c'est de regarder des heures et des heures de vidéos de formation assistée par ordinateur (TCC). En fait, la demande pour ce contenu captivant est telle que Netflix annoncera une toute nouvelle sous-catégorie dédiée aux vidéos génériques de formation à la sécurité.
Euh, non. Ni maintenant, ni en 2020, ni jamais.
Pour les développeurs, leur introduction à la sécurité se fait souvent par le biais d'une formation à la conformité sur le lieu de travail. Le codage sécurisé fait rarement partie de leurs études supérieures, et la formation en cours d'emploi peut être la toute première rencontre avec la sécurité logicielle. Et, comme on pouvait s'y attendre, cela ne leur plaît pas souvent.
Pour que les développeurs prennent la sécurité au sérieux, et pour que la formation soit utile, elle doit être pertinente, attrayante et contextuelle à leur travail. Une formation ponctuelle sur la conformité, ou un flux interminable de vidéos ennuyeuses, n'est pas la solution idéale pour les développeurs et ne permettra pas de réduire les vulnérabilités.
Si vous voulez que la cohorte de développeurs ait la moindre chance de devenir une force défensive consciente de la sécurité contre les vulnérabilités courantes, demandez-leur de travailler avec de vrais exemples de code, du type qu'ils trouveraient dans leurs tâches quotidiennes. Faites en sorte que l'apprentissage soit de la taille d'une bouchée, facile à développer, et incitez-le en vous amusant. Pour qu'une culture de sécurité prospère, elle doit être positive, engageante et développer de véritables compétences et solutions au sein de l'organisation.
Qui sait ? Avec une formation adaptée, un développeur peut reconnaître le champion de la sécurité qui sommeille en lui et diffuser largement les avantages du codage sécurisé.
Aucun décès dû à un incident lié à la cybersécurité
OK, donc ce n'est clairement pas une question de rire. J'ai dit à de nombreuses reprises que le monde ne se soucierait tout simplement pas de la cybersécurité tant que des personnes ne commenceraient pas à mourir à la suite d'un incident lié à une cyberattaque.
Le problème, c'est que cela s'est déjà produit et que cela est passé largement inaperçu.
Cyberattaques contre des hôpitaux américains ont été associés à une augmentation des décès par crise cardiaque en 2019. Bien entendu, les attaquants n'ont pas provoqué d'événements cardiaques mortels chez les patients, mais leurs attaques par rançongiciel contre les systèmes et équipements des hôpitaux ont ralenti les délais de traitement des soins intensifs.
Ce étude de l'Université de Floride centrale a analysé 3 000 hôpitaux, dont 311 avaient subi une violation de données. Parmi les personnes touchées par un incident de sécurité, il a fallu en moyenne 2,7 minutes de plus pour faire passer un ECG aux victimes présumées d'une crise cardiaque, probablement en raison de modifications procédurales, de nouvelles mesures de sécurité mises en œuvre et de problèmes d'assistance informatique qui ont pris plus de temps qu'auparavant. Identifier et traiter une crise cardiaque est une course contre la montre, et ces hôpitaux ont enregistré en moyenne 36 décès supplémentaires pour 10 000 crises cardiaques par an.
C'est choquant et, malheureusement, je pense que la situation ne fera qu'empirer avant de s'améliorer. Cela devrait nous rappeler brutalement que nous devons tous redoubler d'efforts pour améliorer la sécurité des logiciels et la placer au cœur de toutes les activités.
Moins d'images de stock de « hackers cagoulés »
Si vous tapez « hacker » dans une recherche d'images, vous découvrirez inévitablement des milliers d'images d'un personnage cagoulé et sans visage tapant sur un ordinateur portable, ou d'un personnage similaire masqué par Guy Fawkes.
Cette image stéréotypée d'un hacker est vraiment fatigante et fait passer tout le monde pour un méchant. Il existe de nombreuses personnes douées pour la sécurité, et les connotations négatives qui entourent l'image de « hacker » ne rendent pas service à tout le monde.
Est-ce que je pense que cela va bientôt changer ? Probablement pas, mais c'est agréable de rêver. Pour l'instant, il est important de se rappeler que la sécurité n'a pas à être effrayante.
목차
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
