Analyse du secteur de la cybersécurité : une autre vulnérabilité récurrente à corriger
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Une version de cet article a été publiée dans Help Net Security. Il a été mis à jour et diffusé ici.
J'ai passé ma carrière à trouver, à corriger, à discuter et à décomposer vulnérabilités logicielles, d'une manière ou d'une autre. Je sais qu'en ce qui concerne certains bogues de sécurité courants, bien qu'ils soient sur notre orbite depuis les années 90, ils continuent de sévir dans nos logiciels et de provoquer des problèmes majeurs, même si le correctif (souvent simple) est connu depuis presque aussi longtemps. C'est vraiment comme le jour de la marmotte, où, en tant qu'industrie, nous semblons faire la même chose encore et encore et nous attendre à un résultat différent.
Il y a cependant un autre petit problème. Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière, et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
À cette fin, je me demande pourquoi tant de commentaires et d'analyses sur la cybersécurité omettent les solutions qui s'attaquent réellement à la cause première de tant de vulnérabilités : les humains. Le plus récent rapport de Gartner Hype Cycle pour la sécurité des applications, et celui de Forrester L'état de la sécurité des applications en 2021, deux bibles destinées aux experts en sécurité qui contribuent sans aucun doute à façonner leur programme et à l'adoption potentielle de leurs produits, sont presque entièrement axées sur les outils. Un rapport publié par Aberdeen en 2017 a montré à quel point la technologie de sécurité moyenne était devenue indisciplinée, alors que les RSSI gèrent des centaines de produits dans le cadre de leurs stratégies de sécurité ; quatre ans plus tard, nous sommes confrontés à de nouveaux risques, à de nouvelles vulnérabilités et à de nouveaux ajouts à une pile technologique en pleine croissance.
L'outillage de sécurité est indispensable, mais nous devons avoir une vision plus large et rétablir l'équilibre entre la composante humaine de la défense de la sécurité.
L'automatisation, c'est l'avenir. Pourquoi devrions-nous nous intéresser à l'aspect humain de la cybersécurité ?
Pratiquement tout dans notre vie est alimenté par des logiciels, et il est vrai que l'automatisation remplace les éléments humains qui étaient autrefois présents dans de nombreux secteurs. C'est un signe de progrès dans un monde qui se numérise à toute vitesse, avec des sujets d'actualité liés à l'IA et à l'apprentissage automatique qui permettent à de nombreuses organisations de se concentrer sur l'avenir.
Alors, pourquoi une approche de la cybersécurité axée sur l'humain serait-elle autre chose qu'une solution obsolète à un problème technologiquement avancé ? Le fait que des milliards d'enregistrements de données aient été volés lors de violations au cours de l'année écoulée, y compris la plus récente violation de Facebook affectant plus d'un demi-milliard de comptes, devrait indiquer que nous n'en faisons pas assez (ou que nous n'adoptons pas la bonne approche) pour contrer sérieusement les acteurs de la menace.
Les outils de cybersécurité sont une composante indispensable de la cyberdéfense, et les outils auront toujours leur place. Les analystes ont tout à fait raison de recommander les outils les plus récents en matière d'approche d'atténuation des risques pour les entreprises, et cela ne changera pas. Cependant, étant donné que la qualité du code (et, par définition, la sécurité) est difficile à gérer au moment de la production de code, les outils ne peuvent pas faire le travail seuls. À ce jour, il n'existe pas d'outil unique capable de :
- Scannez toutes les vulnérabilités, dans tous les langages : framework
- Scannez rapidement
- Minimiser la double manipulation causée par les faux positifs et les faux négatifs
Les outils peuvent être lents, encombrants et peu maniables. Mais surtout, ils ne trouvent que des problèmes, ils ne les résolvent pas et ne recommandent pas de solutions. Dans ce dernier cas, des experts en sécurité, peu nombreux et surchargés de travail, doivent fouiller dans les poubelles pour trouver des trésors grâce à des résultats interminables de pentests et de scans.
Le fait est que, selon le rapport IBM Cyber Security Intelligence Index, l'erreur humaine joue un rôle dans 95 % de toutes les violations de données réussies. Presque la moitié d'entre eux directement liés à vulnérabilités logicielles, dont beaucoup pourraient être atténués s'il y avait une plus grande adhésion au codage sécurisé et une sensibilisation accrue dès les premiers stades du SDLC. Cependant, pour y parvenir, il est essentiel de mettre davantage l'accent sur la formation des développeurs, en plus de la rendre intrinsèque à leur flux de travail.
Que cela nous plaise ou non, les humains sont profondément ancrés dans le processus de développement logiciel et la cybersécurité est avant tout un problème humain. Les outils ne seront pas un fourre-tout pour corriger une faille fondamentale de notre approche, mais ils peuvent jouer un rôle de soutien clé dans la refonte de solutions humaines.
Et si nous créions simplement de meilleurs outils (et beaucoup d'entre eux) ?
Les outils de sécurité ne cessent de s'améliorer. Les outils SAST/DAST/IAST ont parcouru un long chemin, améliorant leur vitesse et leur intelligence, et le RASP devrait constituer une considération défensive sérieuse dans de nombreux environnements d'application. Pare-feux, gestionnaires de secrets, applications de sécurité du cloud et des réseaux : tout cela va de soi.
Les humains peuvent toujours s'efforcer de créer de meilleurs outils, mais l'innovation ne répond pas aux besoins de sécurité et de protection des données du monde numérique dans lequel nous vivons. Les outils sont, pour la plupart, conçus pour les robots. Ils peuvent être là pour aider les développeurs et l'équipe de sécurité à scanner, surveiller ou protéger le code, mais l'interaction est très limitée et très peu de solutions visent à renforcer la sensibilisation à la sécurité ou à améliorer les compétences de base susceptibles d'améliorer les résultats en matière de sécurité.
En fait, plus de la moitié des entreprises ne savent même pas si les outils fonctionnent pour elles, ils ne sont pas non plus convaincus de pouvoir éviter une violation de données dévastatrice. C'est un très mauvais sentiment, et dans un secteur obsédé par les outils qui n'est pas soutenu pour une approche différente, cela tend à consolider le statu quo et à résoudre les problèmes qui s'y rattachent.
Comment une organisation peut-elle tirer parti d'une approche de la sécurité dirigée par l'homme ?
Il ne fait aucun doute qu'il est bénéfique de rester à l'avant-garde des tendances en matière de technologie de sécurité des applications, et peut même aider à hiérarchiser les mises à niveau ou les consolidations au sein d'une pile technologique surchargée, mais renoncer à cibler la cause première des logiciels vulnérables, nous ne sommes que des humains, nous resterons du côté des perdants sur le front de la cybersécurité.
Si nous voulons sérieusement réduire le nombre de failles de sécurité au niveau du code, les développeurs doivent disposer des bases nécessaires pour réussir à partager la responsabilité en matière de sécurité. Ils ont besoin d'une formation pratique et pertinente, de compétences en cours d'emploi et d'outils fonctionnels qui ne perturbent pas leur flux de travail et ne font pas de la sécurité une corvée à développer. Dans l'idéal, certains outils seraient centrés sur les développeurs et conçus en mettant l'expérience utilisateur au premier plan.
À ce jour, il n'existe aucun programme de certification de sécurité officiel pour les développeurs, mais chaque entreprise peut bénéficier de l'analyse comparative et du développement des compétences en matière de codage sécurisé, en éliminant les vulnérabilités courantes tôt et souvent, avant que cette grande pile technologique ne doive entrer en action et tout ralentir.
Une équipe de développeurs soucieux de la sécurité est un trésor caché pour toute organisation, mais comme pour tout ce qui en vaut la peine, il faudra du temps et des efforts pour mettre en place une équipe de rêve efficace. Pour convaincre les développeurs de se soucier de la sécurité et de considérer le codage sécurisé comme la base de la qualité du code, l'ensemble de l'organisation doit s'engager à placer la sécurité au premier plan. Et lorsque des équipes entières sont sensibilisées à l'impact positif qu'elles peuvent jouer en éliminant les vulnérabilités courantes au fur et à mesure de l'écriture du code, aucun outil sur Terre ne peut rivaliser.
목차
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
