Transformer la fastidieuse conformité PCI-DSS en un exercice pertinent pour tous : partie 1 - AppSec
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
