Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Cette vulnérabilité peut survenir lorsque les codeurs ne mettent pas correctement en œuvre les règles de logique commerciale, ce qui peut rendre leurs applications vulnérables à différents types d'attaques si un utilisateur malveillant décide de les exploiter.
S'il y a bien quelque chose qui va gâcher Noël dans le secteur de la cybersécurité, c'est une violation de données dévastatrice qui est en passe de devenir l'événement de cyberespionnage le plus important jamais enregistré au sein du gouvernement américain.
Les attaques par injection, le fameux roi des vulnérabilités (par catégorie), ont perdu la première place au profit d'un contrôle d'accès défaillant en tant que pire des pires, et les développeurs doivent s'en rendre compte.
Un cours adapté contenant les modules exacts dans lesquels vos développeurs devront faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien.
Il n'est pas facile de réorienter les correctifs de sécurité vers le processus de développement, mais cela est nécessaire dans le monde d'aujourd'hui où même des appareils apparemment simples comme les outils de présentation sont à la fois étonnamment complexes et reliés en réseau à tout le reste.
Nous devons arriver à un stade où la sécurité est considérée comme une responsabilité partagée par l'ensemble de l'organisation et tout au long du cycle de développement durable. Cela est certainement possible lorsque vous vous engagez dans un environnement DevSecOps à part entière et très favorable.
La vulnérabilité du contrôle d'accès au niveau de la fonction manquante permet aux utilisateurs d'exécuter des fonctions qui devraient être restreintes, ou leur permet d'accéder à des ressources qui devraient être protégées.
L'authentification sert souvent de passerelle vers une application et potentiellement vers le reste du réseau, ce qui en fait des cibles tentantes pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que des attaquants découvrent cette faiblesse et l'exploitent.
Le développement de logiciels n'est plus une île, et lorsque nous prenons en compte tous les aspects des risques liés aux logiciels - tout ce qui va du nuage aux systèmes embarqués dans les appareils et les véhicules, en passant par notre infrastructure critique, sans oublier les API qui les relient tous - la surface d'attaque est sans frontières et incontrôlable.
On peut dire sans risque de se tromper que les normes de cybersécurité ont été transformées au cours des deux dernières années et, bien que cela ne soit pas obligatoire, toutes les organisations devraient s'efforcer de suivre le mouvement et d'examiner les pratiques de sécurité des fournisseurs comme si elles faisaient partie de leur propre programme de sécurité interne.
La vulnérabilité de l'assignation de masse est née du fait que de nombreux cadres modernes encouragent les développeurs à utiliser des fonctions qui lient automatiquement les entrées des clients dans des variables de code et des objets internes.
Nous avons commencé à réfléchir à ce que nous pourrions faire pour réduire les obstacles à l'obtention d'une formation lorsque vous en avez besoin, et à la manière dont le microapprentissage pourrait être mis en œuvre dans votre flux de travail de manière plus transparente.
Les développeurs n'auront pas d'impact positif sur la réduction des vulnérabilités sans une compréhension fondamentale du fonctionnement des vulnérabilités, de la raison pour laquelle elles sont dangereuses, des modèles qui les causent et des modèles de conception ou de codage qui les corrigent dans un contexte qui a du sens dans leur monde. Une approche fondée sur l'échafaudage permet aux couches de connaissances de donner une image complète de ce que signifie coder de manière sûre, défendre une base de code et se présenter comme un développeur conscient de la sécurité.
Les attaques de type "jour zéro", par définition, ne laissent pas aux développeurs le temps de trouver et de corriger les vulnérabilités existantes qui pourraient être exploitées, parce que l'acteur de la menace est entré en premier. Le mal est fait et c'est alors une course effrénée pour réparer le logiciel et l'atteinte à la réputation de l'entreprise. Les attaquants ont toujours un avantage, et il est crucial de combler cet avantage autant que possible.
Voici la première partie d'une série de deux articles sur la conformité PCI-DSS au sein d'une organisation. Dans ce chapitre, nous détaillons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques à partir de la législation générale.
Nous savons déjà qu'il y a trop de choses à faire dans une journée de travail, alors pourquoi les développeurs devraient-ils se rendre dans une salle de classe ou changer de contexte pour passer par cinq étapes afin d'accéder à une formation théorique statique ?
Il y a quelques raisons pour lesquelles les outils AppSec ne sont pas utilisés comme nous l'aurions espéré, et il s'agit moins des outils et de leurs fonctionnalités que de la façon dont ils s'intègrent dans un programme de sécurité dans son ensemble.
Nous aimerions braquer les projecteurs sur l'un de nos experts, Oscar Quintas. Il fait partie de notre équipe "Product Content" et travaille en tant que chercheur principal en sécurité. Il est également notre sorcier attitré pour tout ce qui concerne l'Infrastructure as Code (IaC).
Le terrain de jeu entre les héros et les méchants de la cybersécurité est notoirement injuste. Les données sensibles sont le nouvel or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les bogues de sécurité, petits et grands, pour en tirer un profit potentiel.
Cette vulnérabilité se produit lorsque trop de demandes arrivent en même temps et que l'API ne dispose pas de suffisamment de ressources informatiques pour traiter ces demandes. L'API peut alors devenir indisponible ou ne plus répondre aux nouvelles demandes.
Lorsqu'il s'agit de lutter contre les cybercriminels, nous devons rester le plus possible en phase avec eux, en devançant leurs terrains de jeu grâce à un état d'esprit préventif. Voici les domaines dans lesquels je pense qu'ils pourraient commencer à faire des vagues au cours de l'année à venir :
Si le contrôle d'accès au niveau de l'infrastructure n'est pas parfaitement ordonné, toute l'entreprise est ouverte aux attaquants, qui peuvent utiliser cette vulnérabilité comme porte d'entrée pour un espionnage non autorisé ou une attaque complète.
Les cyberattaques sont de plus en plus fréquentes et les menaces qui pèsent sur les infrastructures basées sur Linux sont de plus en plus courantes, l'objectif final étant d'ouvrir un coffre de données sensibles stockées dans l'informatique en nuage.
Les mécanismes de cette vulnérabilité sont similaires à d'autres, mais l'exposition excessive des données, dans ce cas, est définie comme impliquant des données légalement protégées ou hautement sensibles.
À l'instar des logiciels basés sur le web, des API et des appareils mobiles, le code vulnérable des systèmes embarqués peut être exploité s'il est découvert dans la nature par un attaquant.
Voici la deuxième partie d'une mini-série sur la conformité PCI-DSS au sein d'une organisation. Dans ce dernier chapitre, nous expliquons en détail comment les directeurs techniques et les responsables de la sécurité des systèmes d'information peuvent prendre l'initiative de réduire les cyber-risques et de rendre le processus transparent, réussi... et peut-être même un peu amusant pour les développeurs.
L'insuffisance de la journalisation et de la surveillance résulte le plus souvent d'un plan de cybersécurité défaillant en ce qui concerne la journalisation de toutes les tentatives d'authentification échouées, des accès refusés et des erreurs de validation d'entrée.
De nos jours, la pierre angulaire de toute défense en matière de cybersécurité consiste à hacher les données critiques telles que les mots de passe, les informations personnelles et les dossiers financiers lorsqu'ils sont au repos.
Le récent décret sur la cybersécurité de l'administration Biden a certainement fait parler le secteur de la sécurité, en particulier ceux qui cherchent à convaincre les développeurs de l'importance d'appliquer les meilleures pratiques de codage sécurisé dans leur travail quotidien.
Nous devons renforcer l'approche humaine des meilleures pratiques en matière de cybersécurité, ce qui donnera de meilleurs résultats qu'une forte dépendance à l'égard de l'automatisation, des outils et de la réaction à des problèmes qui ont déjà été intégrés et découverts.
Les développeurs font partie de ceux qui sont les plus proches du code, en plus des configurations de sécurité et du contrôle d'accès. Leurs compétences en matière de sécurité doivent être entretenues et, pour atteindre les normes élevées définies par le NIST, une structure de cours pratique pourrait bien être le moyen le plus efficace d'y parvenir, en particulier avec de grandes cohortes de développeurs.
Nous sommes ravis de vous annoncer la sortie d'une toute nouvelle fonctionnalité sur la plateforme Secure Code Warrior : Missions. Cette toute nouvelle catégorie de défis constitue la phase suivante de la formation à la sécurité, qui s'adresse aux développeurs. Elle permet aux utilisateurs de passer de la mémorisation des connaissances en matière de sécurité à leur application dans un environnement de simulation réel.
Que la gêne vienne des inconnues d'une nouvelle façon de travailler, d'un peu de méfiance ou peut-être du fait de ne pas croire au travail à distance, je trouve que les entreprises qui y sont réfractaires ont tendance à prendre du retard en termes d'attraction des meilleurs talents, de maintien de la portée mondiale et, franchement, d'évolution avec le temps.
De nos jours, les mots de passe sont la clé de la plupart des sécurités informatiques. Même si d'autres méthodes de sécurité sont utilisées, comme l'authentification à deux facteurs ou la biométrie, la plupart des organisations utilisent toujours la sécurité par mot de passe comme un élément de leur protection.
Secure Code Warrior a créé une action GitHub qui apporte l'apprentissage contextuel à l'analyse du code GitHub. Cela signifie que les développeurs peuvent utiliser une action tierce telle que l'action Snyk Container pour trouver des vulnérabilités, puis augmenter le résultat avec un apprentissage hyper pertinent spécifique à CWE.
Les tests de pénétration et les outils d'analyse statique (mieux connus sous le nom de SAST) ne sont qu'une partie du processus global de réduction des risques de sécurité, fonctionnant de manière assez indépendante de ce que nous faisons - jusqu'à ce que le code nous revienne pour être corrigé, bien sûr !
Un code d'un certain niveau de qualité est, par définition, également sûr, mais tout code sûr n'est pas nécessairement de bonne qualité. Commencer "à gauche de la gauche" est-il la formule pour garantir des normes de codage purement sécurisées ?
Le comportement générateur de vulnérabilité sur lequel nous allons nous concentrer ici est l'utilisation de code provenant de sources non fiables, une pratique apparemment bénigne qui cause de gros problèmes.
Cette vulnérabilité est davantage un problème humain ou de gestion qui permet aux anciennes API de rester en place longtemps après qu'elles aient été remplacées par des versions plus récentes et plus sûres.
De nombreuses entreprises qui se sont fixé des objectifs en matière de cybersécurité ont mis en place un programme officiel de champions de la sécurité, en confiant des responsabilités clés en matière de sécurité - allant de la liaison entre les équipes à la supervision des meilleures pratiques, en passant par l'encouragement général - à des personnes qui se montrent aptes et passionnées par ce rôle.
Rust incorpore des éléments connus et fonctionnels de langages couramment utilisés, en travaillant selon une philosophie différente qui élimine la complexité, tout en introduisant la performance et la sécurité.
C'est probablement un peu plus fréquent dans les API, mais les attaquants tentent souvent de trouver des failles non corrigées et des fichiers ou répertoires non protégés n'importe où dans un réseau. Le fait de tomber sur une API dont le débogage est activé ou dont les fonctions de sécurité sont désactivées ne fait que faciliter leur travail malveillant.
En tant qu'industrie, nous ne devrions jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les organisations peuvent adopter de nouvelles normes d'habilitation des développeurs afin qu'ils puissent produire des logiciels de meilleure qualité.
Parfois, les applications partagent également des données avec d'autres programmes dans le cadre d'une charge de travail globale. Si la couche transport n'est pas protégée, elle est vulnérable à la fois à l'espionnage extérieur et à la consultation interne non autorisée.
Chaque organisation peut profiter du mois de la sensibilisation à la cybersécurité pour rafraîchir ses connaissances en la matière. Cette année, nous lançons également une nouvelle application gratuite pour la communauté des codeurs !
Une relation bâtie sur les fondations chancelantes de la méfiance doit être abordée avec peu d'attentes. C'est malheureusement le cas des relations de travail entre les développeurs et l'équipe AppSec d'une organisation.
Les erreurs de configuration en matière de sécurité, en particulier celles qui concernent les autorisations inappropriées, se produisent le plus souvent lorsqu'un développeur crée un nouvel utilisateur ou accorde une autorisation à une application en tant qu'outil afin d'accomplir une tâche.
Les attaquants essaieront toujours de trouver en premier les failles facilement exploitables et peuvent même utiliser un script pour passer en revue les faiblesses les plus courantes. C'est un peu comme si un voleur vérifiait toutes les voitures d'une rue pour voir si des portes sont déverrouillées, ce qui est beaucoup plus facile que de briser une fenêtre.
Avec une pénurie persistante de compétences en contradiction avec le déluge de code écrit pour satisfaire les besoins mondiaux en logiciels, de nombreuses entreprises sont à la traîne dans leur stratégie de cybersécurité et leur infrastructure existante. Il est temps de jeter un regard honnête sur notre maturité globale en matière de cybersécurité et d'évaluer les gains rapides et viables qui se trouvent sous nos yeux.
Les RSSI se trouvent dans une situation de plus en plus délicate : Protéger plus d'actifs, livrer plus de code, réduire une plus grande surface d'attaque, et le faire avec des ressources financières qui diminuent rapidement. C'est un fait inéluctable que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui s'oppose à ce qu'un acteur de la menace en fasse le titre désastreux de demain, les responsables de la sécurité doivent faire plus pour vendre et prouver la valeur commerciale globale du département, dans un langage qui a du sens pour l'organe exécutif.
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Dans ce livre blanc, l'expert en sécurité et Secure Code Warrior CTO & Co-Founder Matias Madou, Ph.D. discutera:Les six piliers dont vous avez besoin pour déployer une formation efficace en matière de sécurité et l'habilitation pour votre cohorte de développement. Les leçons tirées de dix cadres qui mettent en œuvre des programmes de sécurité au niveau de l'entreprise, et les pièges courants à éviter sur la voie de la réussite.