Les codeurs conquièrent la sécurité : Share & Learn Series - Journalisation et surveillance insuffisantes
En explorant les sujets abordés dans ces blogs, nous avons découvert un certain nombre de vulnérabilités dangereuses et d'exploits malveillants que les pirates utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code sous différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, il existe souvent un composant commun aux applications de leurs victimes.
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre l'application finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaque ne sont pas découvertes avant très longtemps, voire pas du tout. Cela donne aux attaquants le temps nécessaire pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, vous apprendrez
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi l'insuffisance de la journalisation et de la surveillance est dangereuse
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils les insuffisances en matière de journalisation et de surveillance ?
Dans un premier temps, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés à la recherche d'activités suspectes. Mais il leur est assez facile de le découvrir. Ce qu'ils feront parfois, c'est lancer une forme d'attaque inélégante, de type force brute, par exemple en interrogeant une base de données d'utilisateurs pour trouver les mots de passe les plus couramment utilisés. Ils attendent ensuite quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux à la recherche d'une activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active, ce n'est pas une condition nécessaire à la réussite des attaques. Elles peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, de la fatigue des alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront largement le temps d'atteindre leurs objectifs avant même que les défenseurs ne se rendent compte de leur présence.
Pourquoi l'insuffisance de la journalisation et de la surveillance est-elle dangereuse ?
L'insuffisance de la journalisation et de la surveillance est dangereuse car elle donne aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. Le délai dépend du réseau attaqué, mais différents groupes comme l'Open Web Application Security Project (OWASP) estiment que le délai de réaction moyen pour les réseaux victimes d'une violation est de 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des voleurs braquaient une banque, que les gens appelaient la police et que celle-ci mettait six mois à réagir ?
Les voleurs seraient partis depuis longtemps lorsque la police arriverait. En fait, la même banque peut être cambriolée plusieurs fois avant que la police ne réagisse au premier incident.
Il en va de même dans le domaine de la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux ne sont pas des opérations de type "smash and grab". Souvent, l'organisation ciblée n'apprend l'existence d'une violation qu'après que les attaquants ont eu un contrôle plus ou moins total sur les données pendant des mois, voire des années. L'insuffisance de la journalisation et de la surveillance est donc l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Élimination d'une journalisation et d'une surveillance insuffisantes
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Premièrement, toutes les applications doivent être créées avec la capacité de surveiller et de consigner les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, voire les comptes d'utilisateur, utilisés par les attaquants. D'autre part, ces données doivent être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par les outils de sécurité afin de générer les alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir les rôles et les responsabilités afin que ces alertes fassent l'objet d'une enquête en temps utile. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces alertes n'ont pas été prises en compte en raison de questions de responsabilité. Personne ne savait à qui revenait la tâche de réagir, ou supposait que quelqu'un d'autre s'occupait du problème.
Un bon point de départ pour l'attribution des responsabilités est l'adoption d'un plan de réponse aux incidents et de récupération, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans sa publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à divers secteurs d'activité, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment il s'y prend pour le faire en temps voulu.
Plus d'informations sur l'insuffisance de la journalisation et de la surveillance
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'insuffisance de la journalisation et de la surveillance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Vous êtes prêt à trouver, corriger et éliminer les insuffisances en matière de journalisation et de surveillance dès maintenant ? Rendez-vous sur notre site de formation : [Commencez ici]
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées menées contre elle finiront par être couronnées de succès.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstration
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
En explorant les sujets abordés dans ces blogs, nous avons découvert un certain nombre de vulnérabilités dangereuses et d'exploits malveillants que les pirates utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code sous différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, il existe souvent un composant commun aux applications de leurs victimes.
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre l'application finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaque ne sont pas découvertes avant très longtemps, voire pas du tout. Cela donne aux attaquants le temps nécessaire pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, vous apprendrez
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi l'insuffisance de la journalisation et de la surveillance est dangereuse
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils les insuffisances en matière de journalisation et de surveillance ?
Dans un premier temps, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés à la recherche d'activités suspectes. Mais il leur est assez facile de le découvrir. Ce qu'ils feront parfois, c'est lancer une forme d'attaque inélégante, de type force brute, par exemple en interrogeant une base de données d'utilisateurs pour trouver les mots de passe les plus couramment utilisés. Ils attendent ensuite quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux à la recherche d'une activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active, ce n'est pas une condition nécessaire à la réussite des attaques. Elles peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, de la fatigue des alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront largement le temps d'atteindre leurs objectifs avant même que les défenseurs ne se rendent compte de leur présence.
Pourquoi l'insuffisance de la journalisation et de la surveillance est-elle dangereuse ?
L'insuffisance de la journalisation et de la surveillance est dangereuse car elle donne aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. Le délai dépend du réseau attaqué, mais différents groupes comme l'Open Web Application Security Project (OWASP) estiment que le délai de réaction moyen pour les réseaux victimes d'une violation est de 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des voleurs braquaient une banque, que les gens appelaient la police et que celle-ci mettait six mois à réagir ?
Les voleurs seraient partis depuis longtemps lorsque la police arriverait. En fait, la même banque peut être cambriolée plusieurs fois avant que la police ne réagisse au premier incident.
Il en va de même dans le domaine de la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux ne sont pas des opérations de type "smash and grab". Souvent, l'organisation ciblée n'apprend l'existence d'une violation qu'après que les attaquants ont eu un contrôle plus ou moins total sur les données pendant des mois, voire des années. L'insuffisance de la journalisation et de la surveillance est donc l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Élimination d'une journalisation et d'une surveillance insuffisantes
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Premièrement, toutes les applications doivent être créées avec la capacité de surveiller et de consigner les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, voire les comptes d'utilisateur, utilisés par les attaquants. D'autre part, ces données doivent être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par les outils de sécurité afin de générer les alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir les rôles et les responsabilités afin que ces alertes fassent l'objet d'une enquête en temps utile. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces alertes n'ont pas été prises en compte en raison de questions de responsabilité. Personne ne savait à qui revenait la tâche de réagir, ou supposait que quelqu'un d'autre s'occupait du problème.
Un bon point de départ pour l'attribution des responsabilités est l'adoption d'un plan de réponse aux incidents et de récupération, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans sa publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à divers secteurs d'activité, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment il s'y prend pour le faire en temps voulu.
Plus d'informations sur l'insuffisance de la journalisation et de la surveillance
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'insuffisance de la journalisation et de la surveillance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Vous êtes prêt à trouver, corriger et éliminer les insuffisances en matière de journalisation et de surveillance dès maintenant ? Rendez-vous sur notre site de formation : [Commencez ici]
En explorant les sujets abordés dans ces blogs, nous avons découvert un certain nombre de vulnérabilités dangereuses et d'exploits malveillants que les pirates utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code sous différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, il existe souvent un composant commun aux applications de leurs victimes.
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre l'application finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaque ne sont pas découvertes avant très longtemps, voire pas du tout. Cela donne aux attaquants le temps nécessaire pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, vous apprendrez
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi l'insuffisance de la journalisation et de la surveillance est dangereuse
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils les insuffisances en matière de journalisation et de surveillance ?
Dans un premier temps, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés à la recherche d'activités suspectes. Mais il leur est assez facile de le découvrir. Ce qu'ils feront parfois, c'est lancer une forme d'attaque inélégante, de type force brute, par exemple en interrogeant une base de données d'utilisateurs pour trouver les mots de passe les plus couramment utilisés. Ils attendent ensuite quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux à la recherche d'une activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active, ce n'est pas une condition nécessaire à la réussite des attaques. Elles peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, de la fatigue des alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront largement le temps d'atteindre leurs objectifs avant même que les défenseurs ne se rendent compte de leur présence.
Pourquoi l'insuffisance de la journalisation et de la surveillance est-elle dangereuse ?
L'insuffisance de la journalisation et de la surveillance est dangereuse car elle donne aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. Le délai dépend du réseau attaqué, mais différents groupes comme l'Open Web Application Security Project (OWASP) estiment que le délai de réaction moyen pour les réseaux victimes d'une violation est de 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des voleurs braquaient une banque, que les gens appelaient la police et que celle-ci mettait six mois à réagir ?
Les voleurs seraient partis depuis longtemps lorsque la police arriverait. En fait, la même banque peut être cambriolée plusieurs fois avant que la police ne réagisse au premier incident.
Il en va de même dans le domaine de la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux ne sont pas des opérations de type "smash and grab". Souvent, l'organisation ciblée n'apprend l'existence d'une violation qu'après que les attaquants ont eu un contrôle plus ou moins total sur les données pendant des mois, voire des années. L'insuffisance de la journalisation et de la surveillance est donc l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Élimination d'une journalisation et d'une surveillance insuffisantes
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Premièrement, toutes les applications doivent être créées avec la capacité de surveiller et de consigner les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, voire les comptes d'utilisateur, utilisés par les attaquants. D'autre part, ces données doivent être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par les outils de sécurité afin de générer les alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir les rôles et les responsabilités afin que ces alertes fassent l'objet d'une enquête en temps utile. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces alertes n'ont pas été prises en compte en raison de questions de responsabilité. Personne ne savait à qui revenait la tâche de réagir, ou supposait que quelqu'un d'autre s'occupait du problème.
Un bon point de départ pour l'attribution des responsabilités est l'adoption d'un plan de réponse aux incidents et de récupération, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans sa publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à divers secteurs d'activité, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment il s'y prend pour le faire en temps voulu.
Plus d'informations sur l'insuffisance de la journalisation et de la surveillance
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'insuffisance de la journalisation et de la surveillance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Vous êtes prêt à trouver, corriger et éliminer les insuffisances en matière de journalisation et de surveillance dès maintenant ? Rendez-vous sur notre site de formation : [Commencez ici]
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstration
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
En explorant les sujets abordés dans ces blogs, nous avons découvert un certain nombre de vulnérabilités dangereuses et d'exploits malveillants que les pirates utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code sous différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, il existe souvent un composant commun aux applications de leurs victimes.
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre l'application finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaque ne sont pas découvertes avant très longtemps, voire pas du tout. Cela donne aux attaquants le temps nécessaire pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, vous apprendrez
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi l'insuffisance de la journalisation et de la surveillance est dangereuse
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils les insuffisances en matière de journalisation et de surveillance ?
Dans un premier temps, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés à la recherche d'activités suspectes. Mais il leur est assez facile de le découvrir. Ce qu'ils feront parfois, c'est lancer une forme d'attaque inélégante, de type force brute, par exemple en interrogeant une base de données d'utilisateurs pour trouver les mots de passe les plus couramment utilisés. Ils attendent ensuite quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux à la recherche d'une activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active, ce n'est pas une condition nécessaire à la réussite des attaques. Elles peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, de la fatigue des alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront largement le temps d'atteindre leurs objectifs avant même que les défenseurs ne se rendent compte de leur présence.
Pourquoi l'insuffisance de la journalisation et de la surveillance est-elle dangereuse ?
L'insuffisance de la journalisation et de la surveillance est dangereuse car elle donne aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. Le délai dépend du réseau attaqué, mais différents groupes comme l'Open Web Application Security Project (OWASP) estiment que le délai de réaction moyen pour les réseaux victimes d'une violation est de 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des voleurs braquaient une banque, que les gens appelaient la police et que celle-ci mettait six mois à réagir ?
Les voleurs seraient partis depuis longtemps lorsque la police arriverait. En fait, la même banque peut être cambriolée plusieurs fois avant que la police ne réagisse au premier incident.
Il en va de même dans le domaine de la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux ne sont pas des opérations de type "smash and grab". Souvent, l'organisation ciblée n'apprend l'existence d'une violation qu'après que les attaquants ont eu un contrôle plus ou moins total sur les données pendant des mois, voire des années. L'insuffisance de la journalisation et de la surveillance est donc l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Élimination d'une journalisation et d'une surveillance insuffisantes
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Premièrement, toutes les applications doivent être créées avec la capacité de surveiller et de consigner les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, voire les comptes d'utilisateur, utilisés par les attaquants. D'autre part, ces données doivent être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par les outils de sécurité afin de générer les alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir les rôles et les responsabilités afin que ces alertes fassent l'objet d'une enquête en temps utile. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces alertes n'ont pas été prises en compte en raison de questions de responsabilité. Personne ne savait à qui revenait la tâche de réagir, ou supposait que quelqu'un d'autre s'occupait du problème.
Un bon point de départ pour l'attribution des responsabilités est l'adoption d'un plan de réponse aux incidents et de récupération, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans sa publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à divers secteurs d'activité, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment il s'y prend pour le faire en temps voulu.
Plus d'informations sur l'insuffisance de la journalisation et de la surveillance
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'insuffisance de la journalisation et de la surveillance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Vous êtes prêt à trouver, corriger et éliminer les insuffisances en matière de journalisation et de surveillance dès maintenant ? Rendez-vous sur notre site de formation : [Commencez ici]
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Il est notoirement difficile de trouver des données significatives sur le succès des initiatives Secure-by-Design. Les RSSI sont souvent confrontés à des difficultés lorsqu'ils tentent de prouver le retour sur investissement (ROI) et la valeur commerciale des activités du programme de sécurité, tant au niveau des personnes que de l'entreprise. De plus, il est particulièrement difficile pour les entreprises d'obtenir des informations sur la façon dont leurs organisations sont comparées aux normes actuelles du secteur. La stratégie nationale de cybersécurité du président a mis les parties prenantes au défi d'"adopter la sécurité et la résilience dès la conception". Pour que les initiatives de conception sécurisée fonctionnent, il faut non seulement donner aux développeurs les compétences nécessaires pour assurer la sécurité du code, mais aussi garantir aux régulateurs que ces compétences sont en place. Dans cette présentation, nous partageons une myriade de données qualitatives et quantitatives, dérivées de sources primaires multiples, y compris des points de données internes collectés auprès de plus de 250 000 développeurs, des informations sur les clients basées sur des données, et des études publiques. En nous appuyant sur cette agrégation de points de données, nous visons à communiquer une vision de l'état actuel des initiatives Secure-by-Design dans de multiples secteurs verticaux. Le rapport explique en détail pourquoi cet espace est actuellement sous-utilisé, l'impact significatif qu'un programme de perfectionnement réussi peut avoir sur l'atténuation des risques de cybersécurité, et le potentiel d'élimination des catégories de vulnérabilités d'une base de code.
Services professionnels - Accélérer grâce à l'expertise
L'équipe des services de stratégie de programme (PSS) de Secure Code Warriorvous aide à construire, améliorer et optimiser votre programme de codage sécurisé. Que vous partiez de zéro ou que vous affiniez votre approche, nos experts vous fournissent des conseils sur mesure.
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu, à la pointe de l'industrie, évolue constamment pour s'adapter au paysage du développement logiciel en constante évolution, tout en gardant votre rôle à l'esprit. Les sujets abordés vont de l'IA à l'injection XQuery, et sont proposés pour une variété de rôles, des architectes et ingénieurs aux gestionnaires de produits et à l'assurance qualité. Découvrez en avant-première ce que notre catalogue de contenu a à offrir par sujet et par rôle.
Quêtes : Apprentissage de pointe pour permettre aux développeurs de garder une longueur d'avance et d'atténuer les risques.
Quests est une learning platform qui aide les développeurs à atténuer les risques liés à la sécurité des logiciels en améliorant leurs compétences en matière de codage sécurisé. Grâce à des parcours d'apprentissage, des défis pratiques et des activités interactives, elle permet aux développeurs d'identifier et de prévenir les vulnérabilités.
Ressources pour vous aider à démarrer
Vibe Coding va-t-il transformer votre base de code en une fête de fraternité ?
Le codage vibratoire est comme une fête de fraternité universitaire, et l'IA est la pièce maîtresse de toutes les festivités, le tonneau. C'est très amusant de se laisser aller, d'être créatif et de voir où votre imagination peut vous mener, mais après quelques barils, boire (ou utiliser l'IA) avec modération est sans aucun doute la solution la plus sûre à long terme.
La décennie des défenseurs : Secure Code Warrior Dixième anniversaire
Secure Code WarriorL'équipe fondatrice de SCW est restée soudée, dirigeant le navire à travers chaque leçon, chaque triomphe et chaque revers pendant une décennie entière. Nous nous développons et sommes prêts à affronter notre prochain chapitre, SCW 2.0, en tant que leaders de la gestion des risques pour les développeurs.
Codage axé sur le développeur.
En toute sécurité.
Contactez-nous dès aujourd'hui et faites de la sécurité des logiciels une partie intrinsèque de votre processus de développement.
