Les codeurs conquièrent la sécurité : Share & Learn Series - Journalisation et surveillance insuffisantes
En explorant les sujets abordés dans ces blogs, nous avons découvert un certain nombre de vulnérabilités dangereuses et d'exploits malveillants que les pirates utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code sous différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, il existe souvent un composant commun aux applications de leurs victimes.
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre l'application finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaque ne sont pas découvertes avant très longtemps, voire pas du tout. Cela donne aux attaquants le temps nécessaire pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, vous apprendrez
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi l'insuffisance de la journalisation et de la surveillance est dangereuse
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils les insuffisances en matière de journalisation et de surveillance ?
Dans un premier temps, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés à la recherche d'activités suspectes. Mais il leur est assez facile de le découvrir. Ce qu'ils feront parfois, c'est lancer une forme d'attaque inélégante, de type force brute, par exemple en interrogeant une base de données d'utilisateurs pour trouver les mots de passe les plus couramment utilisés. Ils attendent ensuite quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux à la recherche d'une activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active, ce n'est pas une condition nécessaire à la réussite des attaques. Elles peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, de la fatigue des alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront largement le temps d'atteindre leurs objectifs avant même que les défenseurs ne se rendent compte de leur présence.
Pourquoi l'insuffisance de la journalisation et de la surveillance est-elle dangereuse ?
L'insuffisance de la journalisation et de la surveillance est dangereuse car elle donne aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. Le délai dépend du réseau attaqué, mais différents groupes comme l'Open Web Application Security Project (OWASP) estiment que le délai de réaction moyen pour les réseaux victimes d'une violation est de 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des voleurs braquaient une banque, que les gens appelaient la police et que celle-ci mettait six mois à réagir ?
Les voleurs seraient partis depuis longtemps lorsque la police arriverait. En fait, la même banque peut être cambriolée plusieurs fois avant que la police ne réagisse au premier incident.
Il en va de même dans le domaine de la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux ne sont pas des opérations de type "smash and grab". Souvent, l'organisation ciblée n'apprend l'existence d'une violation qu'après que les attaquants ont eu un contrôle plus ou moins total sur les données pendant des mois, voire des années. L'insuffisance de la journalisation et de la surveillance est donc l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Élimination d'une journalisation et d'une surveillance insuffisantes
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Premièrement, toutes les applications doivent être créées avec la capacité de surveiller et de consigner les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, voire les comptes d'utilisateur, utilisés par les attaquants. D'autre part, ces données doivent être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par les outils de sécurité afin de générer les alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir les rôles et les responsabilités afin que ces alertes fassent l'objet d'une enquête en temps utile. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces alertes n'ont pas été prises en compte en raison de questions de responsabilité. Personne ne savait à qui revenait la tâche de réagir, ou supposait que quelqu'un d'autre s'occupait du problème.
Un bon point de départ pour l'attribution des responsabilités est l'adoption d'un plan de réponse aux incidents et de récupération, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans sa publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à divers secteurs d'activité, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment il s'y prend pour le faire en temps voulu.
Plus d'informations sur l'insuffisance de la journalisation et de la surveillance
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'insuffisance de la journalisation et de la surveillance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Vous êtes prêt à trouver, corriger et éliminer les insuffisances en matière de journalisation et de surveillance dès maintenant ? Rendez-vous sur notre site de formation : [Commencez ici]
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées menées contre elle finiront par être couronnées de succès.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationJaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
En explorant les sujets abordés dans ces blogs, nous avons découvert un certain nombre de vulnérabilités dangereuses et d'exploits malveillants que les pirates utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code sous différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, il existe souvent un composant commun aux applications de leurs victimes.
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre l'application finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaque ne sont pas découvertes avant très longtemps, voire pas du tout. Cela donne aux attaquants le temps nécessaire pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, vous apprendrez
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi l'insuffisance de la journalisation et de la surveillance est dangereuse
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils les insuffisances en matière de journalisation et de surveillance ?
Dans un premier temps, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés à la recherche d'activités suspectes. Mais il leur est assez facile de le découvrir. Ce qu'ils feront parfois, c'est lancer une forme d'attaque inélégante, de type force brute, par exemple en interrogeant une base de données d'utilisateurs pour trouver les mots de passe les plus couramment utilisés. Ils attendent ensuite quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux à la recherche d'une activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active, ce n'est pas une condition nécessaire à la réussite des attaques. Elles peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, de la fatigue des alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront largement le temps d'atteindre leurs objectifs avant même que les défenseurs ne se rendent compte de leur présence.
Pourquoi l'insuffisance de la journalisation et de la surveillance est-elle dangereuse ?
L'insuffisance de la journalisation et de la surveillance est dangereuse car elle donne aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. Le délai dépend du réseau attaqué, mais différents groupes comme l'Open Web Application Security Project (OWASP) estiment que le délai de réaction moyen pour les réseaux victimes d'une violation est de 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des voleurs braquaient une banque, que les gens appelaient la police et que celle-ci mettait six mois à réagir ?
Les voleurs seraient partis depuis longtemps lorsque la police arriverait. En fait, la même banque peut être cambriolée plusieurs fois avant que la police ne réagisse au premier incident.
Il en va de même dans le domaine de la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux ne sont pas des opérations de type "smash and grab". Souvent, l'organisation ciblée n'apprend l'existence d'une violation qu'après que les attaquants ont eu un contrôle plus ou moins total sur les données pendant des mois, voire des années. L'insuffisance de la journalisation et de la surveillance est donc l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Élimination d'une journalisation et d'une surveillance insuffisantes
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Premièrement, toutes les applications doivent être créées avec la capacité de surveiller et de consigner les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, voire les comptes d'utilisateur, utilisés par les attaquants. D'autre part, ces données doivent être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par les outils de sécurité afin de générer les alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir les rôles et les responsabilités afin que ces alertes fassent l'objet d'une enquête en temps utile. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces alertes n'ont pas été prises en compte en raison de questions de responsabilité. Personne ne savait à qui revenait la tâche de réagir, ou supposait que quelqu'un d'autre s'occupait du problème.
Un bon point de départ pour l'attribution des responsabilités est l'adoption d'un plan de réponse aux incidents et de récupération, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans sa publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à divers secteurs d'activité, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment il s'y prend pour le faire en temps voulu.
Plus d'informations sur l'insuffisance de la journalisation et de la surveillance
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'insuffisance de la journalisation et de la surveillance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Vous êtes prêt à trouver, corriger et éliminer les insuffisances en matière de journalisation et de surveillance dès maintenant ? Rendez-vous sur notre site de formation : [Commencez ici]
En explorant les sujets abordés dans ces blogs, nous avons découvert un certain nombre de vulnérabilités dangereuses et d'exploits malveillants que les pirates utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code sous différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, il existe souvent un composant commun aux applications de leurs victimes.
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre l'application finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaque ne sont pas découvertes avant très longtemps, voire pas du tout. Cela donne aux attaquants le temps nécessaire pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, vous apprendrez
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi l'insuffisance de la journalisation et de la surveillance est dangereuse
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils les insuffisances en matière de journalisation et de surveillance ?
Dans un premier temps, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés à la recherche d'activités suspectes. Mais il leur est assez facile de le découvrir. Ce qu'ils feront parfois, c'est lancer une forme d'attaque inélégante, de type force brute, par exemple en interrogeant une base de données d'utilisateurs pour trouver les mots de passe les plus couramment utilisés. Ils attendent ensuite quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux à la recherche d'une activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active, ce n'est pas une condition nécessaire à la réussite des attaques. Elles peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, de la fatigue des alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront largement le temps d'atteindre leurs objectifs avant même que les défenseurs ne se rendent compte de leur présence.
Pourquoi l'insuffisance de la journalisation et de la surveillance est-elle dangereuse ?
L'insuffisance de la journalisation et de la surveillance est dangereuse car elle donne aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. Le délai dépend du réseau attaqué, mais différents groupes comme l'Open Web Application Security Project (OWASP) estiment que le délai de réaction moyen pour les réseaux victimes d'une violation est de 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des voleurs braquaient une banque, que les gens appelaient la police et que celle-ci mettait six mois à réagir ?
Les voleurs seraient partis depuis longtemps lorsque la police arriverait. En fait, la même banque peut être cambriolée plusieurs fois avant que la police ne réagisse au premier incident.
Il en va de même dans le domaine de la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux ne sont pas des opérations de type "smash and grab". Souvent, l'organisation ciblée n'apprend l'existence d'une violation qu'après que les attaquants ont eu un contrôle plus ou moins total sur les données pendant des mois, voire des années. L'insuffisance de la journalisation et de la surveillance est donc l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Élimination d'une journalisation et d'une surveillance insuffisantes
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Premièrement, toutes les applications doivent être créées avec la capacité de surveiller et de consigner les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, voire les comptes d'utilisateur, utilisés par les attaquants. D'autre part, ces données doivent être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par les outils de sécurité afin de générer les alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir les rôles et les responsabilités afin que ces alertes fassent l'objet d'une enquête en temps utile. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces alertes n'ont pas été prises en compte en raison de questions de responsabilité. Personne ne savait à qui revenait la tâche de réagir, ou supposait que quelqu'un d'autre s'occupait du problème.
Un bon point de départ pour l'attribution des responsabilités est l'adoption d'un plan de réponse aux incidents et de récupération, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans sa publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à divers secteurs d'activité, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment il s'y prend pour le faire en temps voulu.
Plus d'informations sur l'insuffisance de la journalisation et de la surveillance
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'insuffisance de la journalisation et de la surveillance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Vous êtes prêt à trouver, corriger et éliminer les insuffisances en matière de journalisation et de surveillance dès maintenant ? Rendez-vous sur notre site de formation : [Commencez ici]
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationJaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
En explorant les sujets abordés dans ces blogs, nous avons découvert un certain nombre de vulnérabilités dangereuses et d'exploits malveillants que les pirates utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code sous différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, il existe souvent un composant commun aux applications de leurs victimes.
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre l'application finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaque ne sont pas découvertes avant très longtemps, voire pas du tout. Cela donne aux attaquants le temps nécessaire pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, vous apprendrez
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi l'insuffisance de la journalisation et de la surveillance est dangereuse
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils les insuffisances en matière de journalisation et de surveillance ?
Dans un premier temps, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés à la recherche d'activités suspectes. Mais il leur est assez facile de le découvrir. Ce qu'ils feront parfois, c'est lancer une forme d'attaque inélégante, de type force brute, par exemple en interrogeant une base de données d'utilisateurs pour trouver les mots de passe les plus couramment utilisés. Ils attendent ensuite quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux à la recherche d'une activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active, ce n'est pas une condition nécessaire à la réussite des attaques. Elles peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, de la fatigue des alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront largement le temps d'atteindre leurs objectifs avant même que les défenseurs ne se rendent compte de leur présence.
Pourquoi l'insuffisance de la journalisation et de la surveillance est-elle dangereuse ?
L'insuffisance de la journalisation et de la surveillance est dangereuse car elle donne aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. Le délai dépend du réseau attaqué, mais différents groupes comme l'Open Web Application Security Project (OWASP) estiment que le délai de réaction moyen pour les réseaux victimes d'une violation est de 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des voleurs braquaient une banque, que les gens appelaient la police et que celle-ci mettait six mois à réagir ?
Les voleurs seraient partis depuis longtemps lorsque la police arriverait. En fait, la même banque peut être cambriolée plusieurs fois avant que la police ne réagisse au premier incident.
Il en va de même dans le domaine de la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux ne sont pas des opérations de type "smash and grab". Souvent, l'organisation ciblée n'apprend l'existence d'une violation qu'après que les attaquants ont eu un contrôle plus ou moins total sur les données pendant des mois, voire des années. L'insuffisance de la journalisation et de la surveillance est donc l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Élimination d'une journalisation et d'une surveillance insuffisantes
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Premièrement, toutes les applications doivent être créées avec la capacité de surveiller et de consigner les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, voire les comptes d'utilisateur, utilisés par les attaquants. D'autre part, ces données doivent être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par les outils de sécurité afin de générer les alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir les rôles et les responsabilités afin que ces alertes fassent l'objet d'une enquête en temps utile. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces alertes n'ont pas été prises en compte en raison de questions de responsabilité. Personne ne savait à qui revenait la tâche de réagir, ou supposait que quelqu'un d'autre s'occupait du problème.
Un bon point de départ pour l'attribution des responsabilités est l'adoption d'un plan de réponse aux incidents et de récupération, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans sa publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à divers secteurs d'activité, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment il s'y prend pour le faire en temps voulu.
Plus d'informations sur l'insuffisance de la journalisation et de la surveillance
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'insuffisance de la journalisation et de la surveillance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Vous êtes prêt à trouver, corriger et éliminer les insuffisances en matière de journalisation et de surveillance dès maintenant ? Rendez-vous sur notre site de formation : [Commencez ici]
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.