Directeur de la technologie, directeur et cofondateur
Matias Madou, Ph.D.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Cette vulnérabilité peut survenir lorsque les codeurs ne parviennent pas à implémenter correctement les règles de logique métier, ce qui pourrait rendre leurs applications vulnérables à différents types d'attaques si un utilisateur malveillant choisissait de les exploiter.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage jamais enregistré pour le gouvernement américain.
Une fois de plus, la cause première du piratage d'Equifax est une vulnérabilité d'application Web. Ce type de vulnérabilité existe depuis plus de dix ans, mais il est toujours aussi pertinent aujourd'hui.
Les attaques par injection, tristement célèbre roi des vulnérabilités (par catégorie), ont perdu la première place au profit d'une violation du contrôle d'accès, en tant que pire des pires, et les développeurs doivent en tenir compte.
En général, des contrôles d'autorisation au niveau de l'objet doivent être inclus pour chaque fonction qui accède à une source de données à l'aide d'une entrée de l'utilisateur, faute de quoi le faire comporte de grands risques.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien.
Il n'est pas facile de réintégrer les correctifs de sécurité au processus de développement, mais c'est nécessaire dans le monde d'aujourd'hui où même des appareils apparemment simples, tels que les outils de présentation, sont à la fois étonnamment complexes et connectés à tout le reste.
Nous devons parvenir à un stade où la sécurité est perçue comme une responsabilité partagée par l'ensemble de l'organisation et dans l'ensemble du SDLC. Cela est certainement possible lorsque vous vous engagez à mettre en place un environnement DevSecOps à part entière et très favorable.
La vulnérabilité de contrôle d'accès au niveau des fonctions manquante permet aux utilisateurs d'exécuter des fonctions qui devraient être restreintes ou leur permet d'accéder à des ressources qui devraient être protégées.
L'authentification agit souvent comme une passerelle vers une application et potentiellement vers le reste du réseau, ce qui en fait des cibles tentantes pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que les attaquants découvrent cette faille et l'exploitent.
Le développement de logiciels n'est plus une mince affaire, et lorsque nous prenons en compte tous les aspects des risques liés aux logiciels, qu'il s'agisse du cloud, des systèmes intégrés dans les appareils et les véhicules, de notre infrastructure critique, sans oublier les API qui connectent tout cela, la surface d'attaque est sans frontières et incontrôlable.
On peut dire que les deux dernières années ont été marquées par une transformation des normes de cybersécurité. Bien que cela ne soit pas obligatoire, toutes les organisations devraient avoir pour objectif de suivre cet exemple et d'examiner les pratiques de sécurité des fournisseurs comme si elles faisaient partie de leur propre programme de sécurité interne.
La vulnérabilité d'assignation de masse est née de nombreux frameworks modernes encourageant les développeurs à utiliser des fonctions qui lient automatiquement les entrées des clients à des variables de code et à des objets internes.
Nous avons commencé à réfléchir à ce que nous pourrions faire pour réduire les obstacles à l'accès à une formation au moment où vous en avez besoin, et à la manière dont le micro-apprentissage pourrait être intégré à votre flux de travail de manière plus fluide.
Les développeurs n'auront pas d'impact positif sur la réduction des vulnérabilités sans une compréhension fondamentale de leur fonctionnement, de leur dangerosité, de leurs causes et des modèles de conception ou de codage qui les corrigent dans un contexte logique dans leur monde. Une approche échafaudée permet à des couches de connaissances de donner une image complète de ce que signifie coder en toute sécurité, défendre une base de code et se présenter comme un développeur soucieux de la sécurité.
Les attaques « jour zéro », par définition, ne laissent pas le temps aux développeurs de détecter et de corriger les vulnérabilités existantes susceptibles d'être exploitées, car c'est l'auteur de la menace qui est intervenu le premier. Le mal est fait et il s'ensuit alors une course effrénée pour réparer à la fois le logiciel et l'atteinte à la réputation de l'entreprise. Les attaquants ont toujours un avantage, et il est crucial de réduire cet avantage autant que possible.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Nous sommes conscients qu'il se passe beaucoup de choses au cours d'une journée de travail. Qu'est-ce qui motive les développeurs à se rendre dans une salle de classe ou à suivre cinq étapes pour accéder à une formation basée sur la théorie statique ?
Les outils AppSec ne sont pas utilisés comme on aurait pu s'y attendre pour plusieurs raisons. Il s'agit moins des outils et de leurs fonctionnalités que de la manière dont ils s'intègrent à un programme de sécurité dans son ensemble.
Nous aimerions mettre en lumière l'un de nos experts, Oscar Quintas. Il fait partie de notre équipe chargée du contenu des produits et travaille en tant que chercheur principal en sécurité. Il est également notre sorcier résident pour tout ce qui concerne l'infrastructure en tant que code (IaC).
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Cette vulnérabilité se produit lorsqu'un trop grand nombre de demandes arrivent en même temps et que l'API ne dispose pas de suffisamment de ressources informatiques pour traiter ces demandes. L'API peut alors devenir indisponible ou ne pas répondre aux nouvelles demandes.
Lorsqu'il s'agit de lutter contre les cybercriminels, nous devons rester aussi en phase que possible avec eux, en préemptant leurs terrains de jeu dans un esprit préventif. Voici où je pense qu'ils pourraient commencer à faire des vagues au cours de la prochaine année :
Sans un contrôle d'accès parfaitement ordonné au niveau de l'infrastructure, toute une entreprise s'ouvre aux attaquants, qui peuvent utiliser cette vulnérabilité comme passerelle pour espionner sans autorisation ou lancer une attaque complète.
Les cyberattaques sont de plus en plus fréquentes et les menaces affectant les infrastructures basées sur Linux sont de plus en plus courantes, l'objectif final étant de saisir une opportunité de déverrouiller un coffre contenant des données sensibles stockées dans le cloud.
Les mécanismes réels à l'origine de cette vulnérabilité sont similaires aux autres, mais une exposition excessive des données, dans ce cas, est définie comme impliquant des données protégées par la loi ou hautement sensibles.
Tout comme les logiciels Web, les API et les appareils mobiles, le code vulnérable des systèmes embarqués peut être exploité s'il est identifié par un attaquant.
Il s'agit de la deuxième partie d'une mini-série sur la conformité PCI-DSS au sein d'une organisation. Dans ce dernier chapitre, nous expliquons comment les directeurs techniques et les responsables de la sécurité informatique peuvent jouer un rôle de premier plan en matière de réduction des cyberrisques et de rendre le processus fluide, efficace... et peut-être un peu amusant pour les développeurs.
La faille de journalisation et de surveillance insuffisantes est principalement due à l'échec d'un plan de cybersécurité en ce qui concerne la journalisation de toutes les tentatives d'authentification échouées, de tous les accès refusés et des erreurs de validation des saisies.
De nos jours, le hachage de données critiques telles que les mots de passe, les informations personnelles et les dossiers financiers au repos est la pierre angulaire de toute défense en matière de cybersécurité.
Le récent décret sur la cybersécurité de l'administration Biden a certainement fait parler le secteur de la sécurité, en particulier ceux qui cherchent à convaincre les développeurs de l'importance d'appliquer les meilleures pratiques de codage sécurisé dans leur travail quotidien.
Nous devons renforcer l'approche humaine des meilleures pratiques en matière de cybersécurité, et elle donnera de meilleurs résultats qu'une dépendance excessive à l'automatisation, aux outils et à la réaction à des problèmes déjà intégrés et découverts.
Les développeurs font partie de ceux qui maîtrisent le mieux le code, en plus des configurations de sécurité et du contrôle d'accès. Leurs compétences en matière de sécurité doivent être renforcées, et pour atteindre les normes élevées définies par le NIST, une structure de cours pratique pourrait bien être le moyen le plus efficace d'y remédier, en particulier pour les grandes cohortes de développement.
Nous sommes ravis d'annoncer la sortie d'une toute nouvelle fonctionnalité sur la plateforme Secure Code Warrior : Missions. Cette toute nouvelle catégorie de défis constitue la prochaine étape de la formation à la sécurité pour les développeurs, qui permettra aux utilisateurs de passer du rappel des connaissances en matière de sécurité à leur application dans un environnement de simulation réel.
Qu'il s'agisse de l'incertitude liée à une nouvelle façon de travailler, d'un peu de méfiance ou de ne pas croire au télétravail, je trouve que les entreprises qui y sont réticentes ont tendance à prendre du retard lorsqu'il s'agit d'attirer les meilleurs talents, de maintenir une présence mondiale et, franchement, d'évoluer avec leur temps.
De nos jours, les mots de passe constituent la clé de la plupart des sécurités informatiques. Même si d'autres méthodes de sécurité sont utilisées, telles que l'authentification à deux facteurs ou la biométrie, la plupart des organisations utilisent toujours la sécurité par mot de passe comme élément de leur protection.
Secure Code Warrior a créé une action GitHub qui intègre l'apprentissage contextuel à l'analyse du code GitHub. Cela signifie que les développeurs peuvent utiliser une action tierce telle que l'action Snyk Container pour détecter les vulnérabilités, puis augmenter le résultat avec un apprentissage hyperpertinent et spécifique à CWE.
Les tests d'intrusion et les outils d'analyse statique (mieux connus sous le nom de SAST) ne sont qu'une partie du processus global visant à atténuer les risques de sécurité. Ils fonctionnent de manière assez indépendante de ce que nous faisons, jusqu'à ce que le code nous soit renvoyé pour les correctifs, bien sûr !
Un code d'un certain niveau de qualité est par définition également sécurisé, mais tout code sécurisé n'est pas nécessairement de bonne qualité. Commencer « à gauche de gauche » est-il la formule pour garantir des normes de codage purement sécurisées ?
Le comportement générateur de vulnérabilités sur lequel nous allons nous concentrer ici est l'utilisation de code provenant de sources non fiables, une pratique apparemment bénigne qui pose de gros problèmes.
Cette vulnérabilité est davantage un problème humain ou de gestion qui permet aux anciennes API de rester en place longtemps après avoir dû être remplacées par des versions plus récentes et plus sécurisées.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Rust intègre des éléments connus et fonctionnels issus de langages couramment utilisés, selon une philosophie différente qui élimine la complexité, tout en introduisant performance et sécurité.
Elle est probablement un peu plus répandue dans les API, mais les attaquants tentent souvent de détecter des failles non corrigées et des fichiers ou répertoires non protégés n'importe où sur un réseau. Le fait de tomber sur une API dont le débogage est activé ou dont les fonctionnalités de sécurité sont désactivées facilite un peu leur travail néfaste.
En tant qu'industrie, nous ne devons jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les organisations peuvent adopter de nouvelles normes pour aider les développeurs à produire des logiciels de meilleure qualité.
Parfois, les applications partagent également des données avec d'autres programmes dans le cadre d'une charge de travail globale. À moins que la couche de transport ne soit protégée, elle la rend vulnérable à la fois à l'espionnage extérieur et à la visualisation interne non autorisée.
Chaque organisation peut profiter du Mois de la sensibilisation à la cybersécurité pour actualiser ses connaissances en matière de sécurité. Cette année, nous lançons également une nouvelle application gratuite pour la communauté des programmeurs !
Il est préférable d'aborder une relation fondée sur les bases fragiles de la méfiance avec de faibles attentes. Malheureusement, il peut s'agir de l'état de la relation de travail entre les développeurs et l'équipe AppSec au sein d'une organisation.
Les erreurs de configuration de sécurité, en particulier celles liées à des autorisations inappropriées, se produisent le plus souvent chaque fois qu'un développeur crée un nouvel utilisateur ou autorise une application en tant qu'outil afin d'accomplir une tâche.
Les attaquants chercheront toujours à identifier en premier lieu les vulnérabilités facilement exploitables et peuvent même utiliser un script pour corriger les faiblesses courantes. Cela s'apparente à un individu malintentionné qui inspecte toutes les voitures d'une rue pour vérifier si les portes sont déverrouillées, ce qui est beaucoup plus simple que de briser une vitre.
En raison de la pénurie persistante de compétences et du déluge de code écrit pour répondre aux besoins logiciels mondiaux, de nombreuses entreprises prennent du retard dans leur stratégie de cybersécurité et leur infrastructure existante. Il est temps que nous examinions honnêtement notre maturité globale en matière de cybersécurité et que nous évaluions les gains rapides viables qui se présentent à nous.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise, est le résultat d'une analyse approfondie de véritables initiatives de sécurité par conception au niveau de l'entreprise et de l'élaboration d'approches basées sur les meilleures pratiques basées sur des résultats basés sur des données.
L'attention croissante portée au code sécurisé et aux principes de sécurité dès la conception nécessite que les développeurs soient formés à la cybersécurité dès le début du SDLC, avec des outils tels que le Trust Score de Secure Code Warrior qui permettent de mesurer et d'améliorer leurs progrès.
Nos recherches ont démontré que la formation au code sécurisé est efficace. Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité pour réduire les vulnérabilités et comment rendre l'initiative encore plus efficace.
Il est notoirement difficile de trouver des données pertinentes sur le succès des initiatives de sécurisation dès la conception. Les RSSI sont souvent confrontés à des défis lorsqu'ils tentent de prouver le retour sur investissement (ROI) et la valeur commerciale des activités des programmes de sécurité, tant au niveau des personnes que de l'entreprise. Sans oublier qu'il est particulièrement difficile pour les entreprises de se faire une idée de la manière dont leurs organisations sont comparées aux normes actuelles du secteur. La stratégie nationale de cybersécurité du président a invité les parties prenantes à « intégrer la sécurité et la résilience dès la conception ». La clé pour que les initiatives de sécurité dès la conception fonctionnent est non seulement de donner aux développeurs les compétences nécessaires pour garantir un code sécurisé, mais également de garantir aux régulateurs que ces compétences sont en place. Dans cette présentation, nous partageons une myriade de données qualitatives et quantitatives, dérivées de plusieurs sources primaires, y compris des points de données internes collectés auprès de plus de 250 000 développeurs, des informations sur les clients basées sur les données et des études publiques. En tirant parti de cette agrégation de points de données, nous visons à communiquer une vision de l'état actuel des initiatives de sécurisation dès la conception dans de nombreux secteurs verticaux. Le rapport explique pourquoi cet espace est actuellement sous-utilisé, l'impact significatif qu'un programme de renforcement des compétences réussi peut avoir sur l'atténuation des risques de cybersécurité et la possibilité d'éliminer des catégories de vulnérabilités d'une base de code.
Le débat sur l'IA ne porte pas sur l'utilisation, mais sur l'application. Découvrez comment concilier les gains de productivité de l'IA et une sécurité solide en vous appuyant sur des développeurs qui comprennent parfaitement leur code.
Dans ce livre blanc, Matias Madou, Ph.D., expert en sécurité, directeur technique et cofondateur de Secure Code Warrior, abordera les six piliers dont vous avez besoin pour déployer une formation et une activation efficaces en matière de sécurité pour votre cohorte de développement. Les leçons apprises par dix dirigeants qui mettent en œuvre des programmes de sécurité au niveau de l'entreprise et les pièges courants à éviter sur la voie du succès.
