코더들이 보안을 정복하다: Share & Learn 시리즈 - 불충분한 로깅 및 모니터링
En explorant les sujets abordés dans ces blogs, nous avons découvert un certain nombre de vulnérabilités dangereuses et d'exploits malveillants que les pirates utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code sous différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, il existe souvent un composant commun aux applications de leurs victimes.
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre l'application finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaque ne sont pas découvertes avant très longtemps, voire pas du tout. Cela donne aux attaquants le temps nécessaire pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, vous apprendrez
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi l'insuffisance de la journalisation et de la surveillance est dangereuse
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils les insuffisances en matière de journalisation et de surveillance ?
Dans un premier temps, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés à la recherche d'activités suspectes. Mais il leur est assez facile de le découvrir. Ce qu'ils feront parfois, c'est lancer une forme d'attaque inélégante, de type force brute, par exemple en interrogeant une base de données d'utilisateurs pour trouver les mots de passe les plus couramment utilisés. Ils attendent ensuite quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux à la recherche d'une activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active, ce n'est pas une condition nécessaire à la réussite des attaques. Elles peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, de la fatigue des alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront largement le temps d'atteindre leurs objectifs avant même que les défenseurs ne se rendent compte de leur présence.
Pourquoi l'insuffisance de la journalisation et de la surveillance est-elle dangereuse ?
L'insuffisance de la journalisation et de la surveillance est dangereuse car elle donne aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. Le délai dépend du réseau attaqué, mais différents groupes comme l'Open Web Application Security Project (OWASP) estiment que le délai de réaction moyen pour les réseaux victimes d'une violation est de 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des voleurs braquaient une banque, que les gens appelaient la police et que celle-ci mettait six mois à réagir ?
Les voleurs seraient partis depuis longtemps lorsque la police arriverait. En fait, la même banque peut être cambriolée plusieurs fois avant que la police ne réagisse au premier incident.
Il en va de même dans le domaine de la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux ne sont pas des opérations de type "smash and grab". Souvent, l'organisation ciblée n'apprend l'existence d'une violation qu'après que les attaquants ont eu un contrôle plus ou moins total sur les données pendant des mois, voire des années. L'insuffisance de la journalisation et de la surveillance est donc l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Élimination d'une journalisation et d'une surveillance insuffisantes
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Premièrement, toutes les applications doivent être créées avec la capacité de surveiller et de consigner les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, voire les comptes d'utilisateur, utilisés par les attaquants. D'autre part, ces données doivent être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par les outils de sécurité afin de générer les alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir les rôles et les responsabilités afin que ces alertes fassent l'objet d'une enquête en temps utile. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces alertes n'ont pas été prises en compte en raison de questions de responsabilité. Personne ne savait à qui revenait la tâche de réagir, ou supposait que quelqu'un d'autre s'occupait du problème.
Un bon point de départ pour l'attribution des responsabilités est l'adoption d'un plan de réponse aux incidents et de récupération, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans sa publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à divers secteurs d'activité, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment il s'y prend pour le faire en temps voulu.
Plus d'informations sur l'insuffisance de la journalisation et de la surveillance
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'insuffisance de la journalisation et de la surveillance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Vous êtes prêt à trouver, corriger et éliminer les insuffisances en matière de journalisation et de surveillance dès maintenant ? Rendez-vous sur notre site de formation : [Commencez ici]
불충분한 로깅 및 모니터링은 애플리케이션의 방어 구조 내에 존재할 수 있는 가장 위험한 상태 중 하나입니다.이러한 취약점이나 상태가 존재하면 이를 대상으로 한 거의 모든 고급 공격이 결국 성공할 것입니다.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
En explorant les sujets abordés dans ces blogs, nous avons découvert un certain nombre de vulnérabilités dangereuses et d'exploits malveillants que les pirates utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code sous différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, il existe souvent un composant commun aux applications de leurs victimes.
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre l'application finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaque ne sont pas découvertes avant très longtemps, voire pas du tout. Cela donne aux attaquants le temps nécessaire pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, vous apprendrez
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi l'insuffisance de la journalisation et de la surveillance est dangereuse
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils les insuffisances en matière de journalisation et de surveillance ?
Dans un premier temps, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés à la recherche d'activités suspectes. Mais il leur est assez facile de le découvrir. Ce qu'ils feront parfois, c'est lancer une forme d'attaque inélégante, de type force brute, par exemple en interrogeant une base de données d'utilisateurs pour trouver les mots de passe les plus couramment utilisés. Ils attendent ensuite quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux à la recherche d'une activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active, ce n'est pas une condition nécessaire à la réussite des attaques. Elles peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, de la fatigue des alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront largement le temps d'atteindre leurs objectifs avant même que les défenseurs ne se rendent compte de leur présence.
Pourquoi l'insuffisance de la journalisation et de la surveillance est-elle dangereuse ?
L'insuffisance de la journalisation et de la surveillance est dangereuse car elle donne aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. Le délai dépend du réseau attaqué, mais différents groupes comme l'Open Web Application Security Project (OWASP) estiment que le délai de réaction moyen pour les réseaux victimes d'une violation est de 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des voleurs braquaient une banque, que les gens appelaient la police et que celle-ci mettait six mois à réagir ?
Les voleurs seraient partis depuis longtemps lorsque la police arriverait. En fait, la même banque peut être cambriolée plusieurs fois avant que la police ne réagisse au premier incident.
Il en va de même dans le domaine de la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux ne sont pas des opérations de type "smash and grab". Souvent, l'organisation ciblée n'apprend l'existence d'une violation qu'après que les attaquants ont eu un contrôle plus ou moins total sur les données pendant des mois, voire des années. L'insuffisance de la journalisation et de la surveillance est donc l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Élimination d'une journalisation et d'une surveillance insuffisantes
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Premièrement, toutes les applications doivent être créées avec la capacité de surveiller et de consigner les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, voire les comptes d'utilisateur, utilisés par les attaquants. D'autre part, ces données doivent être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par les outils de sécurité afin de générer les alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir les rôles et les responsabilités afin que ces alertes fassent l'objet d'une enquête en temps utile. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces alertes n'ont pas été prises en compte en raison de questions de responsabilité. Personne ne savait à qui revenait la tâche de réagir, ou supposait que quelqu'un d'autre s'occupait du problème.
Un bon point de départ pour l'attribution des responsabilités est l'adoption d'un plan de réponse aux incidents et de récupération, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans sa publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à divers secteurs d'activité, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment il s'y prend pour le faire en temps voulu.
Plus d'informations sur l'insuffisance de la journalisation et de la surveillance
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'insuffisance de la journalisation et de la surveillance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Vous êtes prêt à trouver, corriger et éliminer les insuffisances en matière de journalisation et de surveillance dès maintenant ? Rendez-vous sur notre site de formation : [Commencez ici]
En explorant les sujets abordés dans ces blogs, nous avons découvert un certain nombre de vulnérabilités dangereuses et d'exploits malveillants que les pirates utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code sous différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, il existe souvent un composant commun aux applications de leurs victimes.
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre l'application finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaque ne sont pas découvertes avant très longtemps, voire pas du tout. Cela donne aux attaquants le temps nécessaire pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, vous apprendrez
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi l'insuffisance de la journalisation et de la surveillance est dangereuse
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils les insuffisances en matière de journalisation et de surveillance ?
Dans un premier temps, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés à la recherche d'activités suspectes. Mais il leur est assez facile de le découvrir. Ce qu'ils feront parfois, c'est lancer une forme d'attaque inélégante, de type force brute, par exemple en interrogeant une base de données d'utilisateurs pour trouver les mots de passe les plus couramment utilisés. Ils attendent ensuite quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux à la recherche d'une activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active, ce n'est pas une condition nécessaire à la réussite des attaques. Elles peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, de la fatigue des alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront largement le temps d'atteindre leurs objectifs avant même que les défenseurs ne se rendent compte de leur présence.
Pourquoi l'insuffisance de la journalisation et de la surveillance est-elle dangereuse ?
L'insuffisance de la journalisation et de la surveillance est dangereuse car elle donne aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. Le délai dépend du réseau attaqué, mais différents groupes comme l'Open Web Application Security Project (OWASP) estiment que le délai de réaction moyen pour les réseaux victimes d'une violation est de 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des voleurs braquaient une banque, que les gens appelaient la police et que celle-ci mettait six mois à réagir ?
Les voleurs seraient partis depuis longtemps lorsque la police arriverait. En fait, la même banque peut être cambriolée plusieurs fois avant que la police ne réagisse au premier incident.
Il en va de même dans le domaine de la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux ne sont pas des opérations de type "smash and grab". Souvent, l'organisation ciblée n'apprend l'existence d'une violation qu'après que les attaquants ont eu un contrôle plus ou moins total sur les données pendant des mois, voire des années. L'insuffisance de la journalisation et de la surveillance est donc l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Élimination d'une journalisation et d'une surveillance insuffisantes
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Premièrement, toutes les applications doivent être créées avec la capacité de surveiller et de consigner les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, voire les comptes d'utilisateur, utilisés par les attaquants. D'autre part, ces données doivent être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par les outils de sécurité afin de générer les alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir les rôles et les responsabilités afin que ces alertes fassent l'objet d'une enquête en temps utile. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces alertes n'ont pas été prises en compte en raison de questions de responsabilité. Personne ne savait à qui revenait la tâche de réagir, ou supposait que quelqu'un d'autre s'occupait du problème.
Un bon point de départ pour l'attribution des responsabilités est l'adoption d'un plan de réponse aux incidents et de récupération, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans sa publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à divers secteurs d'activité, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment il s'y prend pour le faire en temps voulu.
Plus d'informations sur l'insuffisance de la journalisation et de la surveillance
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'insuffisance de la journalisation et de la surveillance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Vous êtes prêt à trouver, corriger et éliminer les insuffisances en matière de journalisation et de surveillance dès maintenant ? Rendez-vous sur notre site de formation : [Commencez ici]
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
En explorant les sujets abordés dans ces blogs, nous avons découvert un certain nombre de vulnérabilités dangereuses et d'exploits malveillants que les pirates utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code sous différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, il existe souvent un composant commun aux applications de leurs victimes.
L'insuffisance de la journalisation et de la surveillance est l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre l'application finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaque ne sont pas découvertes avant très longtemps, voire pas du tout. Cela donne aux attaquants le temps nécessaire pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, vous apprendrez
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi l'insuffisance de la journalisation et de la surveillance est dangereuse
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils les insuffisances en matière de journalisation et de surveillance ?
Dans un premier temps, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés à la recherche d'activités suspectes. Mais il leur est assez facile de le découvrir. Ce qu'ils feront parfois, c'est lancer une forme d'attaque inélégante, de type force brute, par exemple en interrogeant une base de données d'utilisateurs pour trouver les mots de passe les plus couramment utilisés. Ils attendent ensuite quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux à la recherche d'une activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active, ce n'est pas une condition nécessaire à la réussite des attaques. Elles peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, de la fatigue des alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront largement le temps d'atteindre leurs objectifs avant même que les défenseurs ne se rendent compte de leur présence.
Pourquoi l'insuffisance de la journalisation et de la surveillance est-elle dangereuse ?
L'insuffisance de la journalisation et de la surveillance est dangereuse car elle donne aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. Le délai dépend du réseau attaqué, mais différents groupes comme l'Open Web Application Security Project (OWASP) estiment que le délai de réaction moyen pour les réseaux victimes d'une violation est de 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des voleurs braquaient une banque, que les gens appelaient la police et que celle-ci mettait six mois à réagir ?
Les voleurs seraient partis depuis longtemps lorsque la police arriverait. En fait, la même banque peut être cambriolée plusieurs fois avant que la police ne réagisse au premier incident.
Il en va de même dans le domaine de la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux ne sont pas des opérations de type "smash and grab". Souvent, l'organisation ciblée n'apprend l'existence d'une violation qu'après que les attaquants ont eu un contrôle plus ou moins total sur les données pendant des mois, voire des années. L'insuffisance de la journalisation et de la surveillance est donc l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Élimination d'une journalisation et d'une surveillance insuffisantes
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Premièrement, toutes les applications doivent être créées avec la capacité de surveiller et de consigner les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, voire les comptes d'utilisateur, utilisés par les attaquants. D'autre part, ces données doivent être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par les outils de sécurité afin de générer les alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir les rôles et les responsabilités afin que ces alertes fassent l'objet d'une enquête en temps utile. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces alertes n'ont pas été prises en compte en raison de questions de responsabilité. Personne ne savait à qui revenait la tâche de réagir, ou supposait que quelqu'un d'autre s'occupait du problème.
Un bon point de départ pour l'attribution des responsabilités est l'adoption d'un plan de réponse aux incidents et de récupération, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans sa publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à divers secteurs d'activité, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment il s'y prend pour le faire en temps voulu.
Plus d'informations sur l'insuffisance de la journalisation et de la surveillance
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'insuffisance de la journalisation et de la surveillance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Vous êtes prêt à trouver, corriger et éliminer les insuffisances en matière de journalisation et de surveillance dès maintenant ? Rendez-vous sur notre site de formation : [Commencez ici]
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
