Les attaques zero-day sont en augmentation. Il est temps de mettre en place une stratégie de défense.
Une version de cet article a été publiée dans le magazine SC. SC Magazine. Il a été modifié et syndiqué ici.
Si vous avez déjà été victime d'un cambriolage, vous comprenez immédiatement que quelque chose ne va pas. Vous réalisez alors que vous avez été victime d'un vol et d'une intrusion. Cela entraîne généralement un sentiment de malaise durable, sans parler du passage à des mesures de sécurité dignes de Fort Knox.
Imaginez que votre maison ait été cambriolée parce que les voleurs se sont servis de vos clés. Ils se déplacent librement à leur guise, mais prennent soin de ne pas se faire remarquer. Un jour, les bijoux cachés dans le congélateur disparaissent, le coffre-fort est vidé et les effets personnels ont été fouillés de fond en comble. C'est exactement la situation à laquelle une organisation est confrontée lorsqu'elle est victime d'une cyberattaque zero-day. Selon une étude réalisée en 2020 par le Ponemon Institute, 80 % des violations de données réussies étaient le résultat d'exploits zero-day. Malheureusement, la plupart des entreprises ne sont pas préparées à améliorer considérablement ces statistiques.
Selon la définition, une attaque « zero-day » est une attaque menée par un acteur malveillant qui s'introduit dans un système avant que les développeurs n'aient eu le temps de corriger les vulnérabilités existantes. Une fois les dommages causés, une course effrénée s'engage pour réparer les dégâts causés à la fois au logiciel et à la réputation de l'entreprise. Les attaquants ayant toujours une longueur d'avance, il est essentiel de prendre toutes les mesures possibles pour conserver un avantage concurrentiel.
Le cadeau de Noël que personne ne souhaitait, Log4Shell, fait actuellement beaucoup parler de lui sur Internet. Plus d'un milliard d'appareils auraient été affectés par cette vulnérabilité Java critique. Elle devrait devenir la pire attaque zero-day jamais enregistrée, et ce n'est que le début. ce n'est que le début. Cependant, certains rapports indiquent que l'exploitation a commencé quelques jours avant sa divulgation, et une présentation donnée lors de la conférence Black Hat 2016 suggère que ce problème était connu depuis un certain temps. Pour aggraver les choses, cette vulnérabilité est très facile à exploiter, et tous les pirates informatiques et acteurs malveillants de la planète sont à la recherche de gains financiers grâce à elle.
Dans ce cas, outre les vulnérabilités négligées dans le processus de développement logiciel, quelle serait la meilleure approche pour se prémunir contre les menaces insidieuses et malveillantes ? Examinons cela.
Les attaques zero-day visant des cibles importantes sont rares et coûteuses.
Le dark web abrite un vaste marché d'exploits. À titre d'exemple, les exploits zero-day ont tendance à générer des revenus considérables. Au moment de la rédaction de cet article, il était coté à 2,5 millions de dollars. Il est connu pour exploiter Apple iOS, et il n'est pas surprenant que le prix demandé par les chercheurs en sécurité ait atteint des sommets. Après tout, il peut endommager des millions d'appareils, collecter des milliards d'enregistrements de données sensibles et servir de passerelle pour le faire aussi longtemps que possible avant d'être découvert et corrigé.
Quoi qu'il en soit, qui dispose de tels fonds ? En général, les organisations criminelles cybercriminelles bien structurées se procurent des liquidités lorsqu'elles jugent qu'elles en ont la valeur. C'est particulièrement vrai dans le cas des attaques par ransomware, qui sont toujours très populaires. Cependant, les gouvernements et les ministères de la Défense du monde entier sont considérés comme des clients potentiels pour les exploits pouvant être utilisés à des fins de veille stratégique. Dans un scénario plus optimiste, les entreprises elles-mêmes pourraient acheter des exploits zero-day potentiels afin d'atténuer les risques de catastrophe.
En 2021, le record a été battu. En cas de découverte d'une faille de sécurité en temps réel, ce sont les grandes organisations, les ministères et les infrastructures qui sont les plus exposés. Bien qu'il n'existe aucun moyen d'être totalement à l'abri d'une attaque de type « zero-day », la mise en place d'un programme de prime aux bogues généreux et systématique permet de se prémunir dans une certaine mesure.Au lieu d'attendre que quelqu'un fournisse la clé du château logiciel sur le marché noir du web, assurez-vous de disposer d'une protection de sécurité légitime et offrez une récompense appropriée pour la divulgation éthique d'informations et les corrections potentielles.
Si la menace zéro jour est trop importante, il est préférable de dépenser plus que le montant d'une carte cadeau Amazon (et cela en vaut la peine).
L'outillage peut être de la responsabilité du responsable de la sécurité.
Les outils de sécurité complexes gérés par les RSSI traditionnels constituent un problème de longue date. Avec 55 à 75 outils différents dans leur arsenal de sécurité, que l'on pourrait qualifier de couteau suisse (au sens figuré) le plus désorganisé au monde, 53 % des entreprises ne sont même pas convaincues de leur efficacité. Selon une étude menée par le Ponemon Institute, une autre étude révèle que seuls 17 % des RSSI considèrent que leur pile de sécurité est « totalement efficace ».
Dans ce domaine bien connu pour son épuisement professionnel, son manque de personnel de sécurité qualifié pour répondre à la demande et ses exigences en matière d'agilité, il est difficile pour les experts en sécurité de gérer la surcharge d'informations sous forme de données, de rapports et de surveillance provenant d'un vaste ensemble d'outils. C'est précisément dans ce type de scénario que l'on peut passer à côté d'alertes importantes lorsque l'on évalue correctement la vulnérabilité de Log4j.
La sécurité préventive doit inclure une modélisation des menaces axée sur les développeurs.
Les vulnérabilités au niveau du code sont souvent introduites par les développeurs, et la mise en place de techniques de codage sécurisé nécessite des directives précises et un parcours d'apprentissage régulier. Cependant, les développeurs ayant un niveau de sécurité supérieur ont eu l'opportunité d'apprendre et de pratiquer la modélisation des menaces dans le cadre du processus de développement logiciel.
Il n'est pas surprenant que les personnes qui connaissent le mieux votre logiciel soient celles qui l'ont créé, à savoir les développeurs. Ils possèdent une connaissance approfondie de la manière dont les utilisateurs interagissent avec le logiciel, des endroits où les fonctionnalités sont utilisées et des scénarios potentiels dans lesquels le logiciel pourrait être compromis ou exploité s'ils n'étaient pas suffisamment sensibilisés à la sécurité.
Si l'on ramène ce problème à l'exploitation Log4Shell, il est regrettable de constater qu'une vulnérabilité critique peut échapper à la détection par des experts et des outils complexes. Cependant, si la bibliothèque avait été configurée pour supprimer les entrées utilisateur, cela ne se serait peut-être pas produit . La décision de ne pas le faire semble avoir été motivée par une fonctionnalité ambiguë pour plus de commodité, mais cela a rendu l'exploitation très facile (pensez au niveau d'injection SQL, ce n'est pas très sophistiqué) . Si un groupe de développeurs perspicaces et avertis en matière de sécurité avait effectué une modélisation des menaces, il est fort probable qu'il aurait théorisé et pris en compte ce scénario.
Les programmes de sécurité efficaces intègrent des éléments émotionnels, où l'intervention humaine et les nuances sont essentielles pour résoudre les problèmes causés par l'être humain. Pour que la modélisation des menaces soit efficace, l'empathie et l'expérience sont nécessaires, Il en va de même pour le codage et la configuration de sécurité au niveau de l'architecture des logiciels et des applications. Les développeurs n'ont pas besoin de se consacrer à cette tâche du jour au lendemain, mais l'idéal serait de disposer d'une feuille de route claire pour mettre à niveau leurs compétences afin de réduire la pression exercée par l'équipe de sécurité sur cette tâche importante (ce qui serait également un excellent moyen de renforcer les relations entre les deux équipes).
Le jour 0 se poursuit jusqu'au jour n.
La prochaine étape dans la réponse aux vulnérabilités zero-day consiste à déployer les correctifs le plus rapidement possible. Il est essentiel que tous les utilisateurs du logiciel vulnérable appliquent les correctifs dès que possible et avant que les attaquants n'en profitent. Log4Shell pourrait dépasser Heartbleed en termes de durabilité et d'efficacité, car il est intégré à des millions d'appareils et crée des dépendances complexes dans l'ensemble des versions logicielles.
Il n'existe pas de moyen pratique pour empêcher complètement ce type d'attaques sophistiquées. Cependant, si nous nous engageons à mobiliser tous les moyens nécessaires pour créer des logiciels de haute qualité et sécurisés, et à adopter une approche de développement similaire à celle utilisée pour les infrastructures critiques, nous pourrons tous saisir l'opportunité de lutter contre ces menaces.
Selon la définition, une attaque « zero-day » est une attaque menée par un acteur malveillant qui s'introduit dans un système avant que les développeurs n'aient eu le temps de corriger les vulnérabilités existantes. Une fois les dommages causés, une course effrénée s'engage pour réparer les dégâts causés à la fois au logiciel et à la réputation de l'entreprise. Les attaquants ayant toujours une longueur d'avance, il est essentiel de prendre toutes les mesures possibles pour conserver un avantage concurrentiel.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une version de cet article a été publiée dans le magazine SC. SC Magazine. Il a été modifié et syndiqué ici.
Si vous avez déjà été victime d'un cambriolage, vous comprenez immédiatement que quelque chose ne va pas. Vous réalisez alors que vous avez été victime d'un vol et d'une intrusion. Cela entraîne généralement un sentiment de malaise durable, sans parler du passage à des mesures de sécurité dignes de Fort Knox.
Imaginez que votre maison ait été cambriolée parce que les voleurs se sont servis de vos clés. Ils se déplacent librement à leur guise, mais prennent soin de ne pas se faire remarquer. Un jour, les bijoux cachés dans le congélateur disparaissent, le coffre-fort est vidé et les effets personnels ont été fouillés de fond en comble. C'est exactement la situation à laquelle une organisation est confrontée lorsqu'elle est victime d'une cyberattaque zero-day. Selon une étude réalisée en 2020 par le Ponemon Institute, 80 % des violations de données réussies étaient le résultat d'exploits zero-day. Malheureusement, la plupart des entreprises ne sont pas préparées à améliorer considérablement ces statistiques.
Selon la définition, une attaque « zero-day » est une attaque menée par un acteur malveillant qui s'introduit dans un système avant que les développeurs n'aient eu le temps de corriger les vulnérabilités existantes. Une fois les dommages causés, une course effrénée s'engage pour réparer les dégâts causés à la fois au logiciel et à la réputation de l'entreprise. Les attaquants ayant toujours une longueur d'avance, il est essentiel de prendre toutes les mesures possibles pour conserver un avantage concurrentiel.
Le cadeau de Noël que personne ne souhaitait, Log4Shell, fait actuellement beaucoup parler de lui sur Internet. Plus d'un milliard d'appareils auraient été affectés par cette vulnérabilité Java critique. Elle devrait devenir la pire attaque zero-day jamais enregistrée, et ce n'est que le début. ce n'est que le début. Cependant, certains rapports indiquent que l'exploitation a commencé quelques jours avant sa divulgation, et une présentation donnée lors de la conférence Black Hat 2016 suggère que ce problème était connu depuis un certain temps. Pour aggraver les choses, cette vulnérabilité est très facile à exploiter, et tous les pirates informatiques et acteurs malveillants de la planète sont à la recherche de gains financiers grâce à elle.
Dans ce cas, outre les vulnérabilités négligées dans le processus de développement logiciel, quelle serait la meilleure approche pour se prémunir contre les menaces insidieuses et malveillantes ? Examinons cela.
Les attaques zero-day visant des cibles importantes sont rares et coûteuses.
Le dark web abrite un vaste marché d'exploits. À titre d'exemple, les exploits zero-day ont tendance à générer des revenus considérables. Au moment de la rédaction de cet article, il était coté à 2,5 millions de dollars. Il est connu pour exploiter Apple iOS, et il n'est pas surprenant que le prix demandé par les chercheurs en sécurité ait atteint des sommets. Après tout, il peut endommager des millions d'appareils, collecter des milliards d'enregistrements de données sensibles et servir de passerelle pour le faire aussi longtemps que possible avant d'être découvert et corrigé.
Quoi qu'il en soit, qui dispose de tels fonds ? En général, les organisations criminelles cybercriminelles bien structurées se procurent des liquidités lorsqu'elles jugent qu'elles en ont la valeur. C'est particulièrement vrai dans le cas des attaques par ransomware, qui sont toujours très populaires. Cependant, les gouvernements et les ministères de la Défense du monde entier sont considérés comme des clients potentiels pour les exploits pouvant être utilisés à des fins de veille stratégique. Dans un scénario plus optimiste, les entreprises elles-mêmes pourraient acheter des exploits zero-day potentiels afin d'atténuer les risques de catastrophe.
En 2021, le record a été battu. En cas de découverte d'une faille de sécurité en temps réel, ce sont les grandes organisations, les ministères et les infrastructures qui sont les plus exposés. Bien qu'il n'existe aucun moyen d'être totalement à l'abri d'une attaque de type « zero-day », la mise en place d'un programme de prime aux bogues généreux et systématique permet de se prémunir dans une certaine mesure.Au lieu d'attendre que quelqu'un fournisse la clé du château logiciel sur le marché noir du web, assurez-vous de disposer d'une protection de sécurité légitime et offrez une récompense appropriée pour la divulgation éthique d'informations et les corrections potentielles.
Si la menace zéro jour est trop importante, il est préférable de dépenser plus que le montant d'une carte cadeau Amazon (et cela en vaut la peine).
L'outillage peut être de la responsabilité du responsable de la sécurité.
Les outils de sécurité complexes gérés par les RSSI traditionnels constituent un problème de longue date. Avec 55 à 75 outils différents dans leur arsenal de sécurité, que l'on pourrait qualifier de couteau suisse (au sens figuré) le plus désorganisé au monde, 53 % des entreprises ne sont même pas convaincues de leur efficacité. Selon une étude menée par le Ponemon Institute, une autre étude révèle que seuls 17 % des RSSI considèrent que leur pile de sécurité est « totalement efficace ».
Dans ce domaine bien connu pour son épuisement professionnel, son manque de personnel de sécurité qualifié pour répondre à la demande et ses exigences en matière d'agilité, il est difficile pour les experts en sécurité de gérer la surcharge d'informations sous forme de données, de rapports et de surveillance provenant d'un vaste ensemble d'outils. C'est précisément dans ce type de scénario que l'on peut passer à côté d'alertes importantes lorsque l'on évalue correctement la vulnérabilité de Log4j.
La sécurité préventive doit inclure une modélisation des menaces axée sur les développeurs.
Les vulnérabilités au niveau du code sont souvent introduites par les développeurs, et la mise en place de techniques de codage sécurisé nécessite des directives précises et un parcours d'apprentissage régulier. Cependant, les développeurs ayant un niveau de sécurité supérieur ont eu l'opportunité d'apprendre et de pratiquer la modélisation des menaces dans le cadre du processus de développement logiciel.
Il n'est pas surprenant que les personnes qui connaissent le mieux votre logiciel soient celles qui l'ont créé, à savoir les développeurs. Ils possèdent une connaissance approfondie de la manière dont les utilisateurs interagissent avec le logiciel, des endroits où les fonctionnalités sont utilisées et des scénarios potentiels dans lesquels le logiciel pourrait être compromis ou exploité s'ils n'étaient pas suffisamment sensibilisés à la sécurité.
Si l'on ramène ce problème à l'exploitation Log4Shell, il est regrettable de constater qu'une vulnérabilité critique peut échapper à la détection par des experts et des outils complexes. Cependant, si la bibliothèque avait été configurée pour supprimer les entrées utilisateur, cela ne se serait peut-être pas produit . La décision de ne pas le faire semble avoir été motivée par une fonctionnalité ambiguë pour plus de commodité, mais cela a rendu l'exploitation très facile (pensez au niveau d'injection SQL, ce n'est pas très sophistiqué) . Si un groupe de développeurs perspicaces et avertis en matière de sécurité avait effectué une modélisation des menaces, il est fort probable qu'il aurait théorisé et pris en compte ce scénario.
Les programmes de sécurité efficaces intègrent des éléments émotionnels, où l'intervention humaine et les nuances sont essentielles pour résoudre les problèmes causés par l'être humain. Pour que la modélisation des menaces soit efficace, l'empathie et l'expérience sont nécessaires, Il en va de même pour le codage et la configuration de sécurité au niveau de l'architecture des logiciels et des applications. Les développeurs n'ont pas besoin de se consacrer à cette tâche du jour au lendemain, mais l'idéal serait de disposer d'une feuille de route claire pour mettre à niveau leurs compétences afin de réduire la pression exercée par l'équipe de sécurité sur cette tâche importante (ce qui serait également un excellent moyen de renforcer les relations entre les deux équipes).
Le jour 0 se poursuit jusqu'au jour n.
La prochaine étape dans la réponse aux vulnérabilités zero-day consiste à déployer les correctifs le plus rapidement possible. Il est essentiel que tous les utilisateurs du logiciel vulnérable appliquent les correctifs dès que possible et avant que les attaquants n'en profitent. Log4Shell pourrait dépasser Heartbleed en termes de durabilité et d'efficacité, car il est intégré à des millions d'appareils et crée des dépendances complexes dans l'ensemble des versions logicielles.
Il n'existe pas de moyen pratique pour empêcher complètement ce type d'attaques sophistiquées. Cependant, si nous nous engageons à mobiliser tous les moyens nécessaires pour créer des logiciels de haute qualité et sécurisés, et à adopter une approche de développement similaire à celle utilisée pour les infrastructures critiques, nous pourrons tous saisir l'opportunité de lutter contre ces menaces.
Une version de cet article a été publiée dans le magazine SC. SC Magazine. Il a été modifié et syndiqué ici.
Si vous avez déjà été victime d'un cambriolage, vous comprenez immédiatement que quelque chose ne va pas. Vous réalisez alors que vous avez été victime d'un vol et d'une intrusion. Cela entraîne généralement un sentiment de malaise durable, sans parler du passage à des mesures de sécurité dignes de Fort Knox.
Imaginez que votre maison ait été cambriolée parce que les voleurs se sont servis de vos clés. Ils se déplacent librement à leur guise, mais prennent soin de ne pas se faire remarquer. Un jour, les bijoux cachés dans le congélateur disparaissent, le coffre-fort est vidé et les effets personnels ont été fouillés de fond en comble. C'est exactement la situation à laquelle une organisation est confrontée lorsqu'elle est victime d'une cyberattaque zero-day. Selon une étude réalisée en 2020 par le Ponemon Institute, 80 % des violations de données réussies étaient le résultat d'exploits zero-day. Malheureusement, la plupart des entreprises ne sont pas préparées à améliorer considérablement ces statistiques.
Selon la définition, une attaque « zero-day » est une attaque menée par un acteur malveillant qui s'introduit dans un système avant que les développeurs n'aient eu le temps de corriger les vulnérabilités existantes. Une fois les dommages causés, une course effrénée s'engage pour réparer les dégâts causés à la fois au logiciel et à la réputation de l'entreprise. Les attaquants ayant toujours une longueur d'avance, il est essentiel de prendre toutes les mesures possibles pour conserver un avantage concurrentiel.
Le cadeau de Noël que personne ne souhaitait, Log4Shell, fait actuellement beaucoup parler de lui sur Internet. Plus d'un milliard d'appareils auraient été affectés par cette vulnérabilité Java critique. Elle devrait devenir la pire attaque zero-day jamais enregistrée, et ce n'est que le début. ce n'est que le début. Cependant, certains rapports indiquent que l'exploitation a commencé quelques jours avant sa divulgation, et une présentation donnée lors de la conférence Black Hat 2016 suggère que ce problème était connu depuis un certain temps. Pour aggraver les choses, cette vulnérabilité est très facile à exploiter, et tous les pirates informatiques et acteurs malveillants de la planète sont à la recherche de gains financiers grâce à elle.
Dans ce cas, outre les vulnérabilités négligées dans le processus de développement logiciel, quelle serait la meilleure approche pour se prémunir contre les menaces insidieuses et malveillantes ? Examinons cela.
Les attaques zero-day visant des cibles importantes sont rares et coûteuses.
Le dark web abrite un vaste marché d'exploits. À titre d'exemple, les exploits zero-day ont tendance à générer des revenus considérables. Au moment de la rédaction de cet article, il était coté à 2,5 millions de dollars. Il est connu pour exploiter Apple iOS, et il n'est pas surprenant que le prix demandé par les chercheurs en sécurité ait atteint des sommets. Après tout, il peut endommager des millions d'appareils, collecter des milliards d'enregistrements de données sensibles et servir de passerelle pour le faire aussi longtemps que possible avant d'être découvert et corrigé.
Quoi qu'il en soit, qui dispose de tels fonds ? En général, les organisations criminelles cybercriminelles bien structurées se procurent des liquidités lorsqu'elles jugent qu'elles en ont la valeur. C'est particulièrement vrai dans le cas des attaques par ransomware, qui sont toujours très populaires. Cependant, les gouvernements et les ministères de la Défense du monde entier sont considérés comme des clients potentiels pour les exploits pouvant être utilisés à des fins de veille stratégique. Dans un scénario plus optimiste, les entreprises elles-mêmes pourraient acheter des exploits zero-day potentiels afin d'atténuer les risques de catastrophe.
En 2021, le record a été battu. En cas de découverte d'une faille de sécurité en temps réel, ce sont les grandes organisations, les ministères et les infrastructures qui sont les plus exposés. Bien qu'il n'existe aucun moyen d'être totalement à l'abri d'une attaque de type « zero-day », la mise en place d'un programme de prime aux bogues généreux et systématique permet de se prémunir dans une certaine mesure.Au lieu d'attendre que quelqu'un fournisse la clé du château logiciel sur le marché noir du web, assurez-vous de disposer d'une protection de sécurité légitime et offrez une récompense appropriée pour la divulgation éthique d'informations et les corrections potentielles.
Si la menace zéro jour est trop importante, il est préférable de dépenser plus que le montant d'une carte cadeau Amazon (et cela en vaut la peine).
L'outillage peut être de la responsabilité du responsable de la sécurité.
Les outils de sécurité complexes gérés par les RSSI traditionnels constituent un problème de longue date. Avec 55 à 75 outils différents dans leur arsenal de sécurité, que l'on pourrait qualifier de couteau suisse (au sens figuré) le plus désorganisé au monde, 53 % des entreprises ne sont même pas convaincues de leur efficacité. Selon une étude menée par le Ponemon Institute, une autre étude révèle que seuls 17 % des RSSI considèrent que leur pile de sécurité est « totalement efficace ».
Dans ce domaine bien connu pour son épuisement professionnel, son manque de personnel de sécurité qualifié pour répondre à la demande et ses exigences en matière d'agilité, il est difficile pour les experts en sécurité de gérer la surcharge d'informations sous forme de données, de rapports et de surveillance provenant d'un vaste ensemble d'outils. C'est précisément dans ce type de scénario que l'on peut passer à côté d'alertes importantes lorsque l'on évalue correctement la vulnérabilité de Log4j.
La sécurité préventive doit inclure une modélisation des menaces axée sur les développeurs.
Les vulnérabilités au niveau du code sont souvent introduites par les développeurs, et la mise en place de techniques de codage sécurisé nécessite des directives précises et un parcours d'apprentissage régulier. Cependant, les développeurs ayant un niveau de sécurité supérieur ont eu l'opportunité d'apprendre et de pratiquer la modélisation des menaces dans le cadre du processus de développement logiciel.
Il n'est pas surprenant que les personnes qui connaissent le mieux votre logiciel soient celles qui l'ont créé, à savoir les développeurs. Ils possèdent une connaissance approfondie de la manière dont les utilisateurs interagissent avec le logiciel, des endroits où les fonctionnalités sont utilisées et des scénarios potentiels dans lesquels le logiciel pourrait être compromis ou exploité s'ils n'étaient pas suffisamment sensibilisés à la sécurité.
Si l'on ramène ce problème à l'exploitation Log4Shell, il est regrettable de constater qu'une vulnérabilité critique peut échapper à la détection par des experts et des outils complexes. Cependant, si la bibliothèque avait été configurée pour supprimer les entrées utilisateur, cela ne se serait peut-être pas produit . La décision de ne pas le faire semble avoir été motivée par une fonctionnalité ambiguë pour plus de commodité, mais cela a rendu l'exploitation très facile (pensez au niveau d'injection SQL, ce n'est pas très sophistiqué) . Si un groupe de développeurs perspicaces et avertis en matière de sécurité avait effectué une modélisation des menaces, il est fort probable qu'il aurait théorisé et pris en compte ce scénario.
Les programmes de sécurité efficaces intègrent des éléments émotionnels, où l'intervention humaine et les nuances sont essentielles pour résoudre les problèmes causés par l'être humain. Pour que la modélisation des menaces soit efficace, l'empathie et l'expérience sont nécessaires, Il en va de même pour le codage et la configuration de sécurité au niveau de l'architecture des logiciels et des applications. Les développeurs n'ont pas besoin de se consacrer à cette tâche du jour au lendemain, mais l'idéal serait de disposer d'une feuille de route claire pour mettre à niveau leurs compétences afin de réduire la pression exercée par l'équipe de sécurité sur cette tâche importante (ce qui serait également un excellent moyen de renforcer les relations entre les deux équipes).
Le jour 0 se poursuit jusqu'au jour n.
La prochaine étape dans la réponse aux vulnérabilités zero-day consiste à déployer les correctifs le plus rapidement possible. Il est essentiel que tous les utilisateurs du logiciel vulnérable appliquent les correctifs dès que possible et avant que les attaquants n'en profitent. Log4Shell pourrait dépasser Heartbleed en termes de durabilité et d'efficacité, car il est intégré à des millions d'appareils et crée des dépendances complexes dans l'ensemble des versions logicielles.
Il n'existe pas de moyen pratique pour empêcher complètement ce type d'attaques sophistiquées. Cependant, si nous nous engageons à mobiliser tous les moyens nécessaires pour créer des logiciels de haute qualité et sécurisés, et à adopter une approche de développement similaire à celle utilisée pour les infrastructures critiques, nous pourrons tous saisir l'opportunité de lutter contre ces menaces.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une version de cet article a été publiée dans le magazine SC. SC Magazine. Il a été modifié et syndiqué ici.
Si vous avez déjà été victime d'un cambriolage, vous comprenez immédiatement que quelque chose ne va pas. Vous réalisez alors que vous avez été victime d'un vol et d'une intrusion. Cela entraîne généralement un sentiment de malaise durable, sans parler du passage à des mesures de sécurité dignes de Fort Knox.
Imaginez que votre maison ait été cambriolée parce que les voleurs se sont servis de vos clés. Ils se déplacent librement à leur guise, mais prennent soin de ne pas se faire remarquer. Un jour, les bijoux cachés dans le congélateur disparaissent, le coffre-fort est vidé et les effets personnels ont été fouillés de fond en comble. C'est exactement la situation à laquelle une organisation est confrontée lorsqu'elle est victime d'une cyberattaque zero-day. Selon une étude réalisée en 2020 par le Ponemon Institute, 80 % des violations de données réussies étaient le résultat d'exploits zero-day. Malheureusement, la plupart des entreprises ne sont pas préparées à améliorer considérablement ces statistiques.
Selon la définition, une attaque « zero-day » est une attaque menée par un acteur malveillant qui s'introduit dans un système avant que les développeurs n'aient eu le temps de corriger les vulnérabilités existantes. Une fois les dommages causés, une course effrénée s'engage pour réparer les dégâts causés à la fois au logiciel et à la réputation de l'entreprise. Les attaquants ayant toujours une longueur d'avance, il est essentiel de prendre toutes les mesures possibles pour conserver un avantage concurrentiel.
Le cadeau de Noël que personne ne souhaitait, Log4Shell, fait actuellement beaucoup parler de lui sur Internet. Plus d'un milliard d'appareils auraient été affectés par cette vulnérabilité Java critique. Elle devrait devenir la pire attaque zero-day jamais enregistrée, et ce n'est que le début. ce n'est que le début. Cependant, certains rapports indiquent que l'exploitation a commencé quelques jours avant sa divulgation, et une présentation donnée lors de la conférence Black Hat 2016 suggère que ce problème était connu depuis un certain temps. Pour aggraver les choses, cette vulnérabilité est très facile à exploiter, et tous les pirates informatiques et acteurs malveillants de la planète sont à la recherche de gains financiers grâce à elle.
Dans ce cas, outre les vulnérabilités négligées dans le processus de développement logiciel, quelle serait la meilleure approche pour se prémunir contre les menaces insidieuses et malveillantes ? Examinons cela.
Les attaques zero-day visant des cibles importantes sont rares et coûteuses.
Le dark web abrite un vaste marché d'exploits. À titre d'exemple, les exploits zero-day ont tendance à générer des revenus considérables. Au moment de la rédaction de cet article, il était coté à 2,5 millions de dollars. Il est connu pour exploiter Apple iOS, et il n'est pas surprenant que le prix demandé par les chercheurs en sécurité ait atteint des sommets. Après tout, il peut endommager des millions d'appareils, collecter des milliards d'enregistrements de données sensibles et servir de passerelle pour le faire aussi longtemps que possible avant d'être découvert et corrigé.
Quoi qu'il en soit, qui dispose de tels fonds ? En général, les organisations criminelles cybercriminelles bien structurées se procurent des liquidités lorsqu'elles jugent qu'elles en ont la valeur. C'est particulièrement vrai dans le cas des attaques par ransomware, qui sont toujours très populaires. Cependant, les gouvernements et les ministères de la Défense du monde entier sont considérés comme des clients potentiels pour les exploits pouvant être utilisés à des fins de veille stratégique. Dans un scénario plus optimiste, les entreprises elles-mêmes pourraient acheter des exploits zero-day potentiels afin d'atténuer les risques de catastrophe.
En 2021, le record a été battu. En cas de découverte d'une faille de sécurité en temps réel, ce sont les grandes organisations, les ministères et les infrastructures qui sont les plus exposés. Bien qu'il n'existe aucun moyen d'être totalement à l'abri d'une attaque de type « zero-day », la mise en place d'un programme de prime aux bogues généreux et systématique permet de se prémunir dans une certaine mesure.Au lieu d'attendre que quelqu'un fournisse la clé du château logiciel sur le marché noir du web, assurez-vous de disposer d'une protection de sécurité légitime et offrez une récompense appropriée pour la divulgation éthique d'informations et les corrections potentielles.
Si la menace zéro jour est trop importante, il est préférable de dépenser plus que le montant d'une carte cadeau Amazon (et cela en vaut la peine).
L'outillage peut être de la responsabilité du responsable de la sécurité.
Les outils de sécurité complexes gérés par les RSSI traditionnels constituent un problème de longue date. Avec 55 à 75 outils différents dans leur arsenal de sécurité, que l'on pourrait qualifier de couteau suisse (au sens figuré) le plus désorganisé au monde, 53 % des entreprises ne sont même pas convaincues de leur efficacité. Selon une étude menée par le Ponemon Institute, une autre étude révèle que seuls 17 % des RSSI considèrent que leur pile de sécurité est « totalement efficace ».
Dans ce domaine bien connu pour son épuisement professionnel, son manque de personnel de sécurité qualifié pour répondre à la demande et ses exigences en matière d'agilité, il est difficile pour les experts en sécurité de gérer la surcharge d'informations sous forme de données, de rapports et de surveillance provenant d'un vaste ensemble d'outils. C'est précisément dans ce type de scénario que l'on peut passer à côté d'alertes importantes lorsque l'on évalue correctement la vulnérabilité de Log4j.
La sécurité préventive doit inclure une modélisation des menaces axée sur les développeurs.
Les vulnérabilités au niveau du code sont souvent introduites par les développeurs, et la mise en place de techniques de codage sécurisé nécessite des directives précises et un parcours d'apprentissage régulier. Cependant, les développeurs ayant un niveau de sécurité supérieur ont eu l'opportunité d'apprendre et de pratiquer la modélisation des menaces dans le cadre du processus de développement logiciel.
Il n'est pas surprenant que les personnes qui connaissent le mieux votre logiciel soient celles qui l'ont créé, à savoir les développeurs. Ils possèdent une connaissance approfondie de la manière dont les utilisateurs interagissent avec le logiciel, des endroits où les fonctionnalités sont utilisées et des scénarios potentiels dans lesquels le logiciel pourrait être compromis ou exploité s'ils n'étaient pas suffisamment sensibilisés à la sécurité.
Si l'on ramène ce problème à l'exploitation Log4Shell, il est regrettable de constater qu'une vulnérabilité critique peut échapper à la détection par des experts et des outils complexes. Cependant, si la bibliothèque avait été configurée pour supprimer les entrées utilisateur, cela ne se serait peut-être pas produit . La décision de ne pas le faire semble avoir été motivée par une fonctionnalité ambiguë pour plus de commodité, mais cela a rendu l'exploitation très facile (pensez au niveau d'injection SQL, ce n'est pas très sophistiqué) . Si un groupe de développeurs perspicaces et avertis en matière de sécurité avait effectué une modélisation des menaces, il est fort probable qu'il aurait théorisé et pris en compte ce scénario.
Les programmes de sécurité efficaces intègrent des éléments émotionnels, où l'intervention humaine et les nuances sont essentielles pour résoudre les problèmes causés par l'être humain. Pour que la modélisation des menaces soit efficace, l'empathie et l'expérience sont nécessaires, Il en va de même pour le codage et la configuration de sécurité au niveau de l'architecture des logiciels et des applications. Les développeurs n'ont pas besoin de se consacrer à cette tâche du jour au lendemain, mais l'idéal serait de disposer d'une feuille de route claire pour mettre à niveau leurs compétences afin de réduire la pression exercée par l'équipe de sécurité sur cette tâche importante (ce qui serait également un excellent moyen de renforcer les relations entre les deux équipes).
Le jour 0 se poursuit jusqu'au jour n.
La prochaine étape dans la réponse aux vulnérabilités zero-day consiste à déployer les correctifs le plus rapidement possible. Il est essentiel que tous les utilisateurs du logiciel vulnérable appliquent les correctifs dès que possible et avant que les attaquants n'en profitent. Log4Shell pourrait dépasser Heartbleed en termes de durabilité et d'efficacité, car il est intégré à des millions d'appareils et crée des dépendances complexes dans l'ensemble des versions logicielles.
Il n'existe pas de moyen pratique pour empêcher complètement ce type d'attaques sophistiquées. Cependant, si nous nous engageons à mobiliser tous les moyens nécessaires pour créer des logiciels de haute qualité et sécurisés, et à adopter une approche de développement similaire à celle utilisée pour les infrastructures critiques, nous pourrons tous saisir l'opportunité de lutter contre ces menaces.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
