Programmeurs conquérant l'infrastructure de sécurité sous forme de code : fonctionnalités de sécurité désactivées
Aujourd'hui, les menaces liées à la cybersécurité sont omniprésentes et persistantes. À mesure que de plus en plus d'aspects de notre vie sont numérisés, les cybercriminels sont exposés à des risques plus élevés : trop de codes ne sont pas sécurisés et les données privées ont une valeur considérable. De plus, il est pratiquement impossible de suivre et de défendre tous les aspects de la surface d'attaque après le déploiement d'un programme.
Il existe des moyens d'atténuer certains de ces symptômes, et l'un d'entre eux est évident lorsque des organisations avisées adoptent le concept d'infrastructure en tant que code (IaC). Bien entendu, comme pour tout développement, il existe des pièges en matière de sécurité qui doivent être évités. De plus, étant donné que les développeurs génèrent du code qui sera utilisé pour héberger des applications critiques, la sensibilisation à la sécurité est essentielle à chaque étape du processus.
Alors, comment les développeurs qui découvrent l'environnement des serveurs cloud peuvent-ils améliorer leurs compétences, acquérir de nouvelles connaissances et développer leurs applications tout en renforçant leur sensibilisation à la sécurité ? Nous avons créé la prochaine série Coders Conquer Security afin de résoudre les vulnérabilités courantes de l'IaC. Les prochains articles de blogmettront l'accent sur les mesures que vous, développeurs, pouvez prendre pour commencer à déployer une infrastructure de sécurité sous forme de code au sein de votre organisation.
Commençons.
Il existe une fable dans l'Ouest américain qui raconte l'histoire d'un individu paranoïaque qui croyait que des bandits allaient attaquer et piller sa maison. En conséquence,il investit dans diverses mesures de sécurité, telles que l'installation d'une porte d'entrée ultra-résistante, la pose de barreaux à toutes les fenêtres et la mise à disposition d'un grand nombre d'armes à portée de main. Un soir, alors qu'il dormait, il fut victime d'un cambriolage, car il avait oublié de verrouiller la porte latérale. Les voleurs n'eurent qu'à trouver le dispositif de sécurité défaillant et en profitèrent rapidement.
La désactivation des fonctionnalités de sécurité dans l'infrastructure se présente de la manière suivante. Même si votre réseau dispose d'une infrastructure de sécurité solide, cela ne sera pas efficace si certains éléments sont désactivés.
Avant de nous plonger dans le sujet, permettez-moi de vous proposer un défi :
En accédant au lien ci-dessus, vous serez redirigé vers notre plateforme de formation ludique, où vous pourrez immédiatement vous exercer à surmonter les vulnérabilités des fonctionnalités de sécurité désactivées. (Remarque : elle s'ouvrira dans Kubernetes, mais vous pouvez sélectionner Docker, CloudFormation, Terraform ou Ansible à l'aide du menu déroulant).
Comment vous en sortez-vous ? Si vous avez encore du travail à accomplir, veuillez continuer à lire :
Les fonctionnalités de sécurité peuvent être désactivées pour diverses raisons. Pour certaines applications et certains frameworks, elles peuvent être désactivées par défaut et doivent être activées avant de pouvoir fonctionner. Les administrateurs peuvent également désactiver certaines fonctionnalités de sécurité afin de faciliter l'exécution de certaines tâches sans être constamment confrontés à des défis ou à des blocages (par exemple, rendre public un compartiment de stockage AWS S3). Une fois le travail terminé,ils peuvent oublier de réactiver les fonctionnalités désactivées. Ils peuvent également préférer les laisser désactivées afin de faciliter leur travail à l'avenir.
Pourquoi les fonctionnalités de sécurité désactivées sont-elles si dangereuses ?
Il est déconseillé de désactiver une ou plusieurs fonctionnalités de sécurité pour deux raisons. Tout d'abord, les fonctionnalités de sécurité sont intégrées aux ressources de l'infrastructure afin de prévenir les vulnérabilités, menaces ou failles connues. Si elles sont désactivées, elles ne pourront pas protéger vos ressources.
Les attaquants commencent toujours par rechercher les vulnérabilités faciles à exploiter, et peuvent même utiliser des scripts pour corriger les vulnérabilités courantes. Cela revient à inspecter toutes les voitures garées dans la rue pour vérifier si une portière est ouverte, ce qui est beaucoup plus simple que de briser une vitre. Les pirates informatiques peuvent être surpris de constater que les mesures de sécurité courantes sont désactivées. Cependant, lorsqu'ils constatent cela, ils n'hésitent pas à en tirer parti.
Deuxièmement, la mise en place d'une bonne sécurité suivie de sa désactivation peut créer un faux sentiment de sécurité. Si les administrateurs ignorent que ces défenses ont été désactivées, ils pourraient penser qu'ils sont à l'abri des menaces courantes.
À titre d'exemple illustrant comment un attaquant peut exploiter une fonctionnalité de sécurité désactivée, considérons la fonctionnalité de sécurité AWS S3 qui empêche l'accès public. Grâce au masquage de l'accès public Amazon S3, les administrateurs de compte et les propriétaires de compartiments peuvent facilement mettre en place un contrôle centralisé pour restreindre l'accès public à leurs ressources Amazon S3.Cependant, certains administrateurs rencontrent des difficultés pour accéder aux compartiments S3 et décident de les rendre publics afin de mener à bien leurs tâches dans les meilleurs délais. S'ils omettent d'activer la fonctionnalité de sécurité, les attaquants auront un accès complet aux informations stockées dans ces compartiments S3, ce qui entraînera non seulement une fuite d'informations, mais également des frais supplémentaires liés au transfert de données.
Comparons quelques codes du monde réel ; examinons l'extrait CloudFormation suivant :
Vulnérable :
Bucket d'entreprise :
Type : AWS:: S3:: Bucket
Propriétés :
Configuration de l'accès public aux blocs :
blockPublicACLS : Erreur
BlockPublicy : Erreur
ignorepublicacls : Erreur
restrictPublicBuckets :
Configuration du contrôle de version :
Statut : Activé
Chiffrement du bucket :
Configuration du chiffrement côté serveur :
- Chiffrement côté serveur par défaut :
Algorithme SSE : « AES256 »
Sécurité :
Bucket d'entreprise :
Type : AWS:: S3:: Bucket
Propriétés :
Configuration de l'accès public aux blocs :
blockPublicACLS : Oui
BlockPublicy : Oui
ignoreRepublicacls :
restrictPublicBuckets :
Configuration du contrôle de version :
Statut : Activé
Chiffrement du bucket :
Configuration du chiffrement côté serveur :
- Chiffrement côté serveur par défaut :
Algorithme SSE : « AES256 »
Empêcher la désactivation des fonctions de sécurité
Empêcher que la désactivation des fonctionnalités de sécurité ait un impact négatif sur votre organisation est à la fois une question de politique et de pratique. Il est recommandé de mettre en place une politique stricte stipulant que les fonctionnalités de sécurité ne peuvent être désactivées que dans des circonstances exceptionnelles. Les incidents nécessitant la désactivation temporaire d'une fonctionnalité pour résoudre un problème ou mettre à jour une application doivent être consignés. Une fois les tâches requises effectuées, il est conseillé de vérifier que la fonctionnalité a bien été réactivée.
Si les fonctionnalités de sécurité doivent être désactivées de manière permanente afin de simplifier les opérations, il est nécessaire de mettre en place des mesures de protection alternatives pour les données concernées, afin de garantir que les pirates informatiques ne puissent pas accéder à ces fonctionnalités en l'absence de protection par défaut. Si les fonctionnalités de protection requises sont désactivées, il n'est qu'une question de temps avant qu'un attaquant ne trouve une porte non verrouillée et n'en profite.
En savoir plus, se dépasser :
Nous vous invitons à consulter la page du blog Security Code Warrior pour obtenir des informations détaillées sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients contre d'autres failles et vulnérabilités de sécurité.
Maintenant que vous avez lu cet article, êtes-vous prêt à identifier et corriger cette vulnérabilité ? Il est tempsde relever le défi ludique de sécurité iMac sur Secure Code Warrior d'affiner et de maintenir à jour toutes vos compétences en cybersécurité Secure Code Warrior
Il s'agit d'une série d'articles hebdomadaires couvrant nos huit principales vulnérabilités « Infrastructure as Code » ; nous vous invitons à revenir la semaine prochaine pour plus d'informations.
Les attaquants commencent toujours par rechercher les vulnérabilités faciles à exploiter, et peuvent même utiliser des scripts pour corriger les vulnérabilités courantes. Cela revient à inspecter toutes les voitures garées dans la rue pour vérifier si une portière est ouverte, ce qui est beaucoup plus simple que de briser une vitre.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Aujourd'hui, les menaces liées à la cybersécurité sont omniprésentes et persistantes. À mesure que de plus en plus d'aspects de notre vie sont numérisés, les cybercriminels sont exposés à des risques plus élevés : trop de codes ne sont pas sécurisés et les données privées ont une valeur considérable. De plus, il est pratiquement impossible de suivre et de défendre tous les aspects de la surface d'attaque après le déploiement d'un programme.
Il existe des moyens d'atténuer certains de ces symptômes, et l'un d'entre eux est évident lorsque des organisations avisées adoptent le concept d'infrastructure en tant que code (IaC). Bien entendu, comme pour tout développement, il existe des pièges en matière de sécurité qui doivent être évités. De plus, étant donné que les développeurs génèrent du code qui sera utilisé pour héberger des applications critiques, la sensibilisation à la sécurité est essentielle à chaque étape du processus.
Alors, comment les développeurs qui découvrent l'environnement des serveurs cloud peuvent-ils améliorer leurs compétences, acquérir de nouvelles connaissances et développer leurs applications tout en renforçant leur sensibilisation à la sécurité ? Nous avons créé la prochaine série Coders Conquer Security afin de résoudre les vulnérabilités courantes de l'IaC. Les prochains articles de blogmettront l'accent sur les mesures que vous, développeurs, pouvez prendre pour commencer à déployer une infrastructure de sécurité sous forme de code au sein de votre organisation.
Commençons.
Il existe une fable dans l'Ouest américain qui raconte l'histoire d'un individu paranoïaque qui croyait que des bandits allaient attaquer et piller sa maison. En conséquence,il investit dans diverses mesures de sécurité, telles que l'installation d'une porte d'entrée ultra-résistante, la pose de barreaux à toutes les fenêtres et la mise à disposition d'un grand nombre d'armes à portée de main. Un soir, alors qu'il dormait, il fut victime d'un cambriolage, car il avait oublié de verrouiller la porte latérale. Les voleurs n'eurent qu'à trouver le dispositif de sécurité défaillant et en profitèrent rapidement.
La désactivation des fonctionnalités de sécurité dans l'infrastructure se présente de la manière suivante. Même si votre réseau dispose d'une infrastructure de sécurité solide, cela ne sera pas efficace si certains éléments sont désactivés.
Avant de nous plonger dans le sujet, permettez-moi de vous proposer un défi :
En accédant au lien ci-dessus, vous serez redirigé vers notre plateforme de formation ludique, où vous pourrez immédiatement vous exercer à surmonter les vulnérabilités des fonctionnalités de sécurité désactivées. (Remarque : elle s'ouvrira dans Kubernetes, mais vous pouvez sélectionner Docker, CloudFormation, Terraform ou Ansible à l'aide du menu déroulant).
Comment vous en sortez-vous ? Si vous avez encore du travail à accomplir, veuillez continuer à lire :
Les fonctionnalités de sécurité peuvent être désactivées pour diverses raisons. Pour certaines applications et certains frameworks, elles peuvent être désactivées par défaut et doivent être activées avant de pouvoir fonctionner. Les administrateurs peuvent également désactiver certaines fonctionnalités de sécurité afin de faciliter l'exécution de certaines tâches sans être constamment confrontés à des défis ou à des blocages (par exemple, rendre public un compartiment de stockage AWS S3). Une fois le travail terminé,ils peuvent oublier de réactiver les fonctionnalités désactivées. Ils peuvent également préférer les laisser désactivées afin de faciliter leur travail à l'avenir.
Pourquoi les fonctionnalités de sécurité désactivées sont-elles si dangereuses ?
Il est déconseillé de désactiver une ou plusieurs fonctionnalités de sécurité pour deux raisons. Tout d'abord, les fonctionnalités de sécurité sont intégrées aux ressources de l'infrastructure afin de prévenir les vulnérabilités, menaces ou failles connues. Si elles sont désactivées, elles ne pourront pas protéger vos ressources.
Les attaquants commencent toujours par rechercher les vulnérabilités faciles à exploiter, et peuvent même utiliser des scripts pour corriger les vulnérabilités courantes. Cela revient à inspecter toutes les voitures garées dans la rue pour vérifier si une portière est ouverte, ce qui est beaucoup plus simple que de briser une vitre. Les pirates informatiques peuvent être surpris de constater que les mesures de sécurité courantes sont désactivées. Cependant, lorsqu'ils constatent cela, ils n'hésitent pas à en tirer parti.
Deuxièmement, la mise en place d'une bonne sécurité suivie de sa désactivation peut créer un faux sentiment de sécurité. Si les administrateurs ignorent que ces défenses ont été désactivées, ils pourraient penser qu'ils sont à l'abri des menaces courantes.
À titre d'exemple illustrant comment un attaquant peut exploiter une fonctionnalité de sécurité désactivée, considérons la fonctionnalité de sécurité AWS S3 qui empêche l'accès public. Grâce au masquage de l'accès public Amazon S3, les administrateurs de compte et les propriétaires de compartiments peuvent facilement mettre en place un contrôle centralisé pour restreindre l'accès public à leurs ressources Amazon S3.Cependant, certains administrateurs rencontrent des difficultés pour accéder aux compartiments S3 et décident de les rendre publics afin de mener à bien leurs tâches dans les meilleurs délais. S'ils omettent d'activer la fonctionnalité de sécurité, les attaquants auront un accès complet aux informations stockées dans ces compartiments S3, ce qui entraînera non seulement une fuite d'informations, mais également des frais supplémentaires liés au transfert de données.
Comparons quelques codes du monde réel ; examinons l'extrait CloudFormation suivant :
Vulnérable :
Bucket d'entreprise :
Type : AWS:: S3:: Bucket
Propriétés :
Configuration de l'accès public aux blocs :
blockPublicACLS : Erreur
BlockPublicy : Erreur
ignorepublicacls : Erreur
restrictPublicBuckets :
Configuration du contrôle de version :
Statut : Activé
Chiffrement du bucket :
Configuration du chiffrement côté serveur :
- Chiffrement côté serveur par défaut :
Algorithme SSE : « AES256 »
Sécurité :
Bucket d'entreprise :
Type : AWS:: S3:: Bucket
Propriétés :
Configuration de l'accès public aux blocs :
blockPublicACLS : Oui
BlockPublicy : Oui
ignoreRepublicacls :
restrictPublicBuckets :
Configuration du contrôle de version :
Statut : Activé
Chiffrement du bucket :
Configuration du chiffrement côté serveur :
- Chiffrement côté serveur par défaut :
Algorithme SSE : « AES256 »
Empêcher la désactivation des fonctions de sécurité
Empêcher que la désactivation des fonctionnalités de sécurité ait un impact négatif sur votre organisation est à la fois une question de politique et de pratique. Il est recommandé de mettre en place une politique stricte stipulant que les fonctionnalités de sécurité ne peuvent être désactivées que dans des circonstances exceptionnelles. Les incidents nécessitant la désactivation temporaire d'une fonctionnalité pour résoudre un problème ou mettre à jour une application doivent être consignés. Une fois les tâches requises effectuées, il est conseillé de vérifier que la fonctionnalité a bien été réactivée.
Si les fonctionnalités de sécurité doivent être désactivées de manière permanente afin de simplifier les opérations, il est nécessaire de mettre en place des mesures de protection alternatives pour les données concernées, afin de garantir que les pirates informatiques ne puissent pas accéder à ces fonctionnalités en l'absence de protection par défaut. Si les fonctionnalités de protection requises sont désactivées, il n'est qu'une question de temps avant qu'un attaquant ne trouve une porte non verrouillée et n'en profite.
En savoir plus, se dépasser :
Nous vous invitons à consulter la page du blog Security Code Warrior pour obtenir des informations détaillées sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients contre d'autres failles et vulnérabilités de sécurité.
Maintenant que vous avez lu cet article, êtes-vous prêt à identifier et corriger cette vulnérabilité ? Il est tempsde relever le défi ludique de sécurité iMac sur Secure Code Warrior d'affiner et de maintenir à jour toutes vos compétences en cybersécurité Secure Code Warrior
Il s'agit d'une série d'articles hebdomadaires couvrant nos huit principales vulnérabilités « Infrastructure as Code » ; nous vous invitons à revenir la semaine prochaine pour plus d'informations.
Aujourd'hui, les menaces liées à la cybersécurité sont omniprésentes et persistantes. À mesure que de plus en plus d'aspects de notre vie sont numérisés, les cybercriminels sont exposés à des risques plus élevés : trop de codes ne sont pas sécurisés et les données privées ont une valeur considérable. De plus, il est pratiquement impossible de suivre et de défendre tous les aspects de la surface d'attaque après le déploiement d'un programme.
Il existe des moyens d'atténuer certains de ces symptômes, et l'un d'entre eux est évident lorsque des organisations avisées adoptent le concept d'infrastructure en tant que code (IaC). Bien entendu, comme pour tout développement, il existe des pièges en matière de sécurité qui doivent être évités. De plus, étant donné que les développeurs génèrent du code qui sera utilisé pour héberger des applications critiques, la sensibilisation à la sécurité est essentielle à chaque étape du processus.
Alors, comment les développeurs qui découvrent l'environnement des serveurs cloud peuvent-ils améliorer leurs compétences, acquérir de nouvelles connaissances et développer leurs applications tout en renforçant leur sensibilisation à la sécurité ? Nous avons créé la prochaine série Coders Conquer Security afin de résoudre les vulnérabilités courantes de l'IaC. Les prochains articles de blogmettront l'accent sur les mesures que vous, développeurs, pouvez prendre pour commencer à déployer une infrastructure de sécurité sous forme de code au sein de votre organisation.
Commençons.
Il existe une fable dans l'Ouest américain qui raconte l'histoire d'un individu paranoïaque qui croyait que des bandits allaient attaquer et piller sa maison. En conséquence,il investit dans diverses mesures de sécurité, telles que l'installation d'une porte d'entrée ultra-résistante, la pose de barreaux à toutes les fenêtres et la mise à disposition d'un grand nombre d'armes à portée de main. Un soir, alors qu'il dormait, il fut victime d'un cambriolage, car il avait oublié de verrouiller la porte latérale. Les voleurs n'eurent qu'à trouver le dispositif de sécurité défaillant et en profitèrent rapidement.
La désactivation des fonctionnalités de sécurité dans l'infrastructure se présente de la manière suivante. Même si votre réseau dispose d'une infrastructure de sécurité solide, cela ne sera pas efficace si certains éléments sont désactivés.
Avant de nous plonger dans le sujet, permettez-moi de vous proposer un défi :
En accédant au lien ci-dessus, vous serez redirigé vers notre plateforme de formation ludique, où vous pourrez immédiatement vous exercer à surmonter les vulnérabilités des fonctionnalités de sécurité désactivées. (Remarque : elle s'ouvrira dans Kubernetes, mais vous pouvez sélectionner Docker, CloudFormation, Terraform ou Ansible à l'aide du menu déroulant).
Comment vous en sortez-vous ? Si vous avez encore du travail à accomplir, veuillez continuer à lire :
Les fonctionnalités de sécurité peuvent être désactivées pour diverses raisons. Pour certaines applications et certains frameworks, elles peuvent être désactivées par défaut et doivent être activées avant de pouvoir fonctionner. Les administrateurs peuvent également désactiver certaines fonctionnalités de sécurité afin de faciliter l'exécution de certaines tâches sans être constamment confrontés à des défis ou à des blocages (par exemple, rendre public un compartiment de stockage AWS S3). Une fois le travail terminé,ils peuvent oublier de réactiver les fonctionnalités désactivées. Ils peuvent également préférer les laisser désactivées afin de faciliter leur travail à l'avenir.
Pourquoi les fonctionnalités de sécurité désactivées sont-elles si dangereuses ?
Il est déconseillé de désactiver une ou plusieurs fonctionnalités de sécurité pour deux raisons. Tout d'abord, les fonctionnalités de sécurité sont intégrées aux ressources de l'infrastructure afin de prévenir les vulnérabilités, menaces ou failles connues. Si elles sont désactivées, elles ne pourront pas protéger vos ressources.
Les attaquants commencent toujours par rechercher les vulnérabilités faciles à exploiter, et peuvent même utiliser des scripts pour corriger les vulnérabilités courantes. Cela revient à inspecter toutes les voitures garées dans la rue pour vérifier si une portière est ouverte, ce qui est beaucoup plus simple que de briser une vitre. Les pirates informatiques peuvent être surpris de constater que les mesures de sécurité courantes sont désactivées. Cependant, lorsqu'ils constatent cela, ils n'hésitent pas à en tirer parti.
Deuxièmement, la mise en place d'une bonne sécurité suivie de sa désactivation peut créer un faux sentiment de sécurité. Si les administrateurs ignorent que ces défenses ont été désactivées, ils pourraient penser qu'ils sont à l'abri des menaces courantes.
À titre d'exemple illustrant comment un attaquant peut exploiter une fonctionnalité de sécurité désactivée, considérons la fonctionnalité de sécurité AWS S3 qui empêche l'accès public. Grâce au masquage de l'accès public Amazon S3, les administrateurs de compte et les propriétaires de compartiments peuvent facilement mettre en place un contrôle centralisé pour restreindre l'accès public à leurs ressources Amazon S3.Cependant, certains administrateurs rencontrent des difficultés pour accéder aux compartiments S3 et décident de les rendre publics afin de mener à bien leurs tâches dans les meilleurs délais. S'ils omettent d'activer la fonctionnalité de sécurité, les attaquants auront un accès complet aux informations stockées dans ces compartiments S3, ce qui entraînera non seulement une fuite d'informations, mais également des frais supplémentaires liés au transfert de données.
Comparons quelques codes du monde réel ; examinons l'extrait CloudFormation suivant :
Vulnérable :
Bucket d'entreprise :
Type : AWS:: S3:: Bucket
Propriétés :
Configuration de l'accès public aux blocs :
blockPublicACLS : Erreur
BlockPublicy : Erreur
ignorepublicacls : Erreur
restrictPublicBuckets :
Configuration du contrôle de version :
Statut : Activé
Chiffrement du bucket :
Configuration du chiffrement côté serveur :
- Chiffrement côté serveur par défaut :
Algorithme SSE : « AES256 »
Sécurité :
Bucket d'entreprise :
Type : AWS:: S3:: Bucket
Propriétés :
Configuration de l'accès public aux blocs :
blockPublicACLS : Oui
BlockPublicy : Oui
ignoreRepublicacls :
restrictPublicBuckets :
Configuration du contrôle de version :
Statut : Activé
Chiffrement du bucket :
Configuration du chiffrement côté serveur :
- Chiffrement côté serveur par défaut :
Algorithme SSE : « AES256 »
Empêcher la désactivation des fonctions de sécurité
Empêcher que la désactivation des fonctionnalités de sécurité ait un impact négatif sur votre organisation est à la fois une question de politique et de pratique. Il est recommandé de mettre en place une politique stricte stipulant que les fonctionnalités de sécurité ne peuvent être désactivées que dans des circonstances exceptionnelles. Les incidents nécessitant la désactivation temporaire d'une fonctionnalité pour résoudre un problème ou mettre à jour une application doivent être consignés. Une fois les tâches requises effectuées, il est conseillé de vérifier que la fonctionnalité a bien été réactivée.
Si les fonctionnalités de sécurité doivent être désactivées de manière permanente afin de simplifier les opérations, il est nécessaire de mettre en place des mesures de protection alternatives pour les données concernées, afin de garantir que les pirates informatiques ne puissent pas accéder à ces fonctionnalités en l'absence de protection par défaut. Si les fonctionnalités de protection requises sont désactivées, il n'est qu'une question de temps avant qu'un attaquant ne trouve une porte non verrouillée et n'en profite.
En savoir plus, se dépasser :
Nous vous invitons à consulter la page du blog Security Code Warrior pour obtenir des informations détaillées sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients contre d'autres failles et vulnérabilités de sécurité.
Maintenant que vous avez lu cet article, êtes-vous prêt à identifier et corriger cette vulnérabilité ? Il est tempsde relever le défi ludique de sécurité iMac sur Secure Code Warrior d'affiner et de maintenir à jour toutes vos compétences en cybersécurité Secure Code Warrior
Il s'agit d'une série d'articles hebdomadaires couvrant nos huit principales vulnérabilités « Infrastructure as Code » ; nous vous invitons à revenir la semaine prochaine pour plus d'informations.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Aujourd'hui, les menaces liées à la cybersécurité sont omniprésentes et persistantes. À mesure que de plus en plus d'aspects de notre vie sont numérisés, les cybercriminels sont exposés à des risques plus élevés : trop de codes ne sont pas sécurisés et les données privées ont une valeur considérable. De plus, il est pratiquement impossible de suivre et de défendre tous les aspects de la surface d'attaque après le déploiement d'un programme.
Il existe des moyens d'atténuer certains de ces symptômes, et l'un d'entre eux est évident lorsque des organisations avisées adoptent le concept d'infrastructure en tant que code (IaC). Bien entendu, comme pour tout développement, il existe des pièges en matière de sécurité qui doivent être évités. De plus, étant donné que les développeurs génèrent du code qui sera utilisé pour héberger des applications critiques, la sensibilisation à la sécurité est essentielle à chaque étape du processus.
Alors, comment les développeurs qui découvrent l'environnement des serveurs cloud peuvent-ils améliorer leurs compétences, acquérir de nouvelles connaissances et développer leurs applications tout en renforçant leur sensibilisation à la sécurité ? Nous avons créé la prochaine série Coders Conquer Security afin de résoudre les vulnérabilités courantes de l'IaC. Les prochains articles de blogmettront l'accent sur les mesures que vous, développeurs, pouvez prendre pour commencer à déployer une infrastructure de sécurité sous forme de code au sein de votre organisation.
Commençons.
Il existe une fable dans l'Ouest américain qui raconte l'histoire d'un individu paranoïaque qui croyait que des bandits allaient attaquer et piller sa maison. En conséquence,il investit dans diverses mesures de sécurité, telles que l'installation d'une porte d'entrée ultra-résistante, la pose de barreaux à toutes les fenêtres et la mise à disposition d'un grand nombre d'armes à portée de main. Un soir, alors qu'il dormait, il fut victime d'un cambriolage, car il avait oublié de verrouiller la porte latérale. Les voleurs n'eurent qu'à trouver le dispositif de sécurité défaillant et en profitèrent rapidement.
La désactivation des fonctionnalités de sécurité dans l'infrastructure se présente de la manière suivante. Même si votre réseau dispose d'une infrastructure de sécurité solide, cela ne sera pas efficace si certains éléments sont désactivés.
Avant de nous plonger dans le sujet, permettez-moi de vous proposer un défi :
En accédant au lien ci-dessus, vous serez redirigé vers notre plateforme de formation ludique, où vous pourrez immédiatement vous exercer à surmonter les vulnérabilités des fonctionnalités de sécurité désactivées. (Remarque : elle s'ouvrira dans Kubernetes, mais vous pouvez sélectionner Docker, CloudFormation, Terraform ou Ansible à l'aide du menu déroulant).
Comment vous en sortez-vous ? Si vous avez encore du travail à accomplir, veuillez continuer à lire :
Les fonctionnalités de sécurité peuvent être désactivées pour diverses raisons. Pour certaines applications et certains frameworks, elles peuvent être désactivées par défaut et doivent être activées avant de pouvoir fonctionner. Les administrateurs peuvent également désactiver certaines fonctionnalités de sécurité afin de faciliter l'exécution de certaines tâches sans être constamment confrontés à des défis ou à des blocages (par exemple, rendre public un compartiment de stockage AWS S3). Une fois le travail terminé,ils peuvent oublier de réactiver les fonctionnalités désactivées. Ils peuvent également préférer les laisser désactivées afin de faciliter leur travail à l'avenir.
Pourquoi les fonctionnalités de sécurité désactivées sont-elles si dangereuses ?
Il est déconseillé de désactiver une ou plusieurs fonctionnalités de sécurité pour deux raisons. Tout d'abord, les fonctionnalités de sécurité sont intégrées aux ressources de l'infrastructure afin de prévenir les vulnérabilités, menaces ou failles connues. Si elles sont désactivées, elles ne pourront pas protéger vos ressources.
Les attaquants commencent toujours par rechercher les vulnérabilités faciles à exploiter, et peuvent même utiliser des scripts pour corriger les vulnérabilités courantes. Cela revient à inspecter toutes les voitures garées dans la rue pour vérifier si une portière est ouverte, ce qui est beaucoup plus simple que de briser une vitre. Les pirates informatiques peuvent être surpris de constater que les mesures de sécurité courantes sont désactivées. Cependant, lorsqu'ils constatent cela, ils n'hésitent pas à en tirer parti.
Deuxièmement, la mise en place d'une bonne sécurité suivie de sa désactivation peut créer un faux sentiment de sécurité. Si les administrateurs ignorent que ces défenses ont été désactivées, ils pourraient penser qu'ils sont à l'abri des menaces courantes.
À titre d'exemple illustrant comment un attaquant peut exploiter une fonctionnalité de sécurité désactivée, considérons la fonctionnalité de sécurité AWS S3 qui empêche l'accès public. Grâce au masquage de l'accès public Amazon S3, les administrateurs de compte et les propriétaires de compartiments peuvent facilement mettre en place un contrôle centralisé pour restreindre l'accès public à leurs ressources Amazon S3.Cependant, certains administrateurs rencontrent des difficultés pour accéder aux compartiments S3 et décident de les rendre publics afin de mener à bien leurs tâches dans les meilleurs délais. S'ils omettent d'activer la fonctionnalité de sécurité, les attaquants auront un accès complet aux informations stockées dans ces compartiments S3, ce qui entraînera non seulement une fuite d'informations, mais également des frais supplémentaires liés au transfert de données.
Comparons quelques codes du monde réel ; examinons l'extrait CloudFormation suivant :
Vulnérable :
Bucket d'entreprise :
Type : AWS:: S3:: Bucket
Propriétés :
Configuration de l'accès public aux blocs :
blockPublicACLS : Erreur
BlockPublicy : Erreur
ignorepublicacls : Erreur
restrictPublicBuckets :
Configuration du contrôle de version :
Statut : Activé
Chiffrement du bucket :
Configuration du chiffrement côté serveur :
- Chiffrement côté serveur par défaut :
Algorithme SSE : « AES256 »
Sécurité :
Bucket d'entreprise :
Type : AWS:: S3:: Bucket
Propriétés :
Configuration de l'accès public aux blocs :
blockPublicACLS : Oui
BlockPublicy : Oui
ignoreRepublicacls :
restrictPublicBuckets :
Configuration du contrôle de version :
Statut : Activé
Chiffrement du bucket :
Configuration du chiffrement côté serveur :
- Chiffrement côté serveur par défaut :
Algorithme SSE : « AES256 »
Empêcher la désactivation des fonctions de sécurité
Empêcher que la désactivation des fonctionnalités de sécurité ait un impact négatif sur votre organisation est à la fois une question de politique et de pratique. Il est recommandé de mettre en place une politique stricte stipulant que les fonctionnalités de sécurité ne peuvent être désactivées que dans des circonstances exceptionnelles. Les incidents nécessitant la désactivation temporaire d'une fonctionnalité pour résoudre un problème ou mettre à jour une application doivent être consignés. Une fois les tâches requises effectuées, il est conseillé de vérifier que la fonctionnalité a bien été réactivée.
Si les fonctionnalités de sécurité doivent être désactivées de manière permanente afin de simplifier les opérations, il est nécessaire de mettre en place des mesures de protection alternatives pour les données concernées, afin de garantir que les pirates informatiques ne puissent pas accéder à ces fonctionnalités en l'absence de protection par défaut. Si les fonctionnalités de protection requises sont désactivées, il n'est qu'une question de temps avant qu'un attaquant ne trouve une porte non verrouillée et n'en profite.
En savoir plus, se dépasser :
Nous vous invitons à consulter la page du blog Security Code Warrior pour obtenir des informations détaillées sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients contre d'autres failles et vulnérabilités de sécurité.
Maintenant que vous avez lu cet article, êtes-vous prêt à identifier et corriger cette vulnérabilité ? Il est tempsde relever le défi ludique de sécurité iMac sur Secure Code Warrior d'affiner et de maintenir à jour toutes vos compétences en cybersécurité Secure Code Warrior
Il s'agit d'une série d'articles hebdomadaires couvrant nos huit principales vulnérabilités « Infrastructure as Code » ; nous vous invitons à revenir la semaine prochaine pour plus d'informations.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
