Home Mode d'emploi Cinq questions de sécurité que chaque développeur doit poser
Applications

Cinq questions de sécurité que chaque développeur doit poser

About The Author

Outline

Les équipes de développement jouent un rôle essentiel dans la sécurité des applications Internet. Bien que les mauvais acteurs constituent la menace la plus importante à laquelle ces équipes sont confrontées, elles sont également confrontées à des défis internes en matière de mise en œuvre de correctifs de sécurité tout en équilibrant les exigences fonctionnelles et non fonctionnelles dans les domaines de l’entreprise, de l’ingénierie et de la sécurité. La vitesse croissante à laquelle les équipes de développement peuvent publier du code, grâce à l’automatisation ci/CD, souligne également l’importance cruciale de l’intégration complète des processus et outils de sécurité dans le processus de développement et de lancement du cycle. Voici cinq questions de sécurité qui vous permettront de mieux connaître vos besoins en matière de sécurité applicative et de réduire le risque d’un événement de sécurité applicative Web ayant un impact sur votre entreprise.

1. Comment identifier et corriger les vulnérabilités dans le code de mon application ?

‍Dynamic (DAST), statique (SAST) et les outils interactifs de test de sécurité des applications aident à détecter les vulnérabilités dans une application Web. Les outils DAST et SAST aident à trouver les faiblesses du runtime de différentes manières. DAST tente d’effectuer des attaques (par exemple, cross-site scripting) sur l’application Web tandis que les outils SAST recherchent des pratiques non sécurisées dans le code source (par exemple, des variables non initialisées). L’utilisation des deux dans un pipeline d’intégration continue/déploiement continu (ci/CD) permet de détecter les défauts dans le cadre du processus devsecops avant qu’ils n’atteignent la production.

Certains référentiels de contrôle de source peuvent s’intégrer à une pratique d’EC pour exécuter des analyses de sécurité à chaque modification. Le référentiel peut exiger que le cabinet d’EC exécute SAST dans le cadre de chaque demande de changement. Si les analyses rapportent des résultats de sécurité, le référentiel peut empêcher l’approbation de la demande de modification. Les équipes qui effectuent ces analyses manuellement ou automatiquement peuvent réduire considérablement leurs risques de sécurité. De même, le CD peut inclure un scan DAST lors du déploiement du nouveau code.

Les outils d’analyse de composition logicielle (SCA) peuvent également être utilisés pour analyser et identifier les vulnérabilités dans les bibliothèques open source ou tierces afin de résoudre les problèmes. Comme les applications Web composables ou progressives exploitant les microservices et les API sont devenues de plus en plus courantes, avoir des protections adéquates pour les API est tout aussi essentiel. Cela inclut des points de contrôle pour la découverte des API, la validation des schémas JSON et la garantie que l’intégrité des types de propriété et des valeurs de propriété ne peut pas être compromise par un attaquant. L’exploitation d’une solution API Gateway pour empêcher l’accès non autorisé aux API ainsi que la protection par script tiers jouent tous un rôle dans la prévention des activités malveillantes et des attaques de chaîne logistique de type Magecart.

Les acquisitions peuvent produire de nombreux résultats. Il faut du temps pour les évaluer et les hiérarchiser tous, même avec l’aide d’un système de gestion des vulnérabilités. La protection des applications Web et des API (WAAP) vous permet de prendre des mesures immédiates pour atténuer les vulnérabilités pendant que votre équipe hiérarchise et applique les correctifs.

En outre, l’exécution d’une analyse DAST sur une application Web ou une API protégée par un WAAP peut améliorer la posture de sécurité globale de l’application. Toute attaque que le WAAP ne parvient pas à arrêter peut être identifiée par l’équipe de sécurité pour un réglage plus précis. Si les règles incluses dans un WAAP ne parviennent pas à atténuer une constatation de l’analyse DAST, une règle WAAP personnalisée peut être écrite et déployée pour traiter la constatation spécifique. L’équipe n’a plus besoin d’attendre un correctif de sécurité ou une attaque imminente pour atténuer ces menaces.

2. Comment puis-je identifier et corriger les vulnérabilités dans ma pile technologique?

‍Modern les piles technologiques d’applications Web comprennent de nombreux composants, comme des serveurs Web et de bases de données et des cadres de développement Web. Certains des composants sont extensibles avec un plug-in, des extensions et des add-ons. Chaque programme de sécurité d’application doit comprendre et appliquer des correctifs de sécurité critiques. Cependant, les correctifs critiques ne peuvent parfois pas être appliqués sans que des modifications du code de l’application nécessitent un sprint de développement.

Les vulnérabilités non corrigées dans les logiciels et les systèmes sont un vecteur d’attaque trop courant pour les cybercriminels. Selon IBM, en 2022, le coût global moyen d’une violation de données dépassait 4,35 millions de dollars américains et le temps nécessaire pour traiter complètement une violation se mesure souvent en mois. L’application de correctifs logiciels permet à l’entreprise de disposer de plus de temps pour corriger une vulnérabilité de sécurité connue. Les équipes des applications Web doivent tester et appliquer des correctifs logiciels régulièrement, par exemple une fois par mois ou à chaque fois qu’il y a une version logicielle. Cela réduit le temps d’existence des failles et le temps dont dispose un attaquant pour les exploiter. Plus les faiblesses demeurent longtemps, plus il est probable que des acteurs malveillants les exploitent.

Un WAAP avec un ensemble complet de règles de sécurité spécifiques à l’application, des règles OWASP plus génériques et des règles personnalisées flexibles pour traiter les cas d’erreur permet aux équipes de développement d’appliquer un correctif immédiat (alias « patching virtuel ») pour empêcher l’exploitation tout en donnant de la marge de manœuvre pour corriger et mettre à jour le code de l’application. En outre, les équipes de sécurité doivent insister sur les solutions WAAP qui bloquent automatiquement ou facilement l’accès aux fichiers et chemins sensibles du système d’exploitation.

Bien que l’exécution d’un WAAP dans un environnement de préparation ou d’assurance qualité puisse permettre de déterminer si une configuration WAAP particulière empêchera une attaque, rien ne peut remplacer l’exécution du WAAP contre le trafic Web de production en direct. Découvrez comment nos fonctionnalités de mode WAAP double permettent aux équipes de sécurité de tester de nouvelles règles WAAP sur le trafic de production, offrant ainsi aux équipes la capacité d’observation et les contrôles nécessaires pour arrêter les menaces émergentes et réduire considérablement le temps de réponse.

3. Quel est l’impact des événements de sécurité sur la capacité du serveur ?‍

Équilibrer la capacité des serveurs et les coûts du cloud est un compromis entre l’expérience client et les besoins de l’entreprise. Cependant, allouer la capacité du serveur pour accueillir des utilisateurs illégitimes n’est pas la meilleure approche.

Bien qu’il subsiste une menace d’ attaques DDoS de haut niveau provenant de menaces persistantes avancées (APT) telles que Killnet, qui ont ciblé des institutions gouvernementales japonaises et des sites Web d’aéroports américains à l’été et à l’automne 2022, il est beaucoup plus courant de voir des attaques dans la plage multi-Gbit/s. Selon NETSCOUT, une attaque DDoS se produit toutes les trois secondes. Outre l’utilisation de la bande passante uniquement pour mesurer une attaque DDoS, les taux de requêtes (c’est-à-dire les requêtes par seconde (RPS) ou le million de paquets par seconde (Mpps)) sont un facteur tout aussi important dans la protection de l’infrastructure applicative. Ces événements de sécurité provenant de scanners ou de botnets qui frappent des applications Web peuvent ne pas faire l’actualité, mais peuvent avoir un impact sur les expériences de vos clients sur votre site.

L’exploitation d’un WAAP basé sur le cloud avec des capacités à grain fin pour limiter le trafic et atténuer les attaques vers les points d’extrémité critiques peut filtrer une grande partie de ce trafic indésirable avant qu’il n’affecte votre application Web, préservant ainsi la capacité du serveur pour les utilisateurs réels.

4. Y a-t-il des exigences de conformité que je dois respecter?

‍Depending pour votre secteur et votre type d’application, votre application devra peut-être être conforme aux règlements de l’industrie. Si votre site traite les paiements par carte de crédit, il doit probablement être conforme à la norme PCI. Votre entreprise devra peut-être se conformer à la norme SOC 2 en raison de la nature sensible des données que votre application utilise et conserve. Bon nombre de ces réglementations exigent l’utilisation d’un WAAP.

Même en l’absence de réglementations sectorielles, vous pouvez envisager de suivre les meilleures pratiques et directives de l’industrie. Vous pouvez utiliser le Center for Internet Security Controls ou AWS Well-Architected Framework. Les deux recommandent l’utilisation d’un WAAP car il peut inspecter et filtrer le trafic Web malveillant.

5. Quel est le processus de mise à jour/mise hors service de mon application ?

‍Applications construits sur des piles techniques plus anciennes devraient être mis à jour ou mis hors service. De nombreuses entreprises ne peuvent plus réparer un ancien code d’application si la pile technique n’est pas maintenue. Équilibrer la sécurité avec les besoins de l’entreprise peut nécessiter une solution provisoire. L’exécution d’une analyse DAST complète et d’un WAAP soigneusement réglé avec des règles personnalisées appropriées si nécessaire vous permet d’exécuter des applications Web en toute sécurité jusqu’à ce qu’elles soient mises à niveau ou mises hors service.

‍Have plus de questions?

‍Securing vos applications Web sont une tâche importante qui nécessite un équilibre entre la sécurité, l’ingénierie et les intérêts commerciaux. Parfois, ces intérêts entrent en conflit, ce qui rend difficile pour les développeurs de prendre des mesures.

Un WAAP peut aider à combler cet écart pendant que l’équipe hiérarchise les menaces et implémente des correctifs dans votre pipeline ci/CD. Nos outils WAAP Insights puissants et rentables ont réduit les obstacles à l’adoption de WAAP.

Contactez-nous pour obtenir toutes vos questions sur le renforcement de votre sécurité Web et obtenir des réponses à nos WAAP Insights.