Les équipes de développement jouent un rôle essentiel dans la sécurité des applications Internet. Si les mauvais acteurs constituent la menace la plus importante que ces équipes rencontrent, elles sont également confrontées à des défis internes lors de la mise en œuvre de correctifs de sécurité tout en équilibrant les exigences fonctionnelles et non fonctionnelles dans les domaines de l’entreprise, de l’ingénierie et de la sécurité. La vitesse croissante à laquelle les équipes de développement peuvent publier du code, grâce à l’automatisation ci/CD, souligne également l’importance cruciale de l’intégration complète des processus et outils de sécurité dans le processus de développement et de cycle de publication. Voici cinq questions de sécurité qui vous permettront de mieux connaître vos besoins en matière de sécurité des applications et de réduire le risque qu’un événement de sécurité des applications Web affecte votre entreprise.
1. Comment puis-je identifier et corriger les vulnérabilités dans le code de mon application ?
Dynamic (DAST), statique (SAST) et les outils de test de sécurité des applications interactives aident à détecter les vulnérabilités dans une application Web. Les outils DAST et SAST aident à trouver les faiblesses de l’exécution de différentes manières. DAST tente d’exécuter des attaques (par exemple, des scripts inter-sites) sur l’application Web tandis que les outils SAST recherchent des pratiques non sécurisées dans le code source (par exemple, des variables non initialisées). L’utilisation des deux dans un pipeline d’intégration continue/déploiement continu (ci/CD) aide à détecter les failles dans le cadre du processus devsecops avant qu’elles n’atteignent la production.
Certains référentiels de référentiel tiers peuvent s’intégrer à une pratique d’EC pour exécuter des analyses de sécurité à chaque modification. Le référentiel peut exiger que la pratique ci exécute SAST dans le cadre de chaque demande de changement. Si les analyses signalent des résultats de sécurité, le référentiel peut empêcher l’approbation de la demande de changement. Les équipes qui effectuent ces analyses manuellement ou automatiquement peuvent réduire considérablement leurs risques de sécurité. De même, le CD peut inclure une analyse DAST lors du déploiement du nouveau code.
Les outils d’analyse de composition logicielle (SCA) peuvent également être utilisés pour analyser et identifier les vulnérabilités dans les bibliothèques open source ou tierces afin de résoudre les problèmes. Comme les applications web composables ou progressives exploitant les microservices et les API sont devenues plus courantes, il est tout aussi essentiel de disposer de protections adéquates pour les API. Cela inclut des points de contrôle pour la découverte d’API, la validation de schéma JSON et la garantie que l’intégrité des types de propriété et des valeurs de propriété ne peut pas être compromise par un attaquant. L’utilisation d’une solution API Gateway pour empêcher l’accès non autorisé aux API ainsi que la protection de scripts tiers jouent tous un rôle dans la prévention des activités malveillantes et des attaques de la chaîne logistique de type Magecart.
Les numérisations peuvent produire de nombreux résultats. Il faut du temps pour les évaluer et les hiérarchiser toutes, même avec l’aide d’un système de gestion des vulnérabilités. La protection des applications Web et des API (WAAP) vous permet de prendre des mesures immédiates pour atténuer les vulnérabilités pendant que votre équipe hiérarchise et applique les correctifs.
En outre, exécuter une analyse DAST sur une application Web ou une API protégée par un WAAP peut améliorer la posture de sécurité globale de l’application. Toute attaque que le WAAP ne parvient pas à arrêter peut être identifiée par l’équipe de sécurité pour un réglage ultérieur. Si les règles incluses avec un WAAP ne parviennent pas à atténuer une constatation de l’analyse DAST, une règle WAAP personnalisée peut être écrite et déployée pour traiter la constatation spécifique. L’équipe n’a plus besoin d’attendre un correctif de sécurité ou une attaque imminente pour atténuer ces menaces.
2. Comment puis-je identifier et corriger les vulnérabilités dans ma pile technologique?
Modern les piles de technologie d’application Web comprennent de nombreux composants, tels que des serveurs Web et de base de données et des cadres de développement Web. Certains des composants sont extensibles avec un plug-in, des extensions et des Add-ons. Disposer d’un inventaire de chaque composant tiers et comprendre et appliquer les correctifs de sécurité critiques doit faire partie de chaque programme de sécurité des applications. Cependant, les correctifs critiques ne peuvent parfois pas être appliqués sans des modifications du code de l’application nécessitant un sprint de développement.
Les vulnérabilités non corrigées dans les logiciels et les systèmes sont un vecteur d’attaque trop courant pour les cybercriminels. Selon IBM, en 2022, le coût global moyen d’une violation de données dépassait 4,35 millions de dollars et le temps nécessaire pour remédier pleinement à une violation est souvent mesuré en mois. L’application de correctifs logiciels donne à l’entreprise plus de temps pour corriger une faille de sécurité connue. Les équipes d’applications Web doivent tester et appliquer les correctifs logiciels régulièrement, par exemple tous les mois ou chaque fois qu’il y a une version logicielle. Cela réduit les failles temporelles et le temps qu’un attaquant a pour les exploiter. Plus les faiblesses subsistent longtemps, plus il est probable que des acteurs malveillants les exploitent.
Un WAAP avec un ensemble complet de règles de sécurité spécifiques à l’application, des règles OWASP plus génériques et des règles personnalisées flexibles pour traiter les cas d’angle permet aux équipes de développement d’appliquer une correction immédiate (alias «correctif virtuel») pour empêcher l’exploitation tout en donnant une marge de manœuvre pour corriger et mettre à jour le code de l’application. De plus, les équipes de sécurité doivent insister sur des solutions WAAP qui bloquent automatiquement ou facilement l’accès aux fichiers et chemins sensibles du système d’exploitation.
Bien que l’exécution d’un WAAP dans un environnement de préparation ou d’assurance qualité puisse permettre de savoir si une configuration WAAP particulière empêchera une attaque, rien ne remplace l’exécution du WAAP contre le trafic Web de production en direct. Découvrez comment nos fonctionnalités de mode WAAP double permettent aux équipes de sécurité de tester de nouvelles règles WAAP sur le trafic de production, offrant aux équipes l’observabilité et les contrôles nécessaires pour arrêter les menaces émergentes et réduire massivement le temps de réponse.
3. Quel est l’impact des événements de sécurité sur la capacité du serveur ?
Équilibrer la capacité des serveurs et les coûts du cloud est un compromis entre l’expérience client et les besoins de l’entreprise. Cependant, l’allocation de capacité de serveur pour accueillir les utilisateurs illégitimes n’est pas la meilleure approche.
Bien qu’il subsiste une menace d’attaques DDoS très médiatisées provenant des menaces persistantes avancées (APT) telles que Killnet qui a ciblé les institutions gouvernementales japonaises et les sites Web des aéroports américains à l’été et à l’automne 2022, il est beaucoup plus courant de voir des attaques dans la plage de plusieurs Gbps. Selon NETSCOUT, une attaque DDoS se produit toutes les trois secondes. Outre l’utilisation de la bande passante uniquement pour mesurer une attaque DDoS, les taux de requêtes (c’est-à-dire les requêtes par seconde (RPS) ou les millions de paquets par seconde (Mpps)) sont un facteur tout aussi important dans la protection de l’infrastructure applicative. Ces événements de sécurité provenant de scanners ou de botnets qui frappent des applications Web peuvent ne pas faire la nouvelle, mais peuvent avoir un impact sur l’expérience de vos clients sur votre site.
Tirer parti d’un WAAP basé sur le cloud avec des capacités à grain fin pour limiter le débit du trafic et atténuer les attaques sur les terminaux critiques peut filtrer une grande partie de ce trafic indésirable avant qu’il n’affecte votre application Web, préservant ainsi la capacité du serveur pour les utilisateurs réels.
4. Y a-t-il des exigences de conformité que je dois respecter?
Depending pour votre industrie et votre type d’application, votre application devra peut-être être conforme aux règlements de l’industrie. Si votre site traite les paiements par carte de crédit, il doit probablement être conforme à la norme PCI. Votre entreprise peut avoir besoin de respecter la conformité SOC 2 en raison de la nature sensible des données que votre application utilise et conserve. Bon nombre de ces réglementations exigent l’utilisation d’un WAAP.
Même lorsqu’aucune réglementation de l’industrie n’est applicable, vous pouvez envisager de suivre les meilleures pratiques et directives de l’industrie. Vous pouvez utiliser les contrôles Center for Internet Security ou AWS Well-Architected Framework. Les deux recommandent d’utiliser un WAAP car il peut inspecter et filtrer le trafic Web malveillant.
5. Quel est le processus de mise à jour/désaffectation de mon application ?
Applications construit sur des piles de technologie plus anciennes devrait être mis à jour ou mis hors service. De nombreuses entreprises ne peuvent plus réparer le code d’application plus ancien si la pile technologique n’est pas maintenue. L’équilibre entre la sécurité et les besoins de l’entreprise peut nécessiter une solution provisoire. L’exécution d’une analyse DAST complète et d’un WAAP soigneusement réglé avec des règles personnalisées appropriées si nécessaire vous permet d’exécuter des applications Web en toute sécurité jusqu’à ce qu’elles soient mises à niveau ou désaffectées.
Have plus de questions?
Securing vos applications Web sont une tâche importante qui nécessite un équilibre entre la sécurité, l’ingénierie et les intérêts commerciaux. Parfois, ces intérêts entrent en conflit, ce qui rend difficile pour les développeurs de prendre des mesures.
Un WAAP peut aider à combler cet écart pendant que l’équipe hiérarchise les menaces et implémente des correctifs dans votre pipeline ci/CD. Notre puissant et rentable WAAP Insights a abaissé la barrière à l’adoption de WAAP.
Contactez-nous pour obtenir toutes vos questions sur le renforcement de votre sécurité Web et nos WAAP Insights répondus.
