Sélectionner une page


Si tu t’es fait prendre partie un Vous savez que dans notre série de récapitulations pour la conférence sur les collisions de cette année, nous avons rendu compte d’une table ronde animée par Chris Wysopal de Veracode. La conférence s’est concentrée sur les risques de l’IA et de l’apprentissage automatique et comprenait des discussions sur la façon de gérer les aspects de sécurité de ces technologies à l’épreuve du temps. ???Surtout? Surtout en ce qui concerne la confidentialité des consommateurs.ツ?

Rencontrez des experts lors du Spectrum Virtual Summit le 27 avril pour obtenir des informations et des conseils qui vous aideront dans votre aventure Cloud Sec

Chris a également eu l’occasion d’organiser sa propre session qui a couvert les aspects critiques de la sécurité des applications modernes et les raisons pour lesquelles les organisations doivent prendre au sérieux les approches centrées sur la sécurité de leur code. Voici ce que nous avons appris.

Sécurisé de haut en bas

Chris a commencé sa session Sécurisé de haut en bas Quand on se rend compte qu’il est important aujourd’hui de penser à la sécurité des applications et des produits à travers les yeux du développeur ou du fabricant. Avec autant d’applications exécutées dans le cloud et tant d’appareils connectés à l’Internet des objets (IoT), Chris a souligné que la surface d’attaque des acteurs menaçants augmente de manière exponentielle, et que toutes les personnes Les risques futurs doivent être pris en compte lors de la construction et de l’utilisation de la technologie.

Les appareils connectés sont partout, a déclaré Chris, mais ils ne sont généralement pas derrière un pare-feu. Habituellement, ces appareils sont connectés à la 5G ou au Wi-Fi. Selon Chris, cela signifie que les appareils doivent essentiellement se sécuriser eux-mêmes et tous les points de connexion auxquels ils communiquent avec d’autres appareils ou posent un risque de sécurité.ツ?

De plus, aujourd’hui, tout est connecté via des API. Nous avions l’habitude d’avoir de grands progiciels monolithiques avec un gros bloc de code. Dit Chris. Aujourd’hui, nous avons beaucoup de petits appareils; Même lorsque les applications s’exécutent dans le cloud, elles sont créées à l’aide de microservices et communiquent entre elles à l’aide d’API. De cette manière, un attaquant pourrait exploiter un appareil ou une application. Cela signifie que les développeurs d’aujourd’hui doivent améliorer la sécurité de leurs API afin d’être plus sûrs demain.

C’est un problème; Chris a souligné lors de sa réunion qu’après 2020 Rapport d’enquête Verizon sur les violations de données43% des violations sont dues à des applications unilatérales. Les développeurs qui travaillent à la création de ces applications unilatérales doivent faire plus attention à leur sécurité.ツ?

Anticipez les tendances

Chris dit que le temps est le plus gros concurrent pour la plupart des organisations, et qu’il existe trois tendances principales qui auront un impact sur la sécurité des produits à l’avenir: la connectivité omniprésente, l’abstraction et la mise en composants, et l’hyper-automatisation de la livraison de logiciels.ツ?

Connectivité omniprésente

Bien que cela entraîne la montée en puissance des API et des appareils IoT, cela se résume en réalité au fait que tout logiciel connecté via le réseau et les API doit penser à se sécuriser. ??? Tout code qui expose une API doit réfléchir à la manière de s’authentifier, de crypter et de se protéger de tout bogue qu’un attaquant pourrait exploiter. ??? Dit Chris. Chris note que nous devons nous assurer que nous avons une sécurité d’API élevée, que nous analysons les API et que nous réfléchissons aux différents environnements de déploiement dans lesquels un appareil pourrait se trouver (par exemple, Wi-Fi ou 5G) pour que ces points soient sûrs.ツ?

Abstraction et mise en composants

Alors que de plus en plus de développeurs s’appuient sur du code open source pour accélérer le développement, les entreprises adoptent une approche de modélisation de la chaîne d’approvisionnement pour valider les options tierces via ces fournisseurs. Par exemple, il est utile d’avoir une nomenclature et un processus bien définis, et de mettre en œuvre des outils de numérisation automatisés pour numériser les éléments en production. L’introduction de la technologie cloud est une responsabilité partagée. Chris le remarqua. ??? Nous devons commencer par accroître la sécurité avec les fournisseurs afin qu’ils puissent remarquer de nouveaux problèmes. C’est le changement d’état d’esprit qui doit se produire lorsque nous utilisons du code open source et des API. Nous devons poursuivre les choses comme le ferait un fabricant.

Hyper-automatisation de la livraison de logiciels

Nous avons toujours automatisé la livraison de logiciels, mais Chris voit la tendance à l’hyper-automatisation. Plus les organisations automatisent chaque partie de la livraison de logiciels. Cela permet le concept de tout comme code, dit Chris, où tout dans le pipeline est vérifié. « C’est la norme maintenant. Une fois le code en place, il n’y a pas de processus manuel. Il peut aller jusqu’au déploiement. » Ce qui rend cela possible, ce sont les infrastructures virtuelles. L’utilisation d’un état d’esprit «sécurité en tant que code» peut aider les organisations à suivre le rythme des exigences de vitesse et d’automatisation. ???ツ?

Compte tenu de ces trois tendances, les mentalités de sécurité en tant que code (SaC) et de conformité en tant que code (CaC) sont essentielles pour soutenir cette innovation sans compromettre la sécurité. ??? Même si nous progressons plus rapidement avec le développement, pouvons-nous progresser plus rapidement avec la sécurité en même temps ??? Chris travaille. ??? Nous utilisons les mêmes techniques pour les tests de sécurité que pour tout le reste afin d’éviter les retards. ???

Ravi, Chris fait remarquer que cela est abordé du point de vue de «l’infrastructure en tant que code». Les attitudes envers les procédures SaC et CaC conduisent à des changements significatifs. Lorsque vous abordez la sécurité des applications dans un état d’esprit SaC, déplacez les mesures de sécurité vers la gauche et implémentez-les plus tôt dans le processus de développement pour repérer les bogues avant qu’ils ne deviennent des problèmes. Lorsque vous déplacez les processus d’analyse et de correction que les entreprises ont exécutés plus tôt dans la production, il est plus facile de tout maintenir dans les délais tout en sauvegardant de haut en bas.ツ?

Si vous avez manqué la première partie de cette série, Vous pouvez le lire ici. L’équipe Veracode a passé un bon moment sur Collision 2021 et nous attendons avec impatience ce qu’ils ont en réserve pour l’année prochaine!ツ?

*** Ceci est un blog syndiqué par Security Bloggers Network Blog de recherche, d’actualités et d’éducation sur la sécurité des applications écrit par mmcbee@veracode.com (mmcbee). Lisez l’article original sur: https://www.veracode.com/blog/customer-news/reporting-live-collision-conference-2021-part-two



Source link

Recent Posts