vendredi, 1 mars 2024

3 bonnes pratiques de sécurité pour toutes les équipes DevSecOps

Cela fait plus de 10 ans depuis que Shannon Lietz a présenté le terme DevSecOps, dans l’intention de donner à la sécurité une place à la table. avec les développeurs et opérateurs informatiques.

La question est : où en est la sécurité depuis lors ? Les groupes DevSecOps disposent-ils de la culture, des pratiques et des outils dont ils ont besoin pour lancer l’innovation en production beaucoup plus rapidement, mais également de manière fiable et ferme ?

L’étude SANS DevSecOps récemment publiée montre un attrait considérable. De plus en plus d’organisations cherchent à déplacer la sécurité vers la gauche pour s’assurer que la sécurité occupe une place importante dans leurs pratiques de développement.

Plus 50 % des personnes interrogées ont déclaré avoir traité d’importants dangers et vulnérabilités en matière de sécurité en 7 jours ou mieux. Même si près de 30 % des participants ont déclaré effectuer des déploiements hebdomadaires en production, seuls 20 % examinaient ou évaluaient les vulnérabilités de sécurité à une vitesse comparable.

De plus, le taux d’adoption des pratiques DevSecOps a culminé à 61 % pour l’automatisation et à 50 % pour la combinaison continue (CI). De nombreuses organisations recherchent toujours une sécurité pleinement développée et un déploiement constant.

3 bonnes pratiques de sécurité pour DevSecOps

Les leaders de l’innovation et les équipes DevSecOps se battent pour déterminer les pratiques de sécurité à prioriser et à faire évoluer.

L’étude SANS répertorie plus de 25 pratiques et méthodes de sécurité qu’au moins 50 % des personnes interrogées ont jugées utiles. L’enquête identifie également huit approches basées sur le code, mais moins de 30 % des participants ont déclaré les avoir effectivement utilisées pour au moins 75 % de leur base de code.

Bien que de nombreuses pratiques DevSecOps doivent être prises en compte, les experts en sécurité partagent une opinion. message constant sur les fondamentaux du DevSecOps.

Frank Schugar, PDG d’Aerstone, déclare : « Gardez à l’esprit de « construire la sécurité, n’essayez pas de la renforcer », ce qui signifie que « si vous appliquez une bonne procédure d’exigences, vous devez inclure la sécurité ». exigences, pas simplement les exigences fonctionnelles. exiger des garde-fous de sécurité plutôt que des obstructions de sécurité dans les politiques et les outils. facteurs. Les trois facteurs suivants sont probablement mes candidats pour les groupes qui souhaitent aller à gauche et intégrer la sécurité dans leur cycle de vie de développement d’applications logicielles et leurs pratiques DevSecOps :

  1. Instituer la sécurité dans les stratégies axées sur les API
  2. Automatiser l’analyse du code
  3. Standardiser les pratiques d’observabilité des informations

1. Instituer la sécurité dans les techniques API-first

Depuis que la célèbre API de Jeff Bezos est devenue obligatoire, les équipes de développement ont en fait identifié l’importance des techniques API-first.

De nombreuses équipes de développement construisent des API pour un usage interne, et les groupes avancés acceptant les architectures de microservices utilisent les entrées API pour faire évoluer et prendre en charge les capacités de développement et opérationnelles des API. Les API sont essentielles au développement de produits de données et de conceptions d’organisation, et elles permettent la prochaine génération d’apprentissage automatique ouvert et de conceptions de grands langages.

« Les API sont désormais essentielles aux développeurs, depuis la spécification des spécifications et des accords d’API jusqu’à la gestion de nombreuses API non gérées et gérées », déclare Ivan Novikov, PDG de Wallarm.

Rapport API ThreatStats de Wallarm Q3 ‘2023 programme 239 vulnérabilités API déterminées au 3ème trimestre, dont 33% liées à l’autorisation, à l’authentification et à l’accès au contrôle. « Cette tendance met en évidence l’importance croissante de la sécurité des API dans le développement, ce qui en fait un aspect important à résoudre pour garantir des procédures de développement de logiciels robustes et sécurisées et atteindre les résultats souhaités par l’entreprise », déclare Novikov.

Le rapport note top Menaces de sécurité des API, constituées d’injections, de failles d’authentification, de problèmes intersites, de fuites d’API et de contrôles d’accès endommagés.

Ainsi, même si de nombreuses organisations ont adopté les meilleures pratiques d’exécution d’API, certaines ne l’ont pas fait. complètement déplacé vers la gauche et utilisé des pratiques de sécurité lors de l’avancement de l’API. L’ampleur et la rapidité avec lesquelles les grands groupes DevSecOps entreprennent pour établir des API, et les microservices recommandent que davantage d’entre eux envisagent de passer à des méthodes d’API axées sur la sécurité.

2. Automatiser l’analyse du code

L’analyse du code pour détecter les vulnérabilités était autrefois un processus manuel et effectuée dans le cadre de disciplines définies ou mise en place comme une action tardive dans le processus d’avancement. Aujourd’hui, il existe de nombreux outils d’analyse de code statique, également appelés outils de contrôle de sécurité des applications fixes (SAST), que les groupes DevSecOps peuvent prendre en compte.

Carl Froggett, CIO de Deep Instinct, affirme que les applications d’aujourd’hui sont bien plus que du simple code. « Au fur et à mesure que les fichiers, les données, le code et les composants sont intégrés dans un référentiel DevOps, ils doivent être analysés à la recherche de contenu malveillant lors de leur consommation et pendant leur disponibilité dans le référentiel », explique-t-il.

« Un service d’analyse de sécurité doit être facilement disponible et revérifié avant toute publication pour examen et diffusion à la production ou aux clients et pendant tout élément des pipelines CI/CD. Plus un risque est détecté tôt, plus il est facile il s’agit de réparer et moins cela perturbe l’ensemble du pipeline. « 

Les outils d’analyse de code peuvent détecter de nombreuses erreurs de conception courantes qui constituent des risques de haute sécurité. « La révélation inattendue d’astuces dans le code source est à l’origine de nombreux événements de sécurité depuis de nombreuses années », déclare Kyle Tobener, responsable de la sécurité et des technologies de l’information chez Copado.

« En intégrant une analyse secrète dans votre pipeline DevOps, vous pouvez détecter et empêcher la fuite de mots de passe et de clés API dans votre code. »

L’analyse de code finira par être encore plus efficace. un outil important alors que les organisations découvrent l’utilisation de l’IA générative dans l’organisation et où les copilotes et les grands modèles de langage ont un impact sur l’avancement des logiciels. Les groupes Devsecops doivent également penser à étendre leurs pratiques de tests constants pour prendre en charge les capacités d’IA générative.

Alors que SAST aide les développeurs à reconnaître les vulnérabilités avant de passer en production, Dan Garcia, RSSI chez EDB, recommande d’inclure un contrôle de sécurité dynamique des applications ( DAST). « DAST est une forme de test sur l’environnement d’exécution qui exécute des méthodes automatisées à partir des acteurs dangereux, permettant aux équipes d’étendre leur couverture de test à mesure que la plateforme s’étend », explique-t-il.

Si vous investissez dans des logiciels l’avancement des applications, l’architecture cloud native et les pipelines CI/CD, il n’y a aucune excuse pour ne pas inclure des capacités d’analyse de code pour examiner le code et mettre en évidence les vulnérabilités de sécurité.

3. Standardiser les pratiques d’observabilité des données

Je viens de commémorer la publication de mon 1 000e court article, après près de 20 ans de blogging sur les meilleures pratiques en matière de technologie, de données et de transformation numérique.

J’ai commencé à bloguer sur partagez ce que j’ai découvert en tant que CTO de start-up, et mon tout premier message concernait la journalisation des applications. À cette époque, j’étais concepteur, ingénieur en fiabilité du site Web et opérationnel informatique pour ma startup. Ainsi, lorsqu’il y avait un incident de production, c’était moi qui le réparais, identifiais la cause première et déterminais si et comment réparer les problèmes d’application. .

À l’époque, la journalisation des applications était le moyen le plus simple d’obtenir des informations d’observabilité, mais aujourd’hui, on assiste à une expansion des outils et à une explosion des sources d’informations pour aider les développeurs et les SRE à mieux comprendre les performances des applications en production.

C’est là que réside l’obstacle actuel, et Jeremy Burton, PDG d’Observe, Inc., déclare : « De nombreux outils utilisés pour résoudre les problèmes dans les applications distribuées modernes sont cloisonnés – créés à l’origine pour soit évaluer les journaux, surveiller métriques ou imaginer des traces – et n’ont jamais été conçus pour gérer les volumes de données que nous voyons aujourd’hui. « 

Si l’observabilité des applications, l’amélioration de la fiabilité et l’augmentation des performances sont les objectifs, les groupes DevSecOps découvriront de nombreux outils et pratiques auxquelles il faut réfléchir. Les options d’observabilité incluent des outils de surveillance des applications, des plateformes AIops et des outils SRE pour gérer les objectifs de niveau de service.

DevSecOps doit élargir la portée de l’observabilité dans 2 domaines. L’une d’entre elles est l’observabilité de la sécurité pour couvrir l’ensemble de la pile, composée des applications, de l’intégration et de l’infrastructure cloud. « L’observabilité de la sécurité comprend la collecte d’informations provenant de divers outils et systèmes de sécurité, notamment les journaux réseau, les services de sécurité des points finaux et les plateformes de gestion des informations et des événements de sécurité (SIEM), puis l’utilisation de ces informations pour obtenir un aperçu des dangers potentiels », explique David Linthicum.

Les DevSecOps doivent également étendre les pratiques d’observabilité au domaine des opérations de données et des modèles d’intelligence artificielle (MLops), étant donné que les préoccupations dans ces domaines peuvent également affecter la fiabilité, l’efficacité et la sécurité.

« Shift L’observabilité des données à gauche indique une gestion proactive des incidents de données à un stade précoce et une minimisation des effets potentiels et des coûts associés aux problèmes de données », déclare Rohit Choudhary, co-fondateur et PDG d’Acceldata. « Cela garantit non seulement la fiabilité et l’exactitude des données consommées par les utilisateurs, mais garantit également la stabilité et la confiance des processus et des prises de décision en aval. »

MLops est un pipeline de livraison de modèles d’intelligence artificielle comparable à celui de CI. /CD est aux applications et à l’infrastructure ce que le code (IaC) est aux architectures cloud. Intégrer l’observabilité dans MLops permet de suivre les problèmes de sécurité, tels que les acteurs à risque activant des pipelines ou contrôlant les données.

Phil Morris, directeur général de NetSPI, suggère d’étendre le développement aux pratiques MLops et déclare : « Dans l’environnement changeant d’aujourd’hui, le Le travail, les procédures et les contrôles de modification qui composent généralement le terme devops ne pensent pas aux objectifs et aux paradigmes des MLOps. « 

Avec autant de méthodes, d’outils et de dangers que l’amélioration de l’observabilité peut gérer, le Ce qu’il faut retenir pour les équipes DevSecOps est de savoir où produire les exigences. Si chaque application, pipeline d’informations et modèle de ML utilise diverses conventions, pratiques et outils d’appel d’observabilité, il devient difficile pour les SRE et les centres d’opérations de sécurité (SOC) de déterminer et de traiter rapidement les problèmes de sécurité.

Au-delà le top 3

J’ai mis en évidence trois pratiques de sécurité susceptibles d’avoir un impact sur de nombreux groupes DevSecOps et pour lesquelles des investissements et des exigences constants peuvent faire face à de nombreux risques de sécurité.

Le rapport sur les SAN met en évidence de nombreuses autres pratiques de sécurité des applications. qui doivent déjà être répandus dans les organisations informatiques, comme le contrôle des intrusions par des tiers, la formation à la sécurité et la mise en œuvre d’un logiciel de pare-feu d’application Web (WAF). D’autres pratiques, telles que l’analyse de la sécurité des conteneurs et les plates-formes de protection des applications cloud natives, sont pertinentes lorsque le DevSecOps est effectué sur des architectures modernisées.

Le choix des domaines de sécurité sur lesquels se concentrer ne devient pas plus simple, mais il y a trop de dangers lorsque l’informatique se concentre sur la sécurité. Au lieu de cela, les équipes doivent s’engager dans les pratiques de sécurité DevSecOps continues.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici