mardi, 11 juin 2024

Démasquer les limites des tests d’intrusion annuels

Dans cette interview de Help Net Security, Charles d’Hondt, responsable des opérations chez Ambionics Security, évoque la nécessité d’effectuer des tests d’intrusion continus, car les tests annuels ne suffisent pas. Ils laissent des angles morts et ne peuvent pas répondre aux besoins de sécurité des versions régulières et à l’évolution du paysage des risques.

Pour surmonter cela, les équipes de sécurité et de développement doivent mieux communiquer, intégrer des détails clairs sur la reproduction des vulnérabilités et des recommandations dans leur sécurité. des rapports de préoccupation et offrir aux concepteurs du temps et une formation pour traiter les problèmes de sécurité et améliorer leur compréhension.

De nombreuses entreprises sont en fait habituées à des tests d’intrusion annuels. Que leur diriez-vous sur les « angles morts » dans lesquels ils pourraient résider ?

Les tests d’intrusion annuels se sont révélés efficaces pour découvrir les vulnérabilités, mais ils n’ont pas la capacité de répondre aux besoins de sécurité des versions de routine et à l’évolution du paysage des dangers.

Il faut attendre environ un an pour effectuer un test de sécurité. laissera l’entreprise dans l’ignorance concernant les vulnérabilités présentées par les nouvelles versions de code ou celles ouvertement divulguées.

De nouvelles vulnérabilités sur les innovations connues se développent quotidiennement et doivent être examinées par rapport à la surface d’attaque d’une organisation en temps réel avec une capacité offensante.

La vitesse est un élément essentiel entre les étoiles du danger et l’équipe de sécurité pour résoudre ces vulnérabilités et avoir la capacité de vérifier instantanément une toute nouvelle vulnérabilité par rapport à une surface d’attaque peut changer la donne.

La manière dont les applications Web sont construites a considérablement évolué au cours des dix dernières années. Les approches itératives, telles que Scrum et Agile, le développement de l’architecture, la popularité des microservices et l’adoption du cloud ont conduit à de fréquentes publications de code, à des ajustements d’infrastructure et à des versions cohérentes des services.

Ceux-ci peuvent être aussi de nombreux points faibles s’ils ne sont pas correctement vérifiés à chaque version.

Une petite modification dans une ACL IAM cloud lors de la mise en œuvre d’un nouveau service peut être dévastatrice pour chaque service lié et attendre des mois pour que le prochain pentest détecte le Une toute nouvelle vulnérabilité est assez problématique.

Les tests d’intrusion annuels restent la pratique par défaut dans de nombreuses entreprises et ce depuis une décennie.

De nouvelles pratiques mises à jour devraient être introduites, consistant en des tests continus de pénétration des applications et des installations.

Les développeurs considèrent parfois le contrôle de pénétration constant comme une barrière. Pourquoi pensez-vous que cela se produit et comment peut-on y remédier ?

Les concepteurs peuvent avoir une vision négative du contrôle constant des intrusions s’il est perçu comme une restriction de temps et de ressources ou un manque de communication entre les équipes de sécurité et de développement.

De nouveaux problèmes de sécurité constants pourraient conduire les développeurs à détourner leur attention et, en termes simples, les cycles de développement agiles, peuvent être considérés comme une limitation et un ralentissement de la procédure.

En outre, la sécurité ne peut pas être considérée comme aussi cruciale que les nouvelles fonctions et reléguée, ce qui ne permet pas pour les ressources nécessaires pour répondre aux problèmes de sécurité, tels que le temps ou la formation.

Les tests d’intrusion continus peuvent également indiquer différentes choses sur le marché de la sécurité et ne doivent pas être confondus avec les scanners automatisés, qui peuvent produire des résultats excessivement verbeux et rempli de rapports de faux positifs provoquant beaucoup d’aggravation pour les développeurs.

Ces problèmes peuvent être résolus par de nombreuses méthodes :

  • une bien meilleure intégration dans le reporting des problèmes de sécurité avec des des détails sur la recréation et la suggestion des vulnérabilités
  • un canal de communication développé et facile à utiliser entre les développeurs et les pentesters
  • des ressources, telles que le temps et la formation, destinées aux concepteurs pour gérer la sécurité et améliorer leur compréhension de la sécurité

En termes d’exigences de conformité multi-tests, telles que PCI, comment le contrôle d’intrusion constant rationalise-t-il ce processus ?

Le contrôle constant de la pénétration présente de nombreux avantages en termes d’exigences de conformité. La norme PCI DSS nécessite un test d’intrusion tous les 12 mois ou « après toute mise à niveau ou modification importante des installations ou des applications », des tests d’intrusion constants seront conformes à cet égard et seront rentables sur plusieurs changements d’applications au cours d’une année.

PCI DSS nécessite des analyses ASV tous les 3 mois et de nombreuses plateformes de test d’intrusion en tant que service (PaaST) auront des options pour gérer ce type d’analyse en plus d’un contrôle de pénétration constant.

Pouvez-vous fournir un exemple où le test d’intrusion continu a aidé une entreprise reconnaît-elle des vulnérabilités provenant de modifications rapides dans les environnements cloud et DevOps ?

Nous avons eu le cas d’une entreprise qui avait un cycle DevOps rapide, lors de la sortie d’une nouvelle version de son application web, des outils automatisés déclenchaient une alerte relative à un changement de possession.

Cela a activé une qualification manuelle de l’alerte et un pentest, une modification de configuration a permis d’exposer de toutes nouvelles routes qui ont abouti à l’exécution de commandes et à la prise de contrôle complète du serveur.

En quelques heures , une alerte en temps réel a été envoyée au client.

Avec la possibilité de modifier les résultats et les priorités des tests, comment les entreprises peuvent-elles garantir que leurs rapports de tests d’intrusion continus restent adaptés aux menaces existantes ?

Des rapports en temps réel via un site Web dynamique et un canal d’interaction facile à utiliser entre les groupes techniques de sécurité et de développement permettent à une entreprise d’ajuster ses besoins en matière de correction des vulnérabilités, d’évaluation des risques et de priorisation.

Les fournisseurs de services de détection d’intrusion continue proposent normalement une revérification hebdomadaire de toutes les vulnérabilités, ce qui fournit une évaluation approximative des risques de la surface d’attaque.

Compte tenu du développement rapide des cyber-risques, où voyez-vous l’avenir des tests d’intrusion constants ?

Le contrôle continu d’intrusion est une avancée en soi par rapport aux pratiques existantes dans certaines organisations et devrait être plus largement adopté.

Je pense que l’avenir du contrôle continu d’intrusion vit dans deux évolutions majeures.

La première, dans sa capacité à fournir une intégration complète aux outils et processus d’une organisation afin de rationaliser le reporting et la communication en temps réel.

La 2ème évolution restera dans sa capacité à synchroniser et s’intègre aux options de gestion de la surface d’attaque externe (EASM) et de cybermenace intelligence (CTI) pour fournir une sécurité exhaustive et totale.

Une option EASM aura la capacité d’alimenter une liste complète d’actifs d’un entreprise à surveiller grâce à un contrôle de pénétration constant. L’objectif est de fournir au client une image actualisée et exhaustive de sa surface d’attaque utilisable par un adversaire (le shadow IT en particulier).

Et un service CTI fournira différentes fuites, dont certaines pourront être exploitées via contrôle continu de l’intrusion pour avoir une évaluation complète de la menace positionnée par l’alerte CTI.

Les fuites de secrets du forum en ligne Darknet sur une organisation particulière peuvent être obtenues et utilisées sur les actifs surveillés. Ce qui provoquera une alerte en temps réel avec une évaluation complète des risques.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

xnxx sex download russianporntrends.com hardxxxpics saboten campus freehentai4u.com read manga porn rakhi sex photo ganstagirls.com nani sex video xxx indian girl video download elporno.mobi tamilauntycom bf hd video bf hd video porn555.me anyporn hd tamil beach sex erolenta.com xxx sex boy to boy bustyboobs pakistanixxxx.com nude sexy videos desi sex xvideos.com tubaka.mobi justdesi in free naked dance vegasmpegs.mobi eva grover desi ass lick eroanal.net 69 xvideo 4k xnxx thefuckingtube.com xxii roman numerals translation tamil nayanthara sex sexozavr.com indian porn videos tumblr كلبات سكس porn-arab.net نيك ف الكس y3df comics popsexy.net akhil wife hentai ahri wowhentai.net the sarashina bloodline