Décaler La Validation De Sécurité Vers La Gauche

L’approche gauche « Déplacer (sécurité) » dans le cycle de vie du développement logiciel (SDLC) signifie commencer la sécurité plus tôt dans le processus. Lorsque les organisations ont réalisé que les logiciels ne sont jamais parfaits et sont criblés de nombreux trous exploitables, bogues et vulnérabilités de la logique métier qui nécessitent de revenir en arrière pour corriger et corriger, elles ont compris que la création de logiciels sécurisés nécessite l’incorporation et la consolidation de nombreuses ressources.

Cette conclusion a conduit les leaders DevOps et R&D à devenir proactifs, à acquérir la technologie pour trouver et combler ces lacunes à l’avance, dans le but de réduire les coûts et les efforts tout en améliorant la qualité de leurs résultats.

Avec l’émergence complète technologie de validation de sécurité continueles avantages démontrés du « déplacement vers la gauche » en tant qu’élément fondamental du SDLC peuvent désormais être appliqués à votre programme de cybersécurité, avec des résultats dépassant de loin les aspects purement techniques de la gestion de la posture de sécurité.

Au niveau du développement, la conceptualisation du SDLC est le résultat de la convergence de nombreuses pistes de réflexion pour optimiser le processus. Du point de vue de la cybersécurité, le même processus de convergence de pensée a conduit à l’idée de déployer un programme d’assurance de sécurité continue en mettant en œuvre les fondamentaux de Gestion étendue de la posture de sécurité (XSPM) La technologie.

Table des matières hide
1 Le cycle de vie de la gestion de la posture de sécurité
1.1 La productivité prime sur la sécurité, rendons la sécurité productive
1.2 Combiner les deux pour un logiciel sécurisé – les avantages de la cuisson XSPM dans SDLC
2 Créer des résultats exponentiels

Le cycle de vie de la gestion de la posture de sécurité

Comme SDLC, XSPM est né de la nécessité de prendre en considération l’ensemble du cycle de vie de la gestion de la posture de sécurité, y compris la validation d’un point de vue offensif. Depuis l’invention du terme « déplacement vers la gauche », une pléthore de solutions de détection et de réponse intégrables au processus CI/CD a émergé. Pourtant, même en postulant une pile d’outils de détection et de réponse avancée parfaitement intégrée et optimisée, elle souffrira toujours d’un défaut structurel. Détecter et réagir est une approche réactive qui laisse l’initiative entre les mains de l’attaquant et présuppose la capacité de détecter toutes les attaques.

Publicité

En réalité, la nature de plus en plus dynamique du paysage des cybermenaces et la nature asymétrique de la cyberdéfense – un attaquant n’a besoin de réussir qu’une seule fois, alors que les défenseurs doivent bloquer chaque attaque – signifient que se concentrer exclusivement sur l’approche réactive de détection et de réponse est semblable à la dernière guerre. Le moment est venu de passer à un virage plus à gauche vers l’intégration d’un processus proactif de validation continue de la sécurité.

XSPM inclut tous les éléments de validation de sécurité continue et les organise dans un cycle de vie en quatre étapes de la posture de sécurité – évaluer, optimiser, rationaliser, assurer.

Apps
  • L’étape « Évaluer » consiste à lancer un ensemble complet d’attaques couvrant la chaîne de destruction d’attaque du début à la fin.
  • L’étape « Optimisation » identifie les contrôles de sécurité mal configurés, ce qui permet de les optimiser pour souvent compenser les CVE non encore corrigés et réduire la charge de travail de l’équipe informatique chargée des correctifs.
  • L’étape « Rationalisation » évalue l’efficacité de la pile d’outils de détection et de réponse, fournit des informations détaillées pour améliorer leur configuration et identifie les outils qui se chevauchent et les capacités manquantes.
  • La dernière étape, «Assuring», comprend un processus d’analyse dynamique qui peut être personnalisé selon les besoins et utilisé pour visualiser les tendances de la posture de sécurité au fil du temps.

La productivité prime sur la sécurité, rendons la sécurité productive

L’optimisation des programmes de cybersécurité facilitée par le cadre et la technologie de XSPM permet une meilleure utilisation des fonds et des ressources investis dans la cybersécurité. La réduction des chevauchements, la minimisation de la fenêtre d’application des correctifs, la hiérarchisation de la charge de travail, la définition d’indicateurs de performance clés et d’autres avantages résultent directement de l’intégration de la sécurité dès le début plutôt que rétrospectivement.

Pour parvenir à cette optimisation combinée de l’allocation des ressources et de la posture de sécurité, les responsables de la sécurité et de la gestion des risques doivent d’abord établir une base de référence pertinente et validée. Avec des données provenant exclusivement d’une baie de détection et de réponse, la réalité est un processus séquentiel non optimisé qui pousse l’étape de validation proactive de la sécurité au fond de la file d’attente et aboutit à contrarier les équipes DevOps et SOC cloisonnées. Des objectifs mal alignés entre les équipes entraînent un flux chaotique d’informations contradictoires entravant le processus de prise de décision, ralentissant les opérations et pouvant conduire à un déploiement non sécurisé.

Combiner les deux pour un logiciel sécurisé – les avantages de la cuisson XSPM dans SDLC

Lorsque les tests de sécurité ne commencent qu’à la fin du SDLC, les retards causés dans le déploiement en raison de failles de sécurité critiques non couvertes provoquent des divisions entre les équipes DevOps et SOC. La sécurité est souvent reléguée au second plan et il n’y a pas beaucoup de collaboration lors de l’introduction d’un nouvel outil ou d’une nouvelle méthode, comme le lancement d’attaques simulées occasionnelles contre le pipeline CI/CD.

Inversement, une fois qu’une approche complète de validation continue de la sécurité est intégrée dans le SDLC, les émulations quotidiennes des techniques d’attaque via la technologie XSPM intégrée à l’automatisation identifient les erreurs de configuration au début du processus, ce qui encourage une collaboration étroite entre DevSecOps et DevOps. Avec une collaboration inter-équipes intégrée à la fois sur le cycle de vie de la sécurité et du développement logiciel, en travaillant avec une visibilité immédiate sur les implications en matière de sécurité, l’alignement des objectifs des deux équipes élimine les conflits et les frictions d’autrefois nés de la politique interne.

Créer des résultats exponentiels

Le passage à l’extrême gauche avec une validation de sécurité continue complète vous permet de commencer à cartographier et de comprendre les investissements réalisés dans diverses technologies de détection et de réponse et de mettre en œuvre les résultats pour anticiper les techniques d’attaque tout au long de la chaîne de mise à mort et protéger les exigences fonctionnelles réelles.

Le processus fournit aux équipes informatiques tout ce dont elles ont besoin pour identifier les opportunités qui renforcent et stabilisent la gestion de la posture de sécurité dès le départ, en évitant des retards coûteux dans le déploiement et en minimisant le risque de tentatives de violation réussies, tandis que les équipes SOC obtiennent des données précises sur lesquelles construire une menace. stratégie éclairée.

Comment allez-vous être proactif aujourd’hui sur la posture de sécurité de votre entreprise ?

Noter – Cet article est écrit et contribué par Ben Zilberman – Product Marketing Director chez Cymuler.

Rate this post
Publicité
Article précédentSega a envisagé de fabriquer une Saturn et une Dreamcast mini, mais les contraintes de composants la rendaient trop chère
Article suivantComment toujours afficher les URL complètes dans le navigateur Chrome sous Windows 11/10
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici