Dans le paysage en constante évolution de la cybersécurité, la sécurité des produits occupe une place centrale. DevSecOps se précipite, fusionnant de manière transparente les pratiques de sécurité dans DevOps, permettant aux équipes de relever les défis. Plongeons-nous dans DevSecOps et explorons comment la collaboration peut donner à votre équipe l’avantage de combattre les cyber-méchants.
Sécurité des applications et sécurité des produits
Malheureusement, les équipes de sécurité des applications interviennent souvent tardivement dans le processus de développement. Ils maintiennent le niveau de sécurité des logiciels exposés, garantissant l’intégrité et la confidentialité des données consommées ou produites. Ils se concentrent sur la sécurisation des flux de données, l’isolation des environnements avec des pare-feu et la mise en œuvre d’une authentification utilisateur et d’un contrôle d’accès solides.
Les équipes de sécurité des produits visent à garantir la fiabilité intrinsèque des applications. Ils recommandent des outils et des ressources, les mettant à la disposition des développeurs et des opérations. Dans l’approche DevSecOps, chaque équipe est responsable de la sécurité des applications qu’elle crée. Ces équipes appliquent des pratiques de codage sécurisées, effectuent des tests statiques et dynamiques et s’assurent que les applications résistent à l’exploitation, que les données sensibles restent sécurisées et que les applications peuvent gérer les charges et les attaques.
Renforcer la sécurité des produits
La guilde SecOps, qui intervient dans les équipes produit, a généralement un rôle transversal, assurant la cohérence entre les projets pour des raisons technologiques et financières. Ils encouragent les équipes DevOps à utiliser les outils de sécurité sélectionnés et à assurer une mise en œuvre correcte. Cette étape rationalise les ressources de sécurité et une collaboration plus poussée permet à chaque équipe DevOps de bénéficier du travail et de l’expérience des autres.
Il pourrait y avoir un moyen simple de renforcer la sécurité des produits avec des outils collaboratifs :
1 — Planifier l’atténuation
En cas d’incident de sécurité ou de vulnérabilité, savoir que les dommages potentiels sont identifiés et maîtrisés est obligatoire pour SecOps. C’est pourquoi offrir des informations de profilage et des moyens aux utilisateurs de mettre le logiciel en bac à sable figure parmi les meilleures choses qu’ils puissent faire. Cela peut commencer par l’utilisation de conteneurs avec des privilèges limités, mais la conception d’un profil de sécurité peut aller plus loin. La fourniture du profil AppArmor ou des filtres Seccomp garantit que même si l’application est compromise, le potentiel de l’attaquant et la surface d’attaque restent hautement limités et connus. Les équipes de réponse aux incidents et médico-légales vous en seront reconnaissantes.
2 — Identifiez les comportements anormaux
Les développeurs peuvent identifier les signaux d’erreur lors du développement de l’application, généralement sous la forme de messages d’erreur dans les journaux. Les équipes DevOps peuvent déterminer si certaines occurrences d’erreurs signifient un comportement anormal ou offensant en catégorisant les messages d’erreur et en les associant à un comportement anormal dans les référentiels d’artefacts partagés sur Github ou toute autre plate-forme collaborative. L’utilisation de la journalisation structurée facilite également leur analyse ultérieure.
3 — Comparer, compter et corréler
Ces indicateurs doivent être comparés, comptés et corrélés. Plusieurs tentatives d’authentification infructueuses ou tentatives de soumettre des données ou des formats de document incorrects sont des marqueurs fiables d’un comportement inattendu. S’appuyer sur un outil centralisé comme un SIEM pour cette tâche peut contredire certains principes DevOps. Au lieu de cela, les décisions d’application doivent être prises rapidement et localement, en s’adaptant au rythme de l’application si nécessaire. Il existe de nombreux langages de description, permettant la génération de scénarios comportementaux directement à partir des données fournies par le développeur avec une intégration minimale dans le processus CI/CD.
4 — Passez à l’action
Une fois le comportement déviant identifié, des mesures doivent être prises pour protéger l’application. Les actions peuvent inclure le ralentissement d’un flux qui pourrait nuire aux capacités de traitement d’une application, la révocation de l’accès d’un attaquant ou l’interdiction de son IP. Ceux qui ont un SOAR peuvent l’utiliser pour réagir rapidement aux événements de sécurité, tandis que d’autres peuvent préférer une prise de décision décentralisée à l’aide d’outils tels que FouleSec pour s’interfacer avec des interfaces Web, des serveurs d’authentification ou des pare-feu.
5 — Partager les signaux de sécurité
Comme SecOps travaille souvent avec plusieurs équipes DevOps, les outils qui reconnaissent les comportements anormaux et offrent des réponses graduées sont utiles. Le partage des signaux de sécurité permet à chaque équipe DevOps de bénéficier des expériences des autres. En associant un scénario à chaque bibliothèque de code pour caractériser un comportement anormal, on gagne du temps chaque fois qu’une autre équipe utilise cette bibliothèque. Les scénarios stockés dans des référentiels locaux sont accessibles à tous, permettant la création d’un cadre de sécurité pour chaque application qui les intègre. Au final, la sécurisation des applications s’appuie largement sur l’expérience préalablement acquise par l’ensemble des équipes DevSecOps.
6 — Partagez plus
Des outils collaboratifs permettent de partager des signaux d’attaque, en utilisant des frameworks comme MITRE ATT&CK par exemple. Une source agressive interdite pour comportement offensant sur une application peut être interdite sur toutes les applications de l’entreprise. Par exemple, chaque Moteur de sécurité CrowSec pourrait partager des signaux à l’échelle locale ou mondiale, de sorte que les adresses IP des attaquants soient reconnues et immédiatement bloquées, protégeant les applications et les données tout en allégeant la charge sur les infrastructures de sécurité.
Plus forts ensemble
Les équipes DevSecOps s’unissent pour sécuriser leurs applications, favorisant la collaboration pour une fiabilité et une sécurité des données de premier ordre. Adopter des outils qui tirent parti de l’expérience collective améliore la protection contre une horde croissante de cybercriminels. En partageant les signaux d’attaque et en exploitant les informations provenant de la foule, les organisations sont plus fortes à l’unisson, face aux cybermenaces. En fin de compte, tout est une question de travail d’équipe, prouvant que nous sommes une force imparable contre les cyberattaques.
Vous pouvez faire une démonstration de l’outil collaboratif mentionné dans l’article en visitant https://booking.crowdsec.net/book-a-demo
Remarque : cet article est rédigé par Jérôme Clauzade de CrowdSec.
