Ce que les dirigeants doivent savoir sur la sécurité Shift-Left

Par Zachary Malone, SE Academy Manager chez Palo Alto Networks

Le terme « décalage à gauche » fait référence au Cycle de vie du développement logiciel (SDLC) qui décrit les phases du processus suivi par les développeurs pour créer une application. Souvent, ce cycle de vie est décrit comme une chronologie horizontale avec les phases conceptuelles et de codage « démarrant » le cycle sur le côté gauche, donc déplacer un processus plus tôt dans le cycle revient à le déplacer vers la gauche. La « sécurité décalée vers la gauche » est le concept selon lequel les mesures de sécurité, les domaines prioritaires et les implications doivent se produire plus à gauche – ou plus tôt – dans le cycle de vie que les phases typiques qui étaient autrefois des points d’entrée pour les tests de sécurité et les protections.

Comment est né le terme de sécurité shift-left ?

La sécurité de décalage à gauche est issue d’un domaine d’intérêt plus large connu sous le nom de test de décalage à gauche. Le terme était d’abord inventé par Larry Smith en 2001. Depuis lors, le concept de sécurité décalée à gauche a continué de gagner du terrain alors que les organisations s’appuient de plus en plus sur le cloud et que les cyberattaques de plus en plus médiatisées ciblent de plus en plus les outils de développement et les pipelines pour les applications fournies par le cloud et/ou SaaS.

Pourquoi la sécurité shift-left est-elle importante en cybersécurité ?

En termes simples, alors que les progrès des services cloud pour les équipes de développement et de produit offrent une vitesse et une ampleur incroyables dans la livraison des applications, ils ont également conduit à des défis extrêmes dans le maintien de la réglementation et du contrôle. La sécurité doit suivre la croissance rapide et l’agilité des cycles de développement et être suffisamment flexible pour prendre en charge un large éventail de solutions fournies par le cloud.

Le seul dénominateur commun de ces nouveaux workflows de développement est que le code qui sous-tend tout, de l’application à l’infrastructure, est ouvert et manipulable pour les équipes de développement. En tant que tel, amener la sécurité jusqu’à la « gauche » de la phase de codage enveloppe la sécurité autour de la source de ce que les acteurs malveillants tentent d’attaquer, conduisant à la plus grande réduction possible du risque d’exploits.

Quelle est la tournure autour de ce mot à la mode de sécurité décalé à gauche ?

Comme de nombreux mots à la mode en matière de cybersécurité, de nombreux fournisseurs traitent la sécurité à gauche comme « la seule chose dont vous avez besoin pour être en sécurité », comme s’il s’agissait d’une panacée aux problèmes de sécurité . En réalité, cela brise l’idée de Zéro Confiance car vous feriez implicitement confiance au(x) développeur(s) et à leurs capacités de codage. En outre, il existe un manque flagrant de compréhension cohérente et de pratique standard sur la manière dont le développement d’applications devrait fonctionner dans un département DevOps moderne, comme la chaîne d’approvisionnement de code (packages open source et dérive) ou les outils d’intégration (Git, CI/CD, etc.) . Cela crée des risques.

Par exemple, si une organisation croit : « Notre stockage de données est librement accessible à tous sur Internet, mais ce n’est pas un problème car toutes les données sont stockées dans un format crypté », cette croyance permet aux attaquants de simplement faire une copie des données. puis travaillez soit pour forcer brutalement le déchiffrement, soit pour rechercher les clés dans n’importe quel lieu de stockage où elles se trouvent.

Que doivent prendre en compte les dirigeants lors de l’adoption de la sécurité shift-left ?

Le déplacement de la sécurité vers la gauche de votre programme SDLC est une priorité sur laquelle les dirigeants devraient se concentrer. La portée omniprésente accordée aux équipes de développement non seulement pour créer des applications critiques via le code, mais également pour gérer chaque étape, du codage de l’application à sa compilation, aux tests et aux besoins d’infrastructure avec du code supplémentaire, est une quantité extraordinaire de contrôle et d’influence pour un département qui est singulièrement concentré.

Étendre la sécurité à tous les flux de travail dans lesquels les équipes de développement évoluent est l’idéologie fondamentale de la sécurité à gauche. Cependant, il serait exceptionnellement risqué d’abandonner ou de discréditer les programmes de sécurité qui restent dans les étapes ultérieures ou « du bon côté » du cycle de vie. La sécurité doit être enroulée autour du cycle de vie completde la création du code à la préparation du déploiement environnant, en passant par l’application et l’environnement qui le gèrent.

Voici quelques questions à poser à votre équipe pour une adoption réussie de la sécurité shift-left :

• Comment pouvons-nous intégrer toutes les phases de notre SDLC dans notre programme de sécurité sans créer une surcharge massive de nouveaux outils à apprendre pour chaque étape couverte ?
• Comment permettons-nous à notre équipe de développement de corriger de simples erreurs de sécurité sans retarder ni bloquer leur capacité à publier des applications et des mises à jour critiques ?
• Nous devons nous intégrer dans les outils et les flux de travail que notre développement utilise pour coder, agréger, tester et déployer. Comment pouvons-nous y parvenir tout en répondant aux besoins énumérés ci-dessus ?
• Supposons que quelque chose arrive à être déployé de manière non sécurisée. Comment renvoyons-nous la demande de correctif dans le flux de travail que nos développeurs utilisent avec les modifications de codage réelles incluses automatiquement ?
• Existe-t-il des plates-formes capables de gérer notre besoin de basculer vers la gauche, de protéger notre environnement d’exécution et d’alimenter nos opérations de sécurité, notre gouvernance et notre conformité ? flux de travail des architectes d’infrastructure pour fournir des couches de visibilité, de protection et d’audit pour l’ensemble de notre paysage applicatif ?

Prêt à renforcer la sécurité de votre cycle de vie de développement ? Nous pouvons aider.

À propos de Zachary Malone :

Zachary est le directeur de la SE Academy chez Palo Alto Networks. Avec plus d’une décennie d’expérience, Zachary est spécialisé dans la cybersécurité, la conformité, la mise en réseau, les pare-feu, l’IoT, le NGFW, le déploiement de systèmes et l’orchestration.