CIO-Application security : les 3 piliers pour sécuriser votre écosystème d’ingénierie

L’écosystème de l’ingénierie a subi un changement de paradigme massif : plus de langages, plus de frameworks et des barrières techniques ou procédurales minimes pour adopter de nouvelles technologies ou mettre en œuvre des outils et des frameworks tiers. Cela survient alors que les organisations s’efforcent de livrer leurs logiciels le plus rapidement possible afin de fournir de nouvelles fonctionnalités et applications cloud afin de rester compétitives.

Pour accélérer le développement et le déploiement, de nombreuses organisations se sont tournées vers des solutions d’intégration et de livraison continues (CI/CD) pour des processus de test, de création et de déploiement de logiciels plus automatisés et plus agiles. Ce changement a apporté une rapidité, une flexibilité et une agilité sans précédent à l’ingénierie avec 77% des organisations déployant désormais du code nouveau ou mis à jour en production chaque semaine, et 38 % validant du nouveau code quotidiennement.

La vitesse est une bonne chose, mais pas au détriment de la sécurité. Les mauvais acteurs reconnaissent rapidement l’écosystème de l’ingénierie comme un vecteur de menace à la fois facile à cibler et prêt à être exploité – ce qui entraîne souvent des conséquences graves et graves. des résultats lucratifs. La tristement célèbre attaque Solar Winds s’est produite parce qu’un système de build a été exploité et que des logiciels malveillants se sont propagés à 18 000 clients. Dans un autre exemple récent, des cybercriminels ont réussi à infiltrer et à perturber CircleCI, une plateforme CI/CD leader stockant des secrets et des jetons clients hautement confidentiels. Ces incidents soulignent à quel point un seul élément non sécurisé dans un environnement d’ingénierie peut entraîner des conséquences néfastes à grande échelle.

L’écosystème d’ingénierie est souvent négligé, car les équipes de sécurité ont tendance à se concentrer davantage sur la réduction des erreurs de configuration et des vulnérabilités d’exécution plutôt que sur la résolution des vulnérabilités sur l’ensemble de la surface d’attaque. Cette nouvelle réalité et la multiplication des attaques nous obligent à penser différemment la sécurité des applications – le cadre de sécurité global de l’écosystème d’ingénierie. Le défi traditionnel de l’AppSec consistant à empêcher les failles de sécurité et les erreurs de configuration d’atteindre la production est beaucoup plus complexe. En parallèle, il existe une toute nouvelle génération de risques et de menaces axés sur l’exploitation abusive des failles de sécurité dans les différents systèmes et processus tout au long de la chaîne de livraison des logiciels, depuis le code jusqu’au déploiement.

Développer les bases d’un programme de sécurité des applications efficace

Un programme de sécurité des applications efficace pour l’écosystème d’ingénierie moderne peut être divisé en trois disciplines :

1. Sécurité dans le pipeline (SIP)

SIP cible le code et les artefacts circulant dans le pipeline, en route vers la production, et vise à empêcher les failles de sécurité et les erreurs de configuration d’atteindre les environnements de production. Chez SIP, nous sommes tenus d’identifier en permanence tous les langages et frameworks de développement utilisés dans l’ensemble de la base de code d’une organisation et de garantir que nous disposons des scanners et moteurs appropriés, adaptés à ces langages et framework, intégrés au processus de développement de la manière la plus fluide possible. Cela garantit que de nouveaux problèmes ne sont pas introduits dans la base de code et que les problèmes existants sont progressivement éradiqués.

2. Sécurité du pipeline (SOP)

SOP se concentre sur la posture de sécurité de chaque système individuel au sein de la chaîne de livraison des logiciels – du code au déploiement – ​​ainsi que sur l’interconnectivité entre ces systèmes et les tiers qu’ils utilisent (la chaîne d’approvisionnement des logiciels). SOP repose sur la compréhension que l’écosystème d’ingénierie est devenu une cible lucrative pour les adversaires, qui ont réalisé que les écosystèmes d’ingénierie constituent un moyen très efficace d’exécuter du code malveillant dans des environnements sensibles et d’accéder à des secrets et des jetons hautement critiques. Dans SOP, plutôt que de se concentrer sur le code et les artefacts circulant dans la chaîne de livraison logicielle, comme nous le faisons dans SIP, l’accent est mis sur les contrôles et les mesures de sécurité autour de la chaîne de livraison elle-même.

3. Sécurité autour du pipeline (SAP)

SAP est conçu pour garantir l’intégrité de la chaîne de livraison des logiciels et appliquer les contrôles appropriés pour empêcher quiconque, tant les humains que les applications, de la contourner. La réalité est que l’obtention d’un SIP et d’un SOP optimaux n’est que partiellement efficace si un attaquant peut transmettre le code directement en production ou déployer un conteneur malveillant directement sur les K8. Pour parvenir à un SAP efficace, nous devons être capables de répondre à 2 questions principales :

• Tout ce qui est exécuté en production provient-il de la chaîne de livraison des logiciels ? Tout a-t-il été soumis à toutes les vérifications et contrôles appropriés ?
• Tous les contrôles de visibilité et de posture appropriés sont-ils en place pour garantir que la chaîne de livraison des logiciels ne peut pas être contournée ?

Une sécurité efficace des applications s’étend désormais bien au-delà de la portée traditionnelle de l’analyse de code et doit refléter l’environnement d’ingénierie moderne. SIP, SOP et SAP s’articulent autour de la prise en charge de la rapidité de l’ingénierie sans compromettre la gestion des risques et de la sécurité. En se concentrant sur ces trois disciplines, les organisations peuvent guider leurs équipes de sécurité et de développeurs pour créer des écosystèmes d’ingénierie modernes, sécurisés et évolutifs dans le cloud.

Apprendre sur les 10 principaux risques de sécurité CI/CD et les mesures pratiques que vous pouvez prendre pour sécuriser l’écosystème d’ingénierie.

Réseaux de Palo Alto

Bio : Daniel Krivelevich est un expert en cybersécurité et un résolveur de problèmes, un vétéran de la sécurité d’entreprise avec une forte orientation vers la sécurité des applications et du cloud. Après un long service au sein de l’unité 8200 d’Israël, Daniel a occupé plusieurs postes dans le domaine AppSec, couvrant des postes offensifs, défensifs et de conseil. Après avoir dirigé la sécurité des applications et la sécurité du cloud au sein de la société israélienne de RI Sygnia pendant quatre ans, travaillant avec plus de 100 entreprises sur l’optimisation de la cyber-résilience, Daniel a cofondé Cider Security en tant que CTO de l’entreprise, dirigeant les produits et la technologie de l’entreprise depuis leur création jusqu’à acquisition par Palo Alto Networks. Aujourd’hui, Daniel est CTO d’AppSec pour Palo Alto Networks.