Transformer la fastidieuse conformité PCI-DSS en un exercice pertinent pour tous : partie 1 - AppSec
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
