Sécurité des applications : L'éléphant dans la chambre nuageuse
Ok, les enfants. Il est temps que nous ayons « cette discussion ». Vous connaissez celui-là, celui dont vous avez parlé à voix basse à vos amis mais dont vous aviez jusqu'à présent peur de parler parce que bien sûr, tout le monde le savait et vous ne vouliez pas paraître, eh bien, pas cool en admettant que vous ne le saviez pas vraiment .
Sauf qu’ils ne le font pas, ou du moins s’ils le font, ils n’en parlent pas non plus. Et il est vraiment temps que nous parlions de prendre les bonnes précautions lors de l’utilisation du cloud. Vous savez comment protéger vos applications dans le cloud contre les infections et les attaques.
Oui, aujourd’hui nous allons enfin parler de la sécurité des application dans le cloud.
Pas de cryptage. Pas de gestion des accès. Et pas la sécurité du réseau.
Sécurité des application .
En raison de tous les documents, recherches, conseils et discussions générales sur la « sécurité du cloud » disponibles sur le vaste Internet aujourd’hui, très peu* d’entre eux mentionnent les mots « sécurité des applications ». Je peux trouver des recherches et des statistiques sur l'utilisation du cryptage, sur qui devrait (et ne devrait pas) protéger les données dans le cloud, et sur qui utilise quel type de gestion des accès pour contrôler l'accès aux applications partout et n'importe où. Mais qu'en est-il de la sécurité des application ? Rien. Rien. Rien. Zéro.
Ce qui est vraiment assez surprenant (et inquiétant) étant donné que les applications Web sont la deuxième cause d'incidents de sécurité pour les services financiers, juste derrière les logiciels criminels au nom malveillant, selon le dernier rapport d'enquête sur les violations de données de Verizon (DBIR) . Il est également surprenant de constater, après avoir effectué une analyse des 25 principales violations de données de ce siècle, que près de la moitié (44 %) ont été exécutées via une application Web. C’est également décourageant car il semble y avoir une corrélation entre une baisse de la posture de sécurité et la migration des applications vers le cloud .
La réalité est que le cryptage n’est pas une panacée.
Permettez-moi de répéter cela, cette fois en majuscules pour souligner la gravité de la situation : LE CRYPTAGE N’EST PAS UNE PANACÉE.
La sécurité du réseau ou la gestion des accès ne l’est pas non plus.
Toutes ces choses sont bonnes, mais prises individuellement, elles ne constituent qu’une partie d’un système de protection beaucoup plus vaste. Un système de protection qui devrait inclure - mais ne le fait souvent pas - la sécurité des application dans le mix.
La sécurité du réseau ne va pas arrêter une attaque DDoS HTTP . La gestion des accès n’arrêtera pas l’exploitation d’une vulnérabilité de plate-forme Web comme Heartbleed ou Apache Killer .
Le chiffrement n'arrêtera pas un SQLi. Le cryptage du code malveillant le cache simplement aux innombrables services du réseau conçus pour le trouver.
L' application est, de par sa finalité, une ressource destinée au public. Nous le mettons à disposition et nous attendons – non, nous encourageons, nous attirons, nous supplions – les consommateurs à interagir avec lui. Pour l'utiliser. Pour l'installer. A visiter souvent. Il s’agit d’un monde application , ce qui signifie que les applications sont essentielles à tous les aspects de l’entreprise, qu’elles soient destinées aux clients, aux employés ou aux systèmes internes. De nos jours, nous nous appuyons sur des applications pour presque tout ce que nous faisons, et pourtant, lorsque nous parlons de sécurité, nous ne semblons jamais nous en souvenir.
Il est vraiment temps que nous commencions à accorder davantage d’attention à la sécurité des application , et pas seulement à la sécurité des données , à la sécurité du réseau ou aux communications cryptées. Les données sont plus vulnérables lorsqu'elles sont en cours de traitement dans l' application. C'est parce qu'à ce stade, il est en texte clair et qu'il est entièrement sous le contrôle de cette application. L' application peut l'afficher, le modifier et le livrer à quiconque (ou de plus en plus à n'importe qui, étant donné la montée des robots, des araignées et des logiciels malveillants) peut l'extraire.
Cela signifie que nous devons accorder plus d’attention à la sécurisation des applications contre l’exploitation et les attaques. De la plateforme (le serveur Web ou d'application) aux protocoles (TCP et HTTP) jusqu'au code lui-même. Nous devons analyser, nettoyer, découvrir et nous défendre contre la myriade de méthodes utilisées par les attaques pour exploiter l’ensemble de la pile application .
Selon F-Secure Labs, la fréquence des attaques application Web a doublé, passant de moins de 20 % en 2012 à 40 % en 2013. En 2014, Neustar a constaté que 55 % des cibles DDoS ont subi un écran de fumée (attaque DDoS volumétrique servant de couverture aux véritables attaques de la couche application ), près de 50 % d'entre elles ayant été infectées par des logiciels malveillants/virus et 26 % ayant perdu des données clients.
Les attaques application constituent une menace réelle et importante, en particulier lorsqu’elles migrent vers le cloud où moins d’options pour les protéger peuvent être disponibles.
Les services natifs disponibles dans le cloud axés sur la sécurité concernent tous l'accès et le cryptage. Aucun d’entre eux ne constitue une sécurité de « couche application » et aucun n’offre la couverture nécessaire pour inspirer confiance dans la capacité à résister à une attaque conçue pour désactiver, corrompre ou exfiltrer des données en exploitant l’ application elle-même. Cela signifie que vous avez besoin d’une autre solution ; un autre service conçu pour protéger les applications et les données qu’il est chargé de gérer dans le cloud, comme vous le faites dans le centre de données. Cela peut signifier un WAF (pare-feu application Web) compatible avec le cloud ou un WAF en tant que service ou au minimum une application approfondie des meilleures pratiques recommandées par l'OWASP sur chaque application déployée dans le cloud.
La sécurité du cloud peut être considérée comme une responsabilité partagée, le fournisseur et le client assumant la tâche de différents aspects de la sécurisation du « cloud », mais la sécurité des application est à 110 % la responsabilité de celui qui place cette application dans le cloud en premier lieu. Considérez cette interview (via The Register ) avec Bill Murray, responsable des programmes de sécurité mondiale d'AWS (c'est moi qui souligne) :
« La sécurité chez AWS est une responsabilité partagée entre AWS et les clients », a déclaré Murray dans une récente interview. Il est responsable de la sécurité d'AWS, couvrant la sécurité physique des centres de données d'Amazon, tout en gérant les mandats et les assignations à comparaître des forces de l'ordre.
« Les clients sont responsables de la protection de tout, du système d’exploitation invité qu’ils exécutent sur AWS jusqu’aux applications qu’ils exécutent », a-t-il déclaré à El Reg . « Nous sommes responsables du système d’exploitation hôte et de la machine virtuelle et de tout, jusqu’au béton du sol du centre de données. »
« On nous pose souvent cette question : « Qu'est-ce qui te tient éveillé la nuit ? » « Ce qui nous empêche de dormir la nuit en matière de sécurité AWS, c'est que le client ne configure pas correctement ses applications pour assurer sa sécurité », a déclaré Murray.
C'est vous, et cela signifie que vous devez soigneusement réfléchir aux services et aux solutions que vous déployez pour protéger cette application de ce qui ressemble inévitablement à l'attaque qui va vous arriver.
La sécurité des application n’est pas comme un garde du corps coûteux. Ce n’est pas quelque chose que seules les applications VIP obtiennent. Cela s’apparente davantage à une sécurité personnelle, et c’est quelque chose que chaque application qui se présente en public devrait avoir. Et cela est vrai que ces applications soient dans le centre de données ou dans le cloud.
*Je dis "très peu" mais honnêtement, je n'ai même pas réussi à en trouver un seul. C'est peut-être dû à mon échec avec Google, mais c'est probablement parce que personne ne semble vouloir en parler.