Étirez-vous à droite avec la surveillance de la sécurité des application Threat Stack
Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .
Dans notre dernier article , nous avons exploré comment la surveillance de la sécurité des application de Threat Stack intègre la sécurité dans les processus de développement, sans impacter négativement l'agilité ou la vitesse de développement et de déploiement des application . Permettre aux développeurs de gérer de manière proactive les risques logiciels est essentiel pour les organisations qui « s’étendent à gauche » pour intégrer la sécurité dans l’ensemble de leur cycle de développement et de déploiement de logiciels. Mais même avec la meilleure sensibilisation à la sécurité, les meilleurs tests et l’identification et l’atténuation précoces des problèmes, certains risques peuvent toujours se faufiler et s’infiltrer dans une application en cours d’exécution.
Un rapport récent a révélé que 100 % des applications Web testées présentaient au moins une application . Elles ne sont peut-être pas toutes les vulnérabilités les plus critiques et elles ne seront peut-être jamais exploitées avec succès par les attaquants, mais elles sont toujours là, à l’affût. Armés de ces connaissances, les attaquants sondent constamment les applications Web, à la recherche de faiblesses qui leur donneront l’accès dont ils ont besoin pour mener une attaque. En plus des conseils d’identification et de correction des risques au moment du développement fournis par Threat Stack AppSec Monitoring, il peut également détecter et bloquer ces attaques en temps réel au moment de l’exécution.
Threat Stack AppSec Monitoring offre une protection d'exécution avec quatre éléments : Détecter, bloquer, notifier et guider. Combinés, ces quatre éléments donnent aux utilisateurs la possibilité de découvrir les attaques, d’empêcher qu’elles soient exécutées (empêchant ainsi les violations de données et autres problèmes) et d’alimenter le flux de travail DevSecOps avec le contexte dont les développeurs ont besoin pour créer une sécurité qui peut aider à prévenir de futures attaques.
Détecter
Plus de 60 % des principales attaques Web sont centrées sur des attaques XSS et des attaques par injection SQL de base . Bien que ces techniques soient relativement simples et bien comprises, elles restent les préférées des attaquants. Threat Stack AppSec Monitoring peut détecter ces attaques en examinant la charge utile qui arrive dans l' application depuis le Web. La charge utile est simplement la partie données d'une demande application : il peut s'agir des noms et des valeurs de champs dans une soumission de formulaire de page Web ou de paires nom/valeur dans un appel d'API. Nous analysons la charge utile depuis l’ application en cours d’exécution pour vérifier si elle contient du code que nous pouvons identifier comme étant potentiellement malveillant. Cette vérification est basée sur notre propre analyseur comparant la charge utile à des signatures d’attaque bien connues — actuellement plus de 2 000 d’entre elles ! Considérez-le comme un point de contrôle de sécurité à l’intérieur d’un aéroport où les gardes examinent le contenu des bagages des voyageurs pour rechercher des objets potentiellement dangereux comme des armes à feu ou des explosifs. Nous examinons l'intérieur de la charge utile à la recherche d'éléments potentiellement dangereux tels que des chaînes d'injection SQL ou noSQL ou du code XSS. Contrairement à la sécurité des aéroports, notre contrôle est cependant extrêmement rapide !
Bloc
Les utilisateurs peuvent exécuter Threat Stack AppSec Monitoring dans l'un des deux modes suivants : Détecter uniquement ou auto-protéger. Le mode d’autoprotection est la meilleure option pour une défense en temps réel. Dans ce mode, toute requête contenant une charge utile malveillante est immédiatement arrêtée, tout comme l’agent de sécurité de l’aéroport qui trouve une arme et refuse l’entrée à l’aéroport. L’ application arrête toute exécution ultérieure de cette requête individuelle et l’attaque est terminée. En mode Détecter uniquement, toutes les charges utiles malveillantes identifiées sont signalées et communiquées aux utilisateurs (voir l'élément suivant, Notifier ), mais la demande est autorisée à s'exécuter. Cela peut être utile lorsque vous exécutez des tests automatisés pendant le développement lorsqu'il est utile de savoir qu'une attaque simulée a été détectée avec succès, mais que vous souhaitez toujours laisser le test continuer.
Notifier
Une fois qu'une attaque est détectée et bloquée, vous devez en être informé afin de pouvoir prendre des mesures pour atténuer les dégâts ou réduire le risque d'attaques futures. Threat Stack AppSec Monitoring fournit des informations sur les attaques dans le portail Web dans un format chronologique clair. Mais nous savons que tous les membres de chaque équipe ne se connecteront pas au portail Threat Stack, c'est pourquoi nous vous apportons les informations essentielles sur l'attaque grâce à l'intégration de ChatOps, permettant à Slack, Google ou d'autres outils de chat de fournir des informations à l'équipe. Les notifications d'attaque incluent le contenu réel de la charge utile malveillante , l'adresse IP de l'attaquant, l'URL et la méthode de requête ciblée, ainsi que d'autres informations essentielles.
Écran: Vue d'attaque dans le portail
Guide
Toutes les expériences créent des opportunités d’apprentissage. Une attaque sur une application Web crée une opportunité pour votre équipe de développement d’améliorer ses compétences en matière de sécurité, ce qui peut l’aider à améliorer son code à l’avenir. Threat Stack AppSec Monitoring partage du contenu d'apprentissage et des informations médico-légales sur les attaques pour aider à développer ce QI de sécurité amélioré pour les développeurs. Chaque attaque comprend du contenu d'apprentissage en ligne qui explique l'attaque aux développeurs dans leur propre langue, avec des exemples de code et des liens vers d'autres contenus d'apprentissage externes. Une trace de pile complète est également affichée pour aider le développeur à voir le gestionnaire de route qui a été invoqué et quelle pile d'appels a été exécutée avant que l'attaque ne soit bloquée. Cela pourrait conduire à une meilleure désinfection des entrées ou à d’autres améliorations de application .
Écran: Guide d'utilisation de SQLi
Rassembler le tout
Dans les environnements DevOps cloud natifs et en évolution rapide d'aujourd'hui, il n'est pas possible de sécuriser vos applications uniquement en « se déplaçant vers la gauche », là où les développeurs sont censés trouver et résoudre les problèmes de sécurité par eux-mêmes, ni en ajoutant la sécurité à la dernière minute, ou simplement avec des pare-feu de sécurité des application d'exécution. La sécurité doit être intégrée à l’ensemble du processus de développement, de livraison et d’exploitation des logiciels de manière à permettre la coopération et la collaboration entre les développeurs, les opérations et les professionnels de la sécurité. Threat Stack Application Security Monitoring identifie les risques au moment du développement et protège contre les attaques en direct en production, et place également ces alertes de couche applicative dans le contexte plus large de la surveillance de la sécurité de l'infrastructure cloud native de Threat Stack.
Pour en savoir plus sur la surveillance de la sécurité des application de Threat Stack, disponible dans le cadre de la plateforme de sécurité cloud Threat Stack® sans frais supplémentaires, inscrivez-vous pour une démonstration. Nos experts en sécurité se feront un plaisir de discuter de vos exigences spécifiques en matière de sécurité et de conformité.
Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .