Chief Technology Officer, Direktor und Mitbegründer
Matias Madou, Ph.D.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Cette vulnérabilité peut survenir lorsque les codeurs ne parviennent pas à implémenter correctement les règles de logique métier, ce qui pourrait rendre leurs applications vulnérables à différents types d'attaques si un utilisateur malveillant choisissait de les exploiter.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage jamais enregistré pour le gouvernement américain.
Une fois de plus, la cause première du piratage d'Equifax est une vulnérabilité d'application Web. Ce type de vulnérabilité existe depuis plus de dix ans, mais il est toujours aussi pertinent aujourd'hui.
Les attaques par injection, tristement célèbre roi des vulnérabilités (par catégorie), ont perdu la première place au profit d'une violation du contrôle d'accès, en tant que pire des pires, et les développeurs doivent en tenir compte.
En général, des contrôles d'autorisation au niveau de l'objet doivent être inclus pour chaque fonction qui accède à une source de données à l'aide d'une entrée de l'utilisateur, faute de quoi le faire comporte de grands risques.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien.
Il n'est pas facile de réintégrer les correctifs de sécurité au processus de développement, mais c'est nécessaire dans le monde d'aujourd'hui où même des appareils apparemment simples, tels que les outils de présentation, sont à la fois étonnamment complexes et connectés à tout le reste.
Nous devons parvenir à un stade où la sécurité est perçue comme une responsabilité partagée par l'ensemble de l'organisation et dans l'ensemble du SDLC. Cela est certainement possible lorsque vous vous engagez à mettre en place un environnement DevSecOps à part entière et très favorable.
La vulnérabilité de contrôle d'accès au niveau des fonctions manquante permet aux utilisateurs d'exécuter des fonctions qui devraient être restreintes ou leur permet d'accéder à des ressources qui devraient être protégées.
L'authentification agit souvent comme une passerelle vers une application et potentiellement vers le reste du réseau, ce qui en fait des cibles tentantes pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que les attaquants découvrent cette faille et l'exploitent.
Le développement de logiciels n'est plus une mince affaire, et lorsque nous prenons en compte tous les aspects des risques liés aux logiciels, qu'il s'agisse du cloud, des systèmes intégrés dans les appareils et les véhicules, de notre infrastructure critique, sans oublier les API qui connectent tout cela, la surface d'attaque est sans frontières et incontrôlable.
On peut dire que les deux dernières années ont été marquées par une transformation des normes de cybersécurité. Bien que cela ne soit pas obligatoire, toutes les organisations devraient avoir pour objectif de suivre cet exemple et d'examiner les pratiques de sécurité des fournisseurs comme si elles faisaient partie de leur propre programme de sécurité interne.
La vulnérabilité d'assignation de masse est née de nombreux frameworks modernes encourageant les développeurs à utiliser des fonctions qui lient automatiquement les entrées des clients à des variables de code et à des objets internes.
Nous avons commencé à réfléchir à ce que nous pourrions faire pour réduire les obstacles à l'accès à une formation au moment où vous en avez besoin, et à la manière dont le micro-apprentissage pourrait être intégré à votre flux de travail de manière plus fluide.
Les développeurs n'auront pas d'impact positif sur la réduction des vulnérabilités sans une compréhension fondamentale de leur fonctionnement, de leur dangerosité, de leurs causes et des modèles de conception ou de codage qui les corrigent dans un contexte logique dans leur monde. Une approche échafaudée permet à des couches de connaissances de donner une image complète de ce que signifie coder en toute sécurité, défendre une base de code et se présenter comme un développeur soucieux de la sécurité.
Zero-Day-Angriffe lassen den Entwicklern per Definition keine Zeit, bestehende Schwachstellen, die ausgenutzt werden könnten, zu erkennen und zu beheben, da der Urheber der Bedrohung zuerst zugeschlagen hat. Der Schaden ist bereits angerichtet, und es beginnt ein Wettlauf gegen die Zeit, um sowohl die Software als auch den Ruf des Unternehmens wiederherzustellen. Die Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu verringern.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Wir wissen bereits, dass während eines Arbeitstages zu viel passiert. Was motiviert Entwickler dazu, einen Schulungsraum aufzusuchen oder fünf Schritte zu durchlaufen, um Zugang zu einer auf statischer Theorie basierenden Schulung zu erhalten?
Les outils AppSec ne sont pas utilisés comme on aurait pu s'y attendre pour plusieurs raisons. Il s'agit moins des outils et de leurs fonctionnalités que de la manière dont ils s'intègrent à un programme de sécurité dans son ensemble.
Nous aimerions mettre en lumière l'un de nos experts, Oscar Quintas. Il fait partie de notre équipe chargée du contenu des produits et travaille en tant que chercheur principal en sécurité. Il est également notre sorcier résident pour tout ce qui concerne l'infrastructure en tant que code (IaC).
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Cette vulnérabilité se produit lorsqu'un trop grand nombre de demandes arrivent en même temps et que l'API ne dispose pas de suffisamment de ressources informatiques pour traiter ces demandes. L'API peut alors devenir indisponible ou ne pas répondre aux nouvelles demandes.
Lorsqu'il s'agit de lutter contre les cybercriminels, nous devons rester aussi en phase que possible avec eux, en préemptant leurs terrains de jeu dans un esprit préventif. Voici où je pense qu'ils pourraient commencer à faire des vagues au cours de la prochaine année :
Sans un contrôle d'accès parfaitement ordonné au niveau de l'infrastructure, toute une entreprise s'ouvre aux attaquants, qui peuvent utiliser cette vulnérabilité comme passerelle pour espionner sans autorisation ou lancer une attaque complète.
Les cyberattaques sont de plus en plus fréquentes et les menaces affectant les infrastructures basées sur Linux sont de plus en plus courantes, l'objectif final étant de saisir une opportunité de déverrouiller un coffre contenant des données sensibles stockées dans le cloud.
Les mécanismes réels à l'origine de cette vulnérabilité sont similaires aux autres, mais une exposition excessive des données, dans ce cas, est définie comme impliquant des données protégées par la loi ou hautement sensibles.
Genau wie Web-Software, APIs und mobile Geräte kann auch der anfällige Code eingebetteter Systeme ausgenutzt werden, wenn er von einem Angreifer entdeckt wird.
Il s'agit de la deuxième partie d'une mini-série sur la conformité PCI-DSS au sein d'une organisation. Dans ce dernier chapitre, nous expliquons comment les directeurs techniques et les responsables de la sécurité informatique peuvent jouer un rôle de premier plan en matière de réduction des cyberrisques et de rendre le processus fluide, efficace... et peut-être un peu amusant pour les développeurs.
La faille de journalisation et de surveillance insuffisantes est principalement due à l'échec d'un plan de cybersécurité en ce qui concerne la journalisation de toutes les tentatives d'authentification échouées, de tous les accès refusés et des erreurs de validation des saisies.
De nos jours, le hachage de données critiques telles que les mots de passe, les informations personnelles et les dossiers financiers au repos est la pierre angulaire de toute défense en matière de cybersécurité.
Le récent décret sur la cybersécurité de l'administration Biden a certainement fait parler le secteur de la sécurité, en particulier ceux qui cherchent à convaincre les développeurs de l'importance d'appliquer les meilleures pratiques de codage sécurisé dans leur travail quotidien.
Nous devons renforcer l'approche humaine des meilleures pratiques en matière de cybersécurité, et elle donnera de meilleurs résultats qu'une dépendance excessive à l'automatisation, aux outils et à la réaction à des problèmes déjà intégrés et découverts.
Les développeurs font partie de ceux qui maîtrisent le mieux le code, en plus des configurations de sécurité et du contrôle d'accès. Leurs compétences en matière de sécurité doivent être renforcées, et pour atteindre les normes élevées définies par le NIST, une structure de cours pratique pourrait bien être le moyen le plus efficace d'y remédier, en particulier pour les grandes cohortes de développement.
Nous sommes ravis d'annoncer la sortie d'une toute nouvelle fonctionnalité sur la plateforme Secure Code Warrior : Missions. Cette toute nouvelle catégorie de défis constitue la prochaine étape de la formation à la sécurité pour les développeurs, qui permettra aux utilisateurs de passer du rappel des connaissances en matière de sécurité à leur application dans un environnement de simulation réel.
Qu'il s'agisse de l'incertitude liée à une nouvelle façon de travailler, d'un peu de méfiance ou de ne pas croire au télétravail, je trouve que les entreprises qui y sont réticentes ont tendance à prendre du retard lorsqu'il s'agit d'attirer les meilleurs talents, de maintenir une présence mondiale et, franchement, d'évoluer avec leur temps.
De nos jours, les mots de passe constituent la clé de la plupart des sécurités informatiques. Même si d'autres méthodes de sécurité sont utilisées, telles que l'authentification à deux facteurs ou la biométrie, la plupart des organisations utilisent toujours la sécurité par mot de passe comme élément de leur protection.
Secure Code Warrior a créé une action GitHub qui intègre l'apprentissage contextuel à l'analyse du code GitHub. Cela signifie que les développeurs peuvent utiliser une action tierce telle que l'action Snyk Container pour détecter les vulnérabilités, puis augmenter le résultat avec un apprentissage hyperpertinent et spécifique à CWE.
Les tests d'intrusion et les outils d'analyse statique (mieux connus sous le nom de SAST) ne sont qu'une partie du processus global visant à atténuer les risques de sécurité. Ils fonctionnent de manière assez indépendante de ce que nous faisons, jusqu'à ce que le code nous soit renvoyé pour les correctifs, bien sûr !
Un code d'un certain niveau de qualité est par définition également sécurisé, mais tout code sécurisé n'est pas nécessairement de bonne qualité. Commencer « à gauche de gauche » est-il la formule pour garantir des normes de codage purement sécurisées ?
Le comportement générateur de vulnérabilités sur lequel nous allons nous concentrer ici est l'utilisation de code provenant de sources non fiables, une pratique apparemment bénigne qui pose de gros problèmes.
Cette vulnérabilité est davantage un problème humain ou de gestion qui permet aux anciennes API de rester en place longtemps après avoir dû être remplacées par des versions plus récentes et plus sécurisées.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Rust intègre des éléments connus et fonctionnels issus de langages couramment utilisés, selon une philosophie différente qui élimine la complexité, tout en introduisant performance et sécurité.
Elle est probablement un peu plus répandue dans les API, mais les attaquants tentent souvent de détecter des failles non corrigées et des fichiers ou répertoires non protégés n'importe où sur un réseau. Le fait de tomber sur une API dont le débogage est activé ou dont les fonctionnalités de sécurité sont désactivées facilite un peu leur travail néfaste.
Parfois, les applications partagent également des données avec d'autres programmes dans le cadre d'une charge de travail globale. À moins que la couche de transport ne soit protégée, elle la rend vulnérable à la fois à l'espionnage extérieur et à la visualisation interne non autorisée.
Chaque organisation peut profiter du Mois de la sensibilisation à la cybersécurité pour actualiser ses connaissances en matière de sécurité. Cette année, nous lançons également une nouvelle application gratuite pour la communauté des programmeurs !
Il est préférable d'aborder une relation fondée sur les bases fragiles de la méfiance avec de faibles attentes. Malheureusement, il peut s'agir de l'état de la relation de travail entre les développeurs et l'équipe AppSec au sein d'une organisation.
Les erreurs de configuration de sécurité, en particulier celles liées à des autorisations inappropriées, se produisent le plus souvent chaque fois qu'un développeur crée un nouvel utilisateur ou autorise une application en tant qu'outil afin d'accomplir une tâche.
Angreifer werden immer zuerst versuchen, leicht ausnutzbare Schwachstellen zu finden, und können sogar ein Skript verwenden, um gängige Schwachstellen zu beheben. Das ist in etwa so, als würde ein Dieb alle Autos in einer Straße überprüfen, um zu sehen, ob die Türen unverschlossen sind, was viel einfacher ist, als eine Scheibe einzuschlagen.
En raison de la pénurie persistante de compétences et du déluge de code écrit pour répondre aux besoins logiciels mondiaux, de nombreuses entreprises prennent du retard dans leur stratégie de cybersécurité et leur infrastructure existante. Il est temps que nous examinions honnêtement notre maturité globale en matière de cybersécurité et que nous évaluions les gains rapides viables qui se présentent à nous.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise, est le résultat d'une analyse approfondie de véritables initiatives de sécurité par conception au niveau de l'entreprise et de l'élaboration d'approches basées sur les meilleures pratiques basées sur des résultats basés sur des données.
L'attention croissante portée au code sécurisé et aux principes de sécurité dès la conception nécessite que les développeurs soient formés à la cybersécurité dès le début du SDLC, avec des outils tels que le Trust Score de Secure Code Warrior qui permettent de mesurer et d'améliorer leurs progrès.
Unsere Untersuchungen haben gezeigt, dass Schulungen zum Thema sicheres Programmieren funktionieren. Trust Score, das einen Algorithmus verwendet, der auf mehr als 20 Millionen Lern-Datenpunkten basiert, die aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen stammen, zeigt seine Wirksamkeit bei der Reduzierung von Schwachstellen und wie die Initiative noch effektiver gestaltet werden kann.
Il est notoirement difficile de trouver des données pertinentes sur le succès des initiatives de sécurisation dès la conception. Les RSSI sont souvent confrontés à des défis lorsqu'ils tentent de prouver le retour sur investissement (ROI) et la valeur commerciale des activités des programmes de sécurité, tant au niveau des personnes que de l'entreprise. Sans oublier qu'il est particulièrement difficile pour les entreprises de se faire une idée de la manière dont leurs organisations sont comparées aux normes actuelles du secteur. La stratégie nationale de cybersécurité du président a invité les parties prenantes à « intégrer la sécurité et la résilience dès la conception ». La clé pour que les initiatives de sécurité dès la conception fonctionnent est non seulement de donner aux développeurs les compétences nécessaires pour garantir un code sécurisé, mais également de garantir aux régulateurs que ces compétences sont en place. Dans cette présentation, nous partageons une myriade de données qualitatives et quantitatives, dérivées de plusieurs sources primaires, y compris des points de données internes collectés auprès de plus de 250 000 développeurs, des informations sur les clients basées sur les données et des études publiques. En tirant parti de cette agrégation de points de données, nous visons à communiquer une vision de l'état actuel des initiatives de sécurisation dès la conception dans de nombreux secteurs verticaux. Le rapport explique pourquoi cet espace est actuellement sous-utilisé, l'impact significatif qu'un programme de renforcement des compétences réussi peut avoir sur l'atténuation des risques de cybersécurité et la possibilité d'éliminer des catégories de vulnérabilités d'une base de code.
Bei der KI-Debatte geht es nicht um den Nutzen, sondern um die Anwendung. Entdecken Sie, wie Sie die Notwendigkeit von KI-Produktivitätssteigerungen mit robuster Sicherheit in Einklang bringen können, indem Sie sich auf Entwickler verlassen, die ihren Code genau verstehen.
Dans ce livre blanc, Matias Madou, Ph.D., expert en sécurité, directeur technique et cofondateur de Secure Code Warrior, abordera les six piliers dont vous avez besoin pour déployer une formation et une activation efficaces en matière de sécurité pour votre cohorte de développement. Les leçons apprises par dix dirigeants qui mettent en œuvre des programmes de sécurité au niveau de l'entreprise et les pièges courants à éviter sur la voie du succès.
