Transformer la fastidieuse conformité PCI-DSS en un exercice pertinent pour tous : partie 1 - AppSec
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Il s'agit de la première partie d'une série en deux parties sur la conformité réussie à la norme PCI-DSS au sein d'une organisation. Dans ce chapitre, nous expliquons comment les spécialistes AppSec peuvent travailler en étroite collaboration avec les responsables du développement pour responsabiliser les développeurs, renforcer le SSDLC et obtenir des résultats spécifiques grâce à la législation générale.
Le mot « conformité » n'est pas très intéressant. C'est formel, sec, directif... même un peu restrictif dans son ton. S'il avait une couleur, ce serait le beige. Et bien, cela semble aller à l'encontre de tout type d'environnement créatif ou d'innovation.
En tant que développeur, mon expérience de « conformité » impliquait généralement la lecture (verticale) de certaines directives ou le visionnage d'une présentation, avant de revenir au codage des fonctionnalités et de me concentrer sur la création de logiciels que les clients utiliseront et adoreront. Tout le monde fait ce qu'il peut au moment présent (et essaie de faire ce qu'il faut à tout moment), mais les directives de conformité, en particulier celles qui concernent les meilleures pratiques de sécurité, ne sont généralement pas rédigées avec les développeurs comme public cible, et les actions requises peuvent être floues. Dans ce scénario, il est trop facile de se contenter de rester concentré sur les objectifs actuels.
Le fait est que le développement de logiciels sécurisés n'est plus un avantage pour aucune entreprise ; il est (ou devrait être) une priorité dans toutes les organisations... Et si elle détient de grandes quantités d'informations sensibles sur ses clients, cette entreprise est prête à faire le choix en matière de cyberattaques. Les développeurs sont les premiers à se familiariser avec le code et, à ce titre, devraient être tout aussi impliqués que le reste de l'équipe dans toutes les mesures de conformité en matière de sécurité.
Mais attendez... écoutez-moi. Cela ne signifie pas que tout le monde doit devenir l'esclave d'un développement et de résultats logiciels rigides et sans créativité. Cela signifie que l'entreprise a la possibilité et le pouvoir de créer ensemble un niveau de code plus élevé. Lentement, le monde se rend compte qu'à ce jour, les développeurs ne disposent pas des bons outils pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas en assumer seuls la responsabilité). Cependant, alors que le secteur évolue vers un avenir DevSecOps où la sécurité est une responsabilité partagée, ils peuvent contribuer à endiguer le flux de vulnérabilités récurrentes lorsqu'ils sont configurés pour réussir.
Les directives PCI-DSS couvrent la conformité en matière de sécurité en ligne pour les passerelles de paiement par carte, un service que la plupart d'entre nous utilisent régulièrement. Ces directives sont applicables dans le monde entier, et elles ont en fait décrit en détail ce que les développeurs doivent faire pour maintenir les normes conformément à leurs mandats, aux côtés plusieurs documents de conformité dans tous les aspects du commerce électronique.
Les violations de données constituent des risques effrayants et destructeurs de réputation que les entreprises ne peuvent pas se permettre, et Cyber Security Ventures donne des conseils sur les violations du jour zéro pour atteindre un par jour en 2021, chacun des acteurs du processus de fourniture de logiciels peut contribuer à lutter contre ce problème.
Décrivons les recommandations PCI-DSS et expliquons comment elles peuvent fonctionner au sein de l'équipe :
Bonjour, équipes AppSec et Compliance : toutes les formations destinées aux développeurs ne se valent pas
Les développeurs des grandes (ou même des petites) organisations participent rarement pleinement à la formation qu'ils reçoivent sur le tas. Afin de conserver les meilleurs employés, certaines entreprises proposent des programmes complets, mais ceux-ci sont encore moins courants qu'ils ne devraient l'être. Le besoin de formation en matière de sécurité représente une excellente occasion non seulement de lancer la mise en conformité de l'organisation sans ennuyer tout le monde, mais également de commencer à nouer des relations glaciales avec l'équipe de développement.
En termes de conformité PCI, vous pouvez constater que leurs directives sont spécifiques quant aux résultats qu'ils peuvent attendre de tout logiciel exécutant des passerelles de paiement ; entre autres objectifs, ils souhaitent que les applications soient renforcées (vital pour contrecarrer les programmes malveillants). injection de code ou falsification), des contrôles de moindre privilège et une prise de conscience complète des vulnérabilités courantes... au minimum. Tout le personnel travaillant avec les données des titulaires de cartes doit être correctement formé, et pour les développeurs, cette formation peut faire ou défaire leur réussite en matière d'écriture de code sécurisé dès le début de leur processus.
L'officiel Meilleures pratiques pour maintenir la conformité à la norme PCI-DSS le document détaille certains concepts directs liés à la sensibilisation à la sécurité, aux besoins des développeurs et à la formation appropriée, tels que :
Tous droits réservés © 2006 - 2020 Conseil des normes de sécurité PCI, LLC. Tous droits réservés.
Cela donne un aperçu de la formation spécifique et approfondie requise pour doter les développeurs des compétences nécessaires, mais aucun type particulier de solutions pédagogiques n'est plus efficace qu'un autre. Le guide PCI-DSS pour les développeurs est un peu plus direct, identifiant le Top 10 de l'OWASP comme une référence pour apprendre à identifier et à corriger les vulnérabilités les plus courantes, ainsi que certains programmes de certification.
Mais... voici le hic. Comme vous le savez sans doute grâce aux diverses initiatives de formation et de conformité en milieu de travail, leur qualité et leur succès futur peuvent varier considérablement. Et en ce qui concerne les développeurs, de nombreux programmes de formation au codage sécurisé ne semblent pas répondre de manière significative à nos besoins, à nos méthodes de travail ou même à notre travail quotidien. Dans ce scénario, toutes les formations ne sont pas créées de la même manière, et toutes les formations n'aboutiront pas à un logiciel plus sécurisé. Bien entendu, c'est exactement le contraire du résultat que vous souhaitez obtenir, et cela ne réduira pas de manière significative le stress lié à votre travail. Si vous voulez réduire le fardeau et empêcher les vulnérabilités courantes de provoquer des catastrophes potentielles, vous devrez construire un pont.
Combler le déficit de compétences en matière de sécurité en faisant appel à des responsables de l'ingénierie
Travailler directement avec les responsables de l'ingénierie pour trouver une solution adaptée à l'objectif, tout en étant adoptée par les personnes réellement chargées de la mettre en œuvre, permet d'obtenir rapidement des résultats positifs en matière de sécurité. Ils auront un aperçu plus immédiat de leur propre équipe et pourront parler à tous les bloqueurs qui ont déjà rendu la formation à la conformité difficile (si ce n'est pas une expérience formidable, la plupart du temps).
Les formations en classe, la vidéo à la demande et tous les exercices ponctuels à cocher font qu'il est très difficile de rester à jour ; il s'agit de solutions statiques qui ne peuvent pas suivre le rythme du paysage en constante évolution qu'est le secteur de la cybersécurité. En fin de compte, le responsable de l'ingénierie souhaitera valoriser le temps qui lui est consacré. Il est important de travailler avec lui et de proposer des options viables qui répondent à l'objectif commun de tous : un code plus sécurisé et plus conforme.
Alors, à quoi ressemble un bon entraînement ? Il ne sert à rien d'apprendre à coder en toute sécurité en saisissant de gros volumes d'informations une seule fois. Un processus d'apprentissage progressif et de petite envergure le rend beaucoup plus facile à mémoriser et à appliquer en contexte, et il doit absolument être dans les langages et les cadres utilisés au quotidien. Personnellement, je veux relever des défis et je veux voir un but à mes efforts. Nous sommes tous assez occupés en l'état, n'est-ce pas ?
Pour se conformer aux meilleures pratiques PCI-DSS décrites ci-dessus, en fonction de la solution choisie, les responsables peuvent être amenés à créer une mosaïque de cours couvrant tous les langages et frameworks utilisés dans l'entreprise. C'est là que les choses se compliquent, sans parler des difficultés à évaluer pour les équipes de sécurité et de conformité des applications en termes d'impact sur la sécurité et la réduction des vulnérabilités des logiciels. Travaillez ensemble pour trouver la solution idéale, au lieu de vous précipiter dans la mauvaise option pour obtenir un résultat rapide. Sinon, vous pourriez vous retrouver avec une solution d'entraînement Frankenstein... et ça a l'air très effrayant.
Merci d'avoir consulté la première partie de cette mini-série PCI-DSS. Dans le dernier chapitre, nous verrons comment les RSSI et les directeurs techniques peuvent contribuer à cette transformation de la culture, donner des moyens aux équipes, et comment les acteurs de première ligne en matière de sécurité, « votre cohorte de développeurs », peuvent tirer parti de la sensibilisation et de la conformité à la norme PCI-DSS à leur avantage.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
