L'école Shrek Application Security

Ou comment j'ai appris à ne plus m'inquiéter et à aimer l'ogre dans mon château

Une histoire édifiante de dragons, d'ânes et de fuites de données

Il était une fois, dans un royaume lointain (probablement la Silicon Valley), les architectes de la sécurité du monde entier croyaient en une vérité simple : construire une forteresse immense, placer un dragon cracheur de feu à l’entrée, et le tour était joué. Après tout, que pourrait-il bien arriver de mal quand la créature la plus redoutable du royaume protège vos biens les plus précieux ?

Entrent en scène Mike Myers et Eddie Murphy pour briser cette illusion avec la grâce d'un ogre faisant du ballet.

L'illusion de la forteresse : la sécurité médiévale face à l'hubris moderne

Le documentaire de 2001 « Shrek » (bon, d'accord, « film d'animation ») a révélé ce que les professionnels de la sécurité des applications dénoncent depuis des décennies : La sécurité périmétrique est un beau mensonge que l'on se raconte pour mieux dormir la nuit.

Le château de Lord Farquaad avait tout ce dont un RSSI pouvait rêver :

• Murs imposants (vérifié)
• Un fossé (vérifier)
• UN VRAI DRAGON (vérifié, vérifié, vérifié)
• Isolement géographique (vérifié)
• Probablement certaines certifications de conformité (ISO 27001 : Édition médiévale)

Et pourtant, un protagoniste vert à l'hygiène douteuse et son compagnon équin à la langue bien pendue sont arrivés comme si de rien n'était et ont exfiltré la princesse Fiona comme s'il s'agissait d'une clé API mal protégée dans un dépôt GitHub public.

Le château gardé par le dragon : une lettre d'amour à la fausse confiance

C'est là que ça devient épicé : Posséder un dragon ne signifie pas que vos données sont safeCela signifie simplement que vous avez investi massivement dans quelque chose qui impressionne lors des présentations au conseil d'administration.

En termes de sécurité applicative moderne, ce dragon représente vos outils de sécurité d'entreprise dernier cri, dont le coût dépasse le PIB d'un petit pays :

• Les pare-feu de nouvelle génération crachent un feu métaphorique
• Solutions EDR aux noms effrayants
• Cette plateforme SIEM dont vous juriez qu'elle résoudrait tous vos problèmes
• Le rapport de test d'intrusion qui prend la poussière depuis 2019

Mais voilà le problème avec les dragons (et les outils de sécurité traditionnels) : ils sont excellents pour tenir à distance les ogres honnêtes, mais terriblement inefficaces pour arrêter les adversaires déterminés qui comprennent réellement l’architecture du château.

La méthode Shrek : identifier les lacunes

Shrek n'a pas piraté le dragon. Il n'en avait pas besoin. Il a trouvé les failles de sa structure :

• Le pont-levis présentait un point de défaillance unique (comme votre système d'authentification).
• Le dragon dormait (comme votre équipe de sécurité à 3 heures du matin lorsqu'une brèche se produit).
• L'ingénierie sociale a fonctionné (l'âne a littéralement surmonté les obstacles grâce à son pouvoir de persuasion).
• La menace interne était réelle (la princesse Fiona a finalement apporté son aide de l'intérieur).

Ça vous dit quelque chose ? Normal. Car c’est littéralement le cas de tous les rapports de violation de données que vous avez jamais lus.

Entrer Digital.aiParce que votre royaume mérite mieux qu'un dragon endormi

Maintenant, parlons de la résolution concrète de ce problème au lieu de simplement imiter le cri du dragon et d'espérer que tout se passe bien.

Application Security: Voir à l'intérieur de sa propre forteresse

Digital.ai's Application Security les outils fonctionnent selon un principe radical : Et si vous saviez ce qui se passait à l'intérieur de votre château AVANT même l'arrivée de l'ogre ?

Révolutionnaire, je sais.

Pendant que Farquaad s'affairait à polir son dragon et à mesurer sa tour (une belle compensation, peut-être ?), il n'avait aucune visibilité sur :

• Code vulnérable dans ses systèmes de gestion de châteaux
• Risques liés à la chaîne d'approvisionnement (qui a construit ces murs de pierre, au fait ?)
• Points de terminaison d'API exposés au réseau du marais
• Identifiants codés en dur dans le système de contrôle d'accès au donjon

Digital.aiLa plateforme AppSec de [Nom de l'entreprise] propose :

• Statique Application Security Tests (SAST) – Détecter les vulnérabilités avant leur déploiement en production (ou avant qu'elles ne soient intégrées aux remparts du système).
• Analyse de la composition logicielle (SCA) – Parce que ce composant tiers que vous avez importé ? Il présente 47 vulnérabilités connues et a été écrit par un troll.
• Sécurité des conteneurs – Lorsque vous gérez votre infrastructure sous Kubernetes et que vous n'avez aucune idée de ce qui est réellement en cours d'exécution.
• Intégration continue de la sécurité – Pas seulement une évaluation ponctuelle du type « oui, il y a un dragon ici ».

Cryptographie en boîte blanche : quand la transparence n’est pas une faiblesse

C'est là que les choses deviennent vraiment intéressantes. La cryptographie en boîte blanche, c'est comme avoir des plans architecturaux pour sa forteresse qui, paradoxalement, ne facilitent pas l'effraction.

L'approche traditionnelle : « S'ils peuvent voir à l'intérieur, ils peuvent le casser. » La réalité de la boîte blanche : « Nous partons du principe qu'ils peuvent déjà voir à l'intérieur, alors faisons en sorte que le chiffrement fonctionne même si tous les détails d'implémentation sont exposés. »

Voici l'approche anti-Farquaad. Au lieu de miser sur la sécurité par l'obscurité (un dragon, des murs et l'espoir que personne ne remarque la princesse), on construit la sécurité en partant du principe que l'adversaire :

• Je peux voir votre code
• Comprend votre architecture
• A accès à vos fichiers binaires
• Il se pourrait même qu'il soit déjà à l'intérieur de votre réseau.

Digital.aiOutils de cryptographie en boîte blanche de Protégez les données sensibles et les clés, même lorsqu'elles fonctionnent dans des environnements hostiles, comme les applications mobiles, les appareils IoT ou l'ordinateur portable d'un développeur exécutant une copie non autorisée de tous les logiciels.

Pensez-y comme : Même si Shrek, l'Âne et le dragon se trouvent tous dans votre salle du trône, vos joyaux de la couronne restent cryptés.

La vérité brutale : l'exfiltration existe

Voici ce que Myers et Murphy nous ont appris, traduit pour les spécialistes de la cybersécurité : Vous serez victime d'une violation de données.

La question n'est pas de savoir SI un ogre entrera dans votre château. La question est :

1. À quelle vitesse le détectez-vous ?
2. À quoi auront-ils réellement accès une fois à l'intérieur ?
3. Comment les empêcher de repartir avec la princesse (ou votre base de données clients) ?

Le modèle traditionnel – mentalité de forteresse, sécurité périmétrique, ce dragon que l'on nourrit sans cesse – concerne prévention.

Le Digital.ai Le modèle concerne :

• Sécurité Shift-gauche (Détecter les vulnérabilités avant la construction du château)
• Protection d'exécution (Défendez-les même lorsqu'ils sont à l'intérieur)
• Surveillance continue (Parce que les menaces ne prennent pas de week-end)
• résilience cryptographique (Des données qui restent protégées même en cas de vol)

Le facteur Donkey : Ne jamais sous-estimer les canaux secondaires

Peut-on parler de Donkey un instant ? Car Donkey représente tous les vecteurs d’attaque négligés dans votre infrastructure :

• Ce message d'erreur bavard qui révèle les traces de pile
• La réponse de l'API est verbeuse et contient beaucoup trop d'informations.
• Le système de journalisation qui divulgue accidentellement des secrets
• Ce développeur qui publie des schémas d'architecture sur Stack Overflow

L'âne a réussi à passer devant un dragon grâce à son bagou. IL A. RÉUSSI. À. PASSER. DEVANT. UN. DRAGON.

Vos outils de sécurité doivent prendre en compte les « ânes » – ces vulnérabilités apparemment insignifiantes qui, lorsqu'elles sont enchaînées, deviennent une autoroute vers vos données.

Digital.aiL'approche globale de [nom de l'entreprise] recherche ces « vecteurs d'âne » :

• vulnérabilités liées à la divulgation d'informations
• Attaques par canal auxiliaire
• Configurations non sécurisées
• Ces bibliothèques tierces sont plus bavardes qu'un cheval nerveux à un barbecue de dragons.

La princesse intérieure : votre problème de menace interne

Coup de théâtre : la princesse Fiona n’était pas qu’une victime ; elle est devenue un élément clé du plan d’exfiltration. Elle avait :

• Connaissance du fonctionnement du château
• Accès légitime aux zones réglementées
• Des motivations qui ne correspondaient pas à la posture de sécurité de Farquaad

Vos menaces internes se ressemblent :

• Utilisateurs privilégiés ayant un accès excessif
• Employés mécontents
• Identifiants compromis
• Des développeurs bien intentionnés qui veulent simplement livrer du code plus rapidement

Digital.aiLes outils de [nom de l'entreprise] aident en :

• Appliquer le principe du moindre privilège grâce à des pratiques de codage sécurisées
• Détection des comportements anormaux dans l'utilisation des applications
• S'assurer que la gestion des secrets ne se résume pas à « un mot de passe dans un fichier de configuration ».
• Rendre la sécurité si transparente que les développeurs n'ont plus besoin de la contourner (coucou, l'informatique parallèle !).

Le réseau Swamp : votre cauchemar en matière de chaîne d'approvisionnement

Shrek vivait dans un marais, un écosystème complexe que Farquaad jugeait indigne de son attention. De même, votre chaîne d'approvisionnement logicielle regorge de :

• Composants open source issus du marécage du développement
• API tierces que vous avez à peine vérifiées
• Dépendances avec dépendances avec dépendances
• Ce paquet npm aléatoire, téléchargé 2 millions de fois, a été écrit par quelqu'un nommé « definitely_not_malicious ».

Digital.aiLes capacités SCA de [nom de l'entreprise] cartographient l'intégralité de votre chaîne d'approvisionnement, en identifiant :

• Vulnérabilités connues (CVE avec des exploits réels en circulation)
• Problèmes de conformité aux licences (car les obstacles juridiques sont aussi terrifiants)
• Paquets malveillants (les véritables ogres de votre arbre de dépendances)
• Des composants obsolètes qui auraient dû être mis à jour lorsque Shrek était encore à l'affiche.

La leçon de Farquaad : Conformité ≠ Sécurité

Lord Farquaad disposait probablement d'une documentation de conformité incroyable :

✅ Formulaire d'acquisition de dragon déposé
✅ Test d'intrusion Castle prévu (pour le prochain trimestre)
✅ Signature d'une acceptation des risques pour les « scénarios catastrophes »
✅ Assurance cyber souscrite

Et pourtant, il perdit sa princesse, son royaume, et finit par devenir la proie des dragons.

Voilà le problème de toutes les organisations qui considèrent la sécurité comme une simple formalité administrative.

Digital.aiL'approche de [nom de l'entreprise] reconnaît que la véritable sécurité signifie :

• Évaluation continue, et non audits annuels
• Des renseignements exploitables, pas des rapports de 500 pages
• Faciliter l'accès aux services pour les développeurs, et non les antagoniser.
• Des flux de travail intégrés, et non des ajouts de dernière minute.

Le dénouement heureux : une sécurité qui fonctionne vraiment

Voici comment ce conte de fées aurait dû se terminer avec une sécurité applicative adéquate :

1. Détection de décalage à gaucheL'analyse SAST a identifié une vulnérabilité critique liée au cycle de veille du service Dragon-as-a-Service avant son déploiement.
2. Protection d'exécutionMême si Shrek entrait dans le château, la cryptographie en boîte blanche garantit que la « Base de données de localisation des princesses » est inutilisable sans les clés appropriées.
3. Contrôle continuL'équipe de sécurité est alertée dès qu'un ogre non autorisé franchit le pont-levis, et non trois actes plus tard.
4. Chaîne d'approvisionnement sécuriséeLe miroir magique déformé (manifestement un appareil IoT compromis) est signalé lors de l'analyse SCA.
5. Réponse automatiséeLe système de sécurité de Farquaad verrouille automatiquement la tour lorsqu'un bavardage anormal d'âne est détecté.

La morale de l'histoire

Mike Myers et Eddie Murphy nous ont appris que Votre dispositif de sécurité est aussi solide que sa créature de conte de fées la plus faible.

Vous pouvez avoir:

• La plus grande forteresse
• Le dragon le plus effrayant
• Les outils de sécurité les plus coûteux
• La liste de contrôle de conformité la plus longue

Et malgré tout, tout perdre face à un adversaire déterminé qui comprend que Les attaques modernes ne passent plus par la porte principale.

Ils arrivent :

• Code d'application vulnérable
• Chaînes d'approvisionnement compromises
• châteaux de nuages ​​mal configurés
• Ingénierie sociale (ou tactiques de l'âne)
• Menaces internes ayant un accès légitime

Digital.ai's Application Security et Cryptographie en boîte blanche Les outils représentent un changement de mentalité fondamental : de « tenir les méchants à l'écart » à « supposer qu'ils sont déjà à l'intérieur et protéger ce qui compte de toute façon ».

La fin ? Pas tout à fait.

Car voici ce qu'il en est de la sécurité : il n'y a pas de « ils vécurent heureux pour toujours ». Il n'y a que :

• L'amélioration continue
• Défense adaptative
• Surface d'attaque réduite
• Détection et réponse plus rapides
• Et peut-être, juste peut-être, enfin pouvoir dormir un peu la nuit

Alors la prochaine fois que votre équipe dirigeante vous demandera : « Mais nous avons un dragon, n'est-ce pas ? », vous pourrez sourire d'un air entendu et répondre :

« Oui, mais Shrek l'a déjà contourné, l'Âne est en train de manipuler notre service d'assistance, et la princesse envoie notre adresse IP dans un marécage offshore via une API non sécurisée. Peut-être devrions-nous en discuter. » Digital.ai« La plateforme de sécurité des applications de » ?

Maintenant, sortez de votre marécage, auditez votre code et souvenez-vous : la sécurité est comme un oignon. Elle est composée de plusieurs couches.

---

Avertissement : Aucun dragon n'a été maltraité lors de la rédaction de cet article, même si plusieurs mythes liés à la sécurité ont été définitivement démystifiés.