Détection des intrusions au sein des applications
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Expliquer l’importance de mettre en œuvre une surveillance suffisante des applications
- Décrire comment les tests de résistance peuvent être utilisés pour renforcer la sécurité
Détection des intrusions grâce à la surveillance des applications
En tant qu’ingénieur en sécurité des applications, vous rencontrerez probablement beaucoup moins de problèmes en exerçant une journalisation excessive qu’en exerçant une journalisation insuffisante. Le fait de procéder à une journalisation et à une surveillance insuffisantes constitue une faiblesse de sécurité très répandue. La journalisation consiste à collecter et à stocker des données en vue d’analyser des tendances ou d’enregistrer les événements et les actions entreprises par une application, un utilisateur ou une autre solution technologique.
Un journal d’application est un fichier recensant les événements consignés par une application logicielle. Le journal contient des informations sur les erreurs, les événements, les avertissements et les alertes. Les ingénieurs en sécurité des applications ont un rôle important à jouer dans la détermination du format et du contenu des journaux d’applications.
Il est crucial de procéder à une journalisation suffisante pour permettre aux professionnels de la sécurité de surveiller les ressources informatiques de leur environnement. La surveillance des applications permet aux ingénieurs en sécurité des applications de s’assurer qu’une application fonctionne de la manière attendue. S’il y a des anomalies, celles-ci peuvent être le signe d’une intrusion ou d’une tentative d’intrusion d’une personne malveillante.
Sans une journalisation et une surveillance suffisantes, les activités malveillantes des attaquants peuvent ne pas être détectées par les analystes de sécurité. Cela peut permettre aux attaquants de compromettre les systèmes, d’assurer une persistance (conserver un accès au système) et même de se déplacer sur le réseau pour compromettre d’autres systèmes connectés. De cette manière, un attaquant peut compromettre la confidentialité, l’intégrité ou la disponibilité des données d’une application. Des études ont montré que le délai moyen nécessaire aux organisations pour détecter une violation est supérieur à 200 jours, et que ces violations sont souvent détectées par des parties externes plutôt qu’internes.
Les ingénieurs en sécurité des applications s’efforcent également de doter les équipes de réponse aux incidents de capacités de journalisation et de surveillance afin de permettre à leur organisation de réagir rapidement lorsque les analystes découvrent une activité anormale.
Maintenant, quels sont donc les autres domaines dans lesquels les ingénieurs en sécurité des applications apportent leur assistance ? Les ingénieurs surveillent, corrigent et préviennent en permanence les vulnérabilités de sécurité des applications. Ils tentent de détecter les intentions malveillantes avant que des dommages ne soient causés, en surveillant les processus des applications et le comportement des utilisateurs. Ils y parviennent, tout d’abord, en configurant les journaux de manière à ce qu’ils comportent les informations adéquates, et en veillant à ce que ceux-ci soient bien intégrés dans la pile technologique et le dispositif de réponse aux incidents. Ils s’assurent que les événements tels que les connexions, les échecs de connexion et les transactions à forte valeur sont consignés. Ils vérifient que des messages adéquats sont générés au sein des journaux en cas d’avertissement ou d’erreur. Ils s’assurent également que la composante de l’organisation responsable de la surveillance, généralement le centre des opérations de sécurité, surveille les journaux pour détecter toute activité suspecte. Ils veillent à la mise en place de seuils d’alerte et de processus d’escalade des réponses dans le but d’aider les analystes à identifier et à répondre rapidement aux menaces.
Utilisation de tests de résistance
Les ingénieurs en sécurité des applications ont recours à des tests de résistance pour évaluer la capacité d’une application à résister aux cybermenaces. Les tests de résistance impliquent qu’une équipe de sécurité réfléchisse comme un attaquant pour permettre d’identifier et d’atténuer les risques potentiels avant qu’ils ne soient exploités à des fins malveillantes.
Les tests d’intrusion constituent des tests de résistance courants dans le domaine de la sécurité des applications. Les tests d’intrusion peuvent être réalisés par un groupe distinct de professionnels de la sécurité au sein de l’organisation ou par une tierce partie. L’équipe chargée de la réalisation des tests d’intrusion mène une réflexion approfondie pour imaginer toutes les perspectives d’attaque possibles sur une application et les teste pour voir si elle peut effectuer des actions non autorisées ou dérober des données sensibles.
Le repérage de bugs constitue un autre type de test de résistance courant. Dans le cadre du repérage de bugs, les organisations annoncent qu’elles sont prêtes à payer une « prime » pour récompenser les pirates éthiques qui trouvent des vulnérabilités au sein de leurs applications et les informent de leur présence. Les récompenses pécuniaires peuvent être aussi bien modestes que très conséquentes.
De nombreuses grandes entreprises disposent de programmes de repérage de bugs et invitent des pirates éthiques internes et externes à y participer. En organisant une initiative collective visant à révéler les faiblesses d’une application, les programmes de repérage de bugs peuvent réduire le risque qu’un incident de sécurité au cours duquel une personne malveillante exploiterait une vulnérabilité ne se produise. Si vous êtes intéressé par une carrière dans le domaine de la sécurité des applications, participer à des programmes de repérage de bugs peut constituer un excellent moyen d’en apprendre davantage sur les compétences dont vous avez besoin dans ce secteur, et vous pourrez peut-être même gagner un peu d’argent au passage !
Les ingénieurs en sécurité des applications ont un rôle actif à jouer en ce qui concerne la mise en œuvre des réponses à apporter aux résultats des tests d’intrusion et des programmes de repérage de bugs. Ils travaillent avec l’équipe de développement d’applications et les propriétaires d’entreprise pour résoudre les problèmes, en donnant des conseils et en appliquant les meilleures pratiques de sécurité. Ils aident les gestionnaires des applications à déterminer quand et comment corriger les problèmes trouvés.
Ils examinent également les journaux après la réalisation d’un test d’intrusion ou l’identification d’un bug pour voir s’ils peuvent identifier les actions du testeur. Dans le cas contraire, les ingénieurs en sécurité des applications améliorent les informations collectées et corrélées dans les journaux et les tableaux de bord associés pour faire en sorte que les analystes puissent identifier les menaces et y répondre rapidement. Pour en savoir plus sur d’autres aspects à prendre en compte pour garantir une journalisation suffisante, consultez la ressource Énumération des faiblesses courantes (CWE) relative à la journalisation insuffisante.
Conclusion
Vous avez découvert les stratégies utilisées par les ingénieurs en sécurité des applications pour surveiller les applications à la recherche de signes d’activité malveillante, en faisant en sorte que les journaux soient fonctionnels, correctement paramétrés et intégrés aux dispositifs de réponse aux incidents. Cela conclut le parcours relatif à l’ingénierie de la sécurité des applications. Vous avez appris ce qu’implique cette mission, les compétences qu’il peut s’avérer pertinent pour vous d’acquérir et le rôle crucial que jouent les ingénieurs dans le cycle de vie du développement d’applications d’une organisation. Vous souhaitez en savoir plus sur la cybersécurité ? Consultez le centre de formation sur la cybersécurité sur Trailhead.
