Dissiper le « brouillard du plus » en matière de cybersécurité

A la RSA Conference Ce mois-ci, à San Francisco, une gamme vertigineuse de nouvelles solutions dégoulinantes ont été exposées dans le secteur de la cybersécurité. Stand après stand, on prétendait être l'outil qui sauverait votre organisation des mauvais acteurs qui volaient vos cadeaux ou vous faisaient chanter pour des millions de dollars.

Après mûre réflexion, je suis arrivé à la conclusion que notre industrie est perdue. Perdu dans la soupe de détection et de réponse avec des bêtises sans fin affirmant que vos problèmes disparaîtront tant que vous ajoutez simplement une couche supplémentaire. Englouties dans un tourbillon d’investissements technologiques, de personnel, d’outils et d’infrastructures, les entreprises ont désormais formé un labyrinthe dans lequel elles ne peuvent plus voir la forêt derrière les arbres lorsqu’il s’agit d’identifier et de prévenir les acteurs menaçants. Ces outils, destinés à protéger les actifs numériques, génèrent plutôt de la frustration pour les équipes de sécurité et de développement en raison de charges de travail accrues et d'outils incompatibles. Le « brouillard du plus » ne fonctionne pas. Mais franchement, cela ne l’a jamais été.

Les cyberattaques commencent et se terminent par du code. C'est si simple. Soit vous avez une faille de sécurité ou une vulnérabilité dans le code, soit le code a été écrit sans tenir compte de la sécurité. Quoi qu’il en soit, chaque attaque ou titre que vous lisez provient du code. Et ce sont les développeurs de logiciels qui sont confrontés au plus gros du problème. Mais les développeurs ne sont pas formés à la sécurité et, franchement, ils ne le seront peut-être jamais. Ils implémentent donc de bons outils de recherche de code à l’ancienne qui récupèrent simplement le code pour les modèles. Et ayez peur de ce que vous demandez, car en conséquence, ils reçoivent l’alerte tsunami, pourchassant les harengs rouges et les fantômes pendant la majeure partie de leur journée. En fait, les développeurs sont passer jusqu'à un tiers de leur temps chasser les faux positifs et les vulnérabilités. Ce n’est qu’en se concentrant sur la prévention que les entreprises pourront réellement commencer à renforcer leurs programmes de sécurité et jeter les bases d’une culture axée sur la sécurité.

Recherche et correction au niveau du code

On dit souvent qu’il vaut mieux prévenir que guérir, et cet adage est particulièrement vrai dans les services de cybersécurité. C'est pourquoi, même dans un contexte de contraintes économiques plus strictes, les entreprises investissent et connectent continuellement davantage d'outils de sécurité, créant ainsi de multiples barrières à l'entrée pour réduire la probabilité de cyberattaques réussies. Mais malgré l’ajout de niveaux de sécurité toujours plus nombreux, les mêmes types d’attaques continuent de se produire. Il est temps pour les organisations d'adopter une nouvelle perspective, celle de s'attaquer au problème à la racine, en trouvant et en corrigeant les vulnérabilités du code.

Les applications constituent souvent le principal point d'entrée pour les cybercriminels cherchant à exploiter les faiblesses et à obtenir un accès non autorisé aux données sensibles. Fin 2020, le Compromis SolarWinds a été révélé et les enquêteurs ont découvert un processus de construction compromis qui permettait aux attaquants d'injecter du code malveillant dans le logiciel de surveillance du réseau Orion. Cette attaque a souligné la nécessité de sécuriser chaque étape du processus de création de logiciels. En mettant en œuvre des mesures robustes de sécurité des applications, ou AppSec, les organisations peuvent atténuer le risque de ces failles de sécurité. Pour ce faire, les entreprises doivent adopter une mentalité de « gauche », en intégrant des méthodes préventives et prédictives. développant étape.

Même si cette idée n’est pas entièrement nouvelle, elle présente néanmoins des inconvénients. Un inconvénient majeur est l’augmentation du temps et des coûts de développement. La mise en œuvre de mesures AppSec complètes peut nécessiter des ressources et une expertise importantes, ce qui entraîne des cycles de développement plus longs et des dépenses plus élevées. De plus, toutes les vulnérabilités ne présentent pas un risque élevé pour l’organisation. Le potentiel de faux positifs provenant des outils de détection entraîne également une frustration parmi les développeurs. Cela crée un fossé entre les équipes commerciales, d’ingénierie et de sécurité, dont les objectifs peuvent ne pas correspondre. Mais l’IA générative pourrait être la solution qui comblerait définitivement cet écart.

Entrer dans l’ère de l’IA

En tirant parti de l’omniprésence de l’IA générative au sein d’AppSec, nous pourrons enfin tirer les leçons du passé pour prédire et prévenir les attaques futures. Par exemple, vous pouvez former un Large Language Model ou LLM sur toutes les vulnérabilités de code connues, dans toutes leurs variantes, pour en connaître les caractéristiques essentielles. Ces vulnérabilités peuvent inclure des problèmes courants tels que des dépassements de tampon, des attaques par injection ou une validation d'entrée incorrecte. Le modèle apprendra également les différences nuancées selon le langage, le framework et la bibliothèque, ainsi que les correctifs de code qui réussissent. Le modèle peut ensuite utiliser ces connaissances pour analyser le code d'une organisation et trouver des vulnérabilités potentielles qui n'ont même pas encore été identifiées. En utilisant le contexte autour du code, les outils d’analyse peuvent mieux détecter les menaces réelles. Cela signifie des temps d'analyse courts et moins de temps pour rechercher et corriger les faux positifs et une productivité accrue pour les équipes de développement.

Les outils d'IA générative peuvent également proposer des suggestions de correctifs de code, automatisant le processus de génération de correctifs, réduisant ainsi considérablement le temps et les efforts nécessaires pour corriger les vulnérabilités des bases de code. En formant des modèles sur de vastes référentiels de bases de code sécurisées et de bonnes pratiques, les développeurs peuvent exploiter des extraits de code générés par l'IA qui respectent les normes de sécurité et évitent les vulnérabilités courantes. Cette approche proactive réduit non seulement le risque d'introduction de failles de sécurité, mais accélère également le processus de développement en fournissant aux développeurs des composants de code pré-testés et validés.

Ces outils peuvent également s'adapter à différents langages de programmation et styles de codage, ce qui en fait des outils polyvalents pour la sécurité du code dans divers environnements. Ils peuvent s'améliorer au fil du temps à mesure qu'ils continuent à s'entraîner sur de nouvelles données et commentaires, conduisant à une génération de correctifs plus efficace et plus fiable.

L'élément humain

Il est essentiel de noter que même si les correctifs de code peuvent être automatisés, la surveillance et la validation humaines restent cruciales pour garantir la qualité et l'exactitude des correctifs générés. Même si les outils et algorithmes avancés jouent un rôle important dans l’identification et l’atténuation des vulnérabilités de sécurité, l’expertise humaine, la créativité et l’intuition restent indispensables pour sécuriser efficacement les applications.

Les développeurs sont en fin de compte responsables de l’écriture du code sécurisé. Leur compréhension des meilleures pratiques de sécurité, des normes de codage et des vulnérabilités potentielles est primordiale pour garantir que les applications sont conçues dans un souci de sécurité dès le départ. En intégrant des programmes de formation et de sensibilisation à la sécurité dans le processus de développement, les organisations peuvent permettre aux développeurs d'identifier et de résoudre de manière proactive les problèmes de sécurité, réduisant ainsi la probabilité d'introduire des vulnérabilités dans la base de code.

De plus, une communication et une collaboration efficaces entre les différentes parties prenantes au sein d’une organisation sont essentielles au succès d’AppSec. Même si les solutions d’IA peuvent contribuer à « combler le fossé » entre les opérations de développement et de sécurité, il faut une culture de collaboration et de responsabilité partagée pour créer des applications plus résilientes et plus sécurisées.

Dans un monde où le paysage des menaces est en constante évolution, il est facile de se laisser submerger par le grand nombre d'outils et de technologies disponibles dans le domaine de la cybersécurité. Cependant, en se concentrant sur la prévention et en trouvant les vulnérabilités dans le code, les organisations peuvent réduire le « gras » de leur pile de sécurité existante, économisant ainsi une quantité exponentielle de temps et d'argent. Au niveau racine, ces solutions seront capables non seulement de trouver les vulnérabilités connues et de corriger les vulnérabilités du jour zéro, mais également les vulnérabilités antérieures au jour zéro avant qu'elles ne surviennent. Nous pourrions enfin suivre le rythme, voire devancer, de l’évolution des acteurs de la menace.