La modélisation des menaces est un moyen très efficace de sécuriser les logiciels et les applications, mais très peu d'organisations le font réellement. Dans l'environnement informatique et de sécurité d'aujourd'hui, cependant, la modélisation des menaces est plus nécessaire que jamais.
Les systèmes distribués basés sur le cloud et les équipes de développement de logiciels agiles et interfonctionnelles ont remplacé les systèmes monolithiques construits et exploités par des équipes cloisonnées. En cours de route, les logiciels sont devenus beaucoup plus complexes, tout comme les menaces. Les acteurs de la menace ont changé de tactique pour contourner les moyens de détection traditionnels. De nombreuses attaques ne délivrent plus de logiciels malveillants, par exemple, se concentrant plutôt sur les compromissions d'informations d'identification. Et les attaquants peuvent s'asseoir à l'intérieur des réseaux de l'entreprise pendant des mois avant d'agir. d'IBM "Coût d'un rapport de violation de données” a constaté qu'il faut en moyenne 287 jours aux organisations pour identifier et contenir une violation.
Les entreprises reconnaissent le besoin. UN Étude Security Compass 2021 ont constaté que 79 % des moyennes et grandes entreprises considèrent la modélisation des menaces comme une priorité, mais que seulement 25 % effectuent la modélisation au cours des premières phases de conception. Et seulement 10 % effectuent une modélisation des menaces sur 90 % des applications qu'ils développent.
En tant qu'industrie, nous devons faire de la modélisation des menaces une pratique standard dans le développement de logiciels, introduite de manière à ce que les équipes de développement et de sécurité puissent travailler avec, et mise en œuvre de manière à montrer des résultats positifs et une amélioration au fil du temps. Et tout commence par un mot que vous n'entendrez peut-être pas souvent dans les opérations informatiques et les cercles de sécurité : l'empathie.
Un changement culturel
Il existe un certain nombre de raisons expliquant le décalage entre la perception de la valeur de la modélisation des menaces et sa mise en œuvre réelle, notamment un manque de communication entre les équipes de sécurité et de développement, et une tendance à abandonner la modélisation des menaces si les efforts initiaux deviennent confus et ne le font pas. produire les résultats souhaités.
Trop souvent, les équipes de sécurité considèrent l'application des contrôles de sécurité comme une voie à sens unique entre elles et les équipes de développement, comme une simple question de dire aux développeurs ce qu'ils doivent faire. Mais c'est partir du mauvais pied. Les organisations doivent reconnaître que chaque équipe possède des compétences dont l'autre peut tirer profit. Après tout, si vous placez un professionnel de la sécurité dans l'espace développeur, il sera perdu.
Changer cet état d'esprit nécessite un changement culturel, et cela commence par considérer l'empathie comme une proposition de valeur. Le côté humain de cela doit venir au premier plan, impliquer davantage de personnes dans l'enrichissement de nos connaissances. Les équipes de sécurité doivent apprécier l'environnement dans lequel travaillent les développeurs, sous pression pour développer et livrer rapidement des logiciels. Les équipes de développement peuvent aider les équipes de sécurité à comprendre les cadres tels que les conteneurs et comment contrôler l'accès, des connaissances qui peuvent être appliquées aux politiques de sécurité.
Lorsque les équipes collaborent dans les deux sens, elles apprennent les unes des autres. Il faudra du temps pour arriver à ce point. Cela peut commencer par des réunions ou une intégration de processus, peut-être en passant par quelques essais et erreurs, et éventuellement passer à l'intégration d'outils. Lorsqu'ils atteignent le niveau de maturité où tout le monde a une compréhension de base des domaines de chacun, ils peuvent alors passer à des niveaux plus avancés de modélisation des menaces, tels que la modélisation de bases de connaissances et la création de graphiques de concepts qui s'associent.
Mais cela nécessite un processus stable, sinon cela devient coûteux et chaotique, ce qui entraîne des problèmes de personnel désordonnés.
3 étapes pour une meilleure modélisation des menaces
Il y a trois éléments clés pour créer une atmosphère collaborative.
Coaching: Cela aide les développeurs à comprendre l'importance de la modélisation des menaces. Cela peut commencer par l'intégration de nouveaux employés. Quels que soient leurs antécédents et leurs certifications, ne présumez pas qu'ils savent comment la sécurité est gérée dans votre entreprise. Assurez-vous qu'ils comprennent la culture.
Coopération: Une culture de coopération et de collaboration commence par le leadership d'une entreprise, avec un RSSI ayant l'attitude de vouloir servir les équipes. Cela peut prendre du temps, mais cela devrait être modélisé au niveau du leadership.
Intégration: Les éléments de coopération se rejoignent en travaillant sur les intégrations, ce qui est un processus continu. Le but n'est pas la perfection, mais de s'améliorer et d'évoluer avec le temps.
Une clé pour que cette approche fonctionne est appliquer des mesures, en particulier en examinant les résultats, comme « réduire les vulnérabilités » - au lieu d'essayer de classer les détails de la façon dont les individus travaillent. Les résultats ne sont pas une affaire de développeur ou de sécurité, c'est l'affaire de tout le monde.
J'ai trouvé dans mon expérience qu'il est utile d'avoir des plans clairs sur 30, 60 et 90 jours, décrivant le résultat attendu à chaque étape. Les plans doivent démontrer une croissance progressive et être réalisés en collaboration. Si ces résultats doivent être mesurés, ou vous finissez par dériver sans but.
L'empathie est la clé
En tant que communauté de sécurité, il est de notre responsabilité de aider les développeurs à adopter la modélisation des menaces. Ce n'est pas nous contre eux. Nous devons les amener à réfléchir à la sécurité et à la modélisation des menaces, dans le cadre d'une approche intégrée qui évolue au fil du temps.
L'empathie en tant que technique de gestion peut aider à créer cet environnement. Certaines personnes peuvent penser que l'empathie signifie aucune responsabilité - que comprendre la position et les pensées de quelqu'un est en quelque sorte douce - mais cela produit en fait le résultat opposé. Il développe la collaboration dont nous avons désespérément besoin.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
