Les équipes DevOps acquièrent une visibilité approfondie sur la surface d’attaque de leurs applications tout en automatisant la vérification des vulnérabilités
Contrast Security, nouvelle génération de plate-forme de sécurité logicielle, présente Route Intelligence™, puissant nouveau moyen destiné à sécuriser les applications. Les solutions de test de sécurité des applications actuelles se contentent de signaler les vulnérabilités potentielles dans le code et sont truffées de faux positifs. Cette approche archaïque de la sécurité des applications fait également perdre un temps précieux en vérifiant manuellement lesvulnérabilités. Route Intelligence de Contrast, qui est d’ores et déjà disponible dans le cadre de Contrast Assess, est une solution révolutionnaire et innovante qui associe une évaluation continue et précise et des capacités d’évaluation des vulnérabilités basées sur des instruments. Par comparaison avec les approches traditionnelles de sécurité des applications, Route Intelligence fait gagner un temps considérable aux équipes de sécurité et de développement d’applications tout en réduisant les coûts : les équipes de développement savent exactement quelles parties de chaque application ont été testées pour détecter les failles de sécurité critiques.
Dans les logiciels, les routes ressemblent à celles des villes ; elles permettent aux données d’atteindre la bonne destination et soutiennent la logique dans l’application. En utilisant les approches traditionnelles de test de sécurité des applications, les équipes de développement sont incapables de déterminer la part de leur surface d’attaque – c’est-à-dire le nombre de routes – ayant été évaluée pour les vulnérabilités. Grâce à Route Intelligence, les équipes de développement connaissent toute l’étendue de leur dispositif de sécurité des applications. Route Intelligence automatise également la vérification de la correction des vulnérabilités, évitant ainsi le processus manuel fastidieux par lequel les équipes de développement devaient passer avec plusieurs équipes pour vérifier la bonne correction des vulnérabilités. Cela permet aux équipes de développement d’économiser beaucoup de temps et de ressources.
« Les leaders de la sécurité et du développement veulent des DevOps et une transformation digitale à grande vitesse et en toute sécurité. Un principe fondamental pour aller vite est de trouver et de corriger le plus tôt possible les fonctionnalités importantes et les failles de sécurité », a déclaré Alan P. Naumann, Chairman of theBoard, Président et CEO de Contrast Security. « Avec Route Intelligence, qui fait maintenant partie de Contrast Assess, nos clients peuvent immédiatement visualiserl’image complète de toute la surface d’attaque de l’application, ce qui permet aux équipes de développement débordées de gagner du temps et de concentrer leursprécieuses forces. En outre, les équipes de développement et de sécurité peuvent travailler en partageant une vue commune et précise, ce qui permet d’économiser des centaines d’heures à vérifier les corrections sur les vulnérabilités. Route Intelligence est un outil qui change la donne dans la révolution de la sécurité des applications dontContrast Security est le fer de lance ».
Comme les équipes de développement n’ont pas une visibilité totale de la surfaced’attaque des applications lorsqu’elles utilisent les outils traditionnels de tests de sécurité des applications statiques (SAST) et des applications dynamiques (DAST), les risques inhérents résident dans les environnements de développement et de test des applications. En s’appuyant sur Route Intelligence, Contrast Assess, solution IAST deContrast Security, remplace les anciens outils SAST et DAST par une plate-forme moderne qui associe SAST, DAST et un test IAST (tests de sécurité applicativeinteractifs) en une seule solution. Cette solution offre une visibilité complète sur l’ensemble de la surface d’attaque des applications. En outre, les approches traditionnelles de test de sécurité des applications impliquent des centaines d’heures de travail des employés pour vérifier manuellement les vulnérabilités car cela ralentit les cycles de vie de l’intégration/déploiement continus (CI/CD).
Avec Route Intelligence, Contrast Assess change complètement le modèle de test de sécurité des applications, et cela de trois façons :
Une confiance inébranlable. Contrairement aux approches de test de sécurité des applications traditionnelles qui créent et analysent des modèles hypothétiques de référentiels de code source et aboutissent à des surfaces d’attaque et des modèles de vulnérabilité incomplets, Contrast Assess utilise des outils brevetés pour interroger directement les cadres d’application afin de déterminer toutes les voies d’application possibles pour fournir une visibilité complète de la surface d’attaque de l’application. En outre, les alertes de Contrast éliminent les faux positifs qui peuvent cacher des problèmes réels et entraver les activités de correction. Les équipes de sécurité et de développement ont donc toutes les garanties sur la rigueur de l’évaluation de la sécurité effectuée par Contrast Assess.
Une meilleure visibilité. Grâce à l’approche « découverte » utilisée par Contrast Assess, les développeurs disposent d’une image complète de la surface d’attaque de leur application, de la quantité de tests effectués et des zones nécessitant des mesures correctives en fonction des vulnérabilités identifiées. Cela élimine pratiquement tout risque de vulnérabilité associé au déploiement de code applicatif corrompu.
Automatisation supplémentaire. Les outils SAST et DAST traditionnels tentent de résoudre le problème de la couverture et de la vérification de la réparation en utilisant différentes techniques mais ils sont très inefficaces. Leurs résultats sont également extrêmement imprécis et truffés de faux positifs, ce qui transforme la vérification de la vulnérabilité en jeu de taupe. Les scans statiques ne reflètent plus la véritable nature du niveau de sécurité d’une application, car l’application est de plus en plus chargée dynamiquement au moment de l’exécution. En regardant comment se comporte l’application en cours d’exécution, Route Intelligence permet aux utilisateurs deContrast Assess de comparer les résultats successifs d’évaluation de la sécurité pour chaque itinéraire d’application afin de s’assurer que la vulnérabilité initialement découverte sur un itinéraire n’est plus présente. Cette approche automatisée de vérification de la correction des vulnérabilités améliore considérablement le niveau de risque des applications tout en faisant gagner des centaines d’heures aux équipes de développement et de sécurité.
« Nos recherches montrent un intérêt croissant de la part des équipes de sécurité pour automatiser la découverte des vulnérabilités dans les applications et la vérification desréparations au cours du développement », a déclaré Doug Cahill, vice-président et directeur de la cybersécurité chez ESG. « Disposer d’une visibilité transparente sur l’ensemble de la surface de développement et d’exécution des applications est un élément essentiel pour les organisations qui cherchent à gérer efficacement les risques ».
Route Intelligence est actuellement disponible pour les clients de Contrast Access.