En tant que professionnel de la sécurité depuis longtemps, je suis toujours intéressé par la façon dont des entreprises comme Datadog s'adaptent à l'évolution du paysage de la sécurité. Je me souviens de l'époque où l'organisation de sécurité était seule responsable de la sécurité et où nous nous concentrions sur la protection du périmètre de notre entreprise. Cependant, avec l'avènement du cloud, des applications mobiles et Web, ce périmètre a disparu. Parallèlement, les organisations se rendent compte la sécurité devrait être une responsabilité partagée et intégrés au sein de leurs équipes de développement et d’exploitation.

Soyons réalistes : les attaques sur les applications Web sont devenues une menace , et le volume des violations de données qu’elles provoquent augmente rapidement chaque année. Voyou Les acteurs profitent des faiblesses de notre infrastructure, de nos logiciels et de nos processus. Comment pouvons-nous riposter contre cela ? Entrez un nouvel espoir :DevSecOps!

Comme vous pouvez le constater, je suis un fanatique de Star Wars depuis mon enfance. Je suis toujours ravi lorsqu'un nouveau film de cette franchise historique fait ses débuts, et le dernier film m'a fait réfléchir à certaines des leçons qu'une galaxie lointaine, très lointaine, m'a apprises en relation avec DevSecOps.

« Tu dois désapprendre ce que tu as appris. » – Yoda

J’interprète ce sage dicton du Maître Jedi comme signifiant que certaines des connaissances que vous « savez être vraies » peuvent ne plus l’être – et lorsqu’il s’agit de DevSecOps, cela pourrait bloquer votre capacité à réussir votre transformation. En utilisant des outils et des processus obsolètes, les équipes de sécurité peuvent ralentir les choses. La sécurité doit s’adapter dans le cadre de changer la mentalité en matière de sécurité au sein d'une organisation et découvrez comment des outils et des processus plus récents peuvent les aider à devenir de meilleurs partenaires. Datadog, un service de surveillance pour les applications cloud, est une entreprise qui a réalisé qu'elle devait mettre à jour ses outils et ses processus. Son équipe de sécurité a appris de l'organisation de développement et a commencé à utiliser PagerDuty pour ses alertes et ses réponses. En tant que membre de l'équipe de sécurité de PagerDuty , je peux également attester que nous manger notre propre nourriture pour chien et utilisez notre plateforme dans le cadre de nos opérations de sécurité. Mais pourquoi ?

« C'est le vaisseau qui a réalisé le Kessel Run en moins de douze parsecs ! » – Han Solo

Chez PagerDuty, nous suivons un modèle de réactivité et de réactivité. Par exemple, à quelle vitesse pouvons-nous identifier qu'un événement de sécurité se produit ou qu'une ressource n'est pas conforme, et à quelle vitesse pouvons-nous réagir et résoudre le problème ? Une partie du DevSecOps consiste à prendre des décisions de sécurité automatisées, rapidement et à grande échelle. Ce n'est peut-être pas aussi rapide que le saut du Faucon Millenium vers vitesse de la lumière , mais être capable de réagir rapidement peut conduire à des économies potentielles et à une réduction des risques. La rapidité est un facteur !

Nous aimerions tous pouvoir dire que chaque version est sécurisée à 100 % et que nous avons tous une disponibilité de 100 %, mais ce n'est pas la réalité. La réalité est que des violations se produiront et la rapidité avec laquelle vous pourrez réagir peut affecter vos résultats. Étude Ponemon 2017 sur le coût des violations de données Il a été démontré que la mise en place d'une équipe de réponse aux incidents peut réduire le coût d'une violation jusqu'à 19 $ par enregistrement. Il est donc logique qu'il soit essentiel d'alerter et d'impliquer rapidement les bonnes personnes.

Chez PagerDuty, nous exploitons une plate-forme logicielle en tant que service multi-tenant dans le cloud et utilisons de nombreux outils différents pour surveiller et protéger notre infrastructure. Ces outils produisent de nombreux signaux que nous pouvons exploiter et filtrer, et grâce aux intégrations avec la plateforme PagerDuty , nous sommes en mesure de créer des événements et des alertes de sécurité pertinents. Cela garantit que nous pouvons agir rapidement sur un événement et démarrer notre processus de réponse aux incidents pour le contenir rapidement, réagir et récupérer.

Cela ne s'applique pas uniquement aux incidents de sécurité. Dans un environnement où les développeurs sont propriétaires de leur code , nous sommes également en mesure de déterminer rapidement si les ressources de notre infrastructure cloud ne sont pas conformes ou présentent un risque de sécurité. Nous pouvons réagir rapidement et travailler avec le développeur pour corriger le problème tout en fournissant rapidement des commentaires sur les meilleures pratiques de sécurité pour améliorer le processus à l'avenir.

« Fais-le. Ou ne le fais pas. Il n’y a pas d’essai. » – Yoda

La mise en œuvre d'une approche DevSecOps peut sembler une tâche ardue, et sa réussite comporte de nombreux défis (comme changer la mentalité de sécurité au sein de votre organisation). Cela en soi peut sembler qu'il faudrait une astuce mentale Jedi pour réussir. Mais vous devez vous engager dans le processus, puis apprendre de vos erreurs et apprendre des autres qui l'ont fait. Comme DevOps, DevSecOps doit être un processus itératif d’apprentissage et d’amélioration. DevSecOps consiste également à choisir les bons outils pour automatiser vos processus de sécurité afin de fournir un retour d'information rapide, et l'utilisation de PagerDuty peut vous aider dans cette transformation.

Vous souhaitez en savoir plus sur la manière dont vous pouvez mettre en œuvre avec succès DevSecOps dans votre organisation ? Découvrez le Étude de cas Datadog .