Combler les manques : réunion de l'APM et de l'AppSec pour le développement d'applications modernes

Dans le monde rapidement changeant des environnements virtuels et basés sur le cloud, les développeurs recherchent continuellement des façons d'assurer la fiabilité et la sécurité de leurs applications. Bien que les architectures de référence en matière de sécurité classique se soient appuyées sur les méthodes de gestion d'information et d'événements de sécurité (SIEM) et les outils d'analyse des logs, un nouvel acteur entre en scène et change la donne : les données de l'APM (monitoring des performances des applications). Explorons comment la fusion de l'APM et de la sécurité façonne l'avenir du développement et du déploiement des applications.

Le chaînon manquant

Dans de nombreuses architectures pour les environnements cloud et virtuels il manque un élément crucial : l'accès aux données d'APM. En effet, les données d'APM apportent une approche unique aux avertissements de sécurité précoces, mais requièrent une compréhension en profondeur de l'application, que les professionnels de la sécurité peuvent ne pas posséder. Toutefois, la collaboration entre les équipes d'application et de sécurité peut combler ce manque. Si les développeurs visent à comprendre les anomalies au cœur des données d'APM (telles que les bogues inattendus ou les vulnérabilités), les équipes de sécurité, elles, font tout leur possible pour s'assurer que ces anomalies ne sont pas malveillantes.

Les outils d'APM détiennent un trésor de données qui peuvent être utiles aux professionnels de la sécurité. Avec les informations détaillées sans pareil sur le fonctionnement interne d'une application qu'ils produisent, ils sont un atout précieux pour toute stratégie de défense approfondie. Plus l'outil d'APM est intelligent, plus il devient efficace pour la sécurité.

Pour être utiles aux professionnels de la sécurité, les outils d'APM devraient offrir les capacités suivantes au minimum :

• Suivi de l'accès aux ressources externes : les outils d'APM devraient rendre visible les moments où l'application accède aux ressources externes, comme les sites web externes.
• Monitoring de requêtes de base de données : les outils d'APM devraient monitorer et placer dans des logs toutes les requêtes de base de données, même si elles sont obfusquées dans des solutions d'APM basées sur le cloud.
• Détection des anomalies : les outils d'APM devraient pouvoir détecter les anomalies, telles que des requêtes de base de données inhabituelles (ce qui peut indiquer une possible injection SQL) ou des chemins de code inattendus.

Monitoring des performances : les outils d'APM devraient pouvoir effectuer le monitoring des variations de performances en identifiant les scénarios où l'activité est soit trop rapide (ce qui peut indiquer une attaque de déni de service) soit trop lente (en cas de mauvaises configurations ou de présence de malware).

L'avantage New Relic

Selon l'étude récente Gartner Magic Quadrant and Critical Capabilities for Observability Platforms, les vulnérabilités des applications ont été la cause de nombreuses violations et intrusions majeures. Les solutions d'APM et d'observabilité, qui collectent la télémétrie des traces pour le monitoring des performances, capturent également des signaux de sécurité précieux. C'est la raison pour laquelle les capacités de sécurité des outils d'APM et d'observabilité sont rapidement devenues une source inestimable de contexte pour les incidents réels tels que la vulnérabilité zero-day Log4Shell, et ont permis aux équipes Applications et Sécurité de prioriser et de minimiser les menaces plus vite.

New Relic APM, la plateforme à la tête du marché offre des différenciateurs uniques qui permettent aux clients d'intégrer la sécurité des applications dans leurs workflows. En priorisant ce qui compte le plus et en éliminant les montagnes de tickets générés par les équipes Sécurité, les équipes Développement deviennent de plus en plus efficaces et publient du code plus sûr plus rapidement. Les fonctionnalités, comme New Relic Single Agent et CodeStream, permettent aux clients d'améliorer leurs processus DevSecOps tout en stimulant la productivité. Avec des capacités pleinement intégrées telles que la gestion des vulnérabilités, les tests interactifs de sécurité des applications (IAST), la priorisation optimisée par l'IA et l'automatisation, les utilisateurs de New Relic peuvent efficacement tacler les problèmes de sécurité. En outre, la plateforme New Relic permet de lancer des requêtes ultrarapides sur de très gros volumes de données d'observabilité et de sécurité, ce qui permet d'automatiser les réponses via les workflows data-driven.

Types de menaces détectés et prévenus grâce à la combinaison AppSec/APM

L'intégration de la sécurité des applications (AppSec) et de l'APM optimise non seulement les performances des applications, mais améliore aussi la sécurité en détectant et prévenant les différents types de menaces, notamment :

• Injections SQL : en monitorant les requêtes de base de données, les outils d'APM peuvent détecter les requêtes inhabituelles ou non autorisées qui peuvent indiquer des tentatives d'injection SQL. Les mesures d'AppSec peuvent alors bloquer ces tentatives avant qu'elles ne causent des préjudices.

• Attaques XSS (cross-site scripting) : les outils d'APM peuvent détecter des schémas anormaux dans les requêtes HTTP qui peuvent suggérer des attaques XSS, ce qui permet aux outils AppSec d'assainir les intrants et de prévenir l'exécution de scripts malveillants.

• Attaques de déni de service (DoS, Denial-of-service) : les anomalies au niveau des performances, telles que des pics soudains de trafic ou de consommation des ressources, peuvent révéler une attaque DoS. Les outils d'APM peuvent porter ces anomalies à l'attention des équipes Sécurité, et leur permettre ainsi de minimiser l'attaque avant qu'elle n'interrompe le service.

• Infections par malware : des chemins de code inattendus ou la dégradation des performances peuvent être des indices de malware. Les outils d'APM peuvent signaler ces anomalies et les outils AppSec peuvent alors isoler et supprimer le code malveillant.

• Accès non autorisé : le monitoring de l'accès aux ressources externes aide à détecter les tentatives d'accès non autorisées. Les outils d'APM peuvent consigner dans un log ces tentatives et déclencher les protocoles de sécurité afin de bloquer les entités non autorisées.

• Exfiltration de données : les transferts anormaux de données peuvent révéler des tentatives d'exfiltration de données. La combinaison de solutions d'AppSec et d'APM peut détecter ces activités et prévenir le vol de données sensibles.

• Vulnérabilités du code : le monitoring normal des performances peut révéler des vulnérabilités dans le code qui pourraient être exploitées par des attaquants. Les outils d'APM peuvent mettre ces vulnérabilités en évidence et il est possible de prendre des mesures AppSec pour les corriger.

APM et sécurité : l'avenir est déjà là

L'avenir du développement et du déploiement d'applications modernes est une relation symbiotique entre l'APM et la sécurité. Il s'agit de détecter les anomalies, de partager les données et d'encourager une proche collaboration entre les équipes Applications et Sécurité. Alors que les outils d'APM continuent d'évoluer et de s'intégrer aux pratiques de sécurité, les équipes de développeurs et de sécurité auront un puissant allié pour assurer de bonnes performances, la fiabilité et la sécurité de leurs applications. La combinaison de l'APM et de la sécurité est l'évolution que nous attendions tous et elle est là pour durer.