Eva - stock.adobe.com
Datadog veut creuser dans le code à la recherche de vulnérabilités
Après l’acquisition de la startup française Sqreen et l’intégration de sa technologie à sa plateforme, Datadog se prépare à racheter Hdiv Security. L’occasion pour le spécialiste de l’observabilité de superviser, voire de remédier les vulnérabilités dans le code.
Fin avril, après un an de travail, Datadog a terminé la première phase d’intégration des solutions WAF (Web Application Firewall ou pare-feu applicatifs) et RASP (Runtime Application Self-Protection) de Sqreen dans sa plateforme. Comme l’avait expliqué l’éditeur, l’opération n’allait pas simplement passer par une connexion de logiciels existants, mais par le redéveloppement des outils de la startup française.
« La raison, c’est que nous voulions tirer parti de l’agent déjà déployé par les développeurs qui utilisent l’APM de Datadog », rappelle Pierre Betouin, vice-président produit, Cloud Security Platform chez Datadog (et accessoirement cofondateur et ex-CEO de Sqreen). « Traditionnellement, il est très difficile de convaincre des équipes d’installer de nouvelles technologies pour appliquer des politiques de cybersécurité ».
Sqreen devient Application Security Monitoring
La nouvelle offre en disponibilité générale se nomme Application Security Monitoring (ASM). Elle est directement rattachée à sa Cloud Security Platform, une gamme incluant Cloud Workload Security, Cloud SIEM et CSPM. Datadog a commencé par défaire le module de Sqreen pour adapter la technologie de détection et de supervision de malwares à son propre agent.
Le tracing distribué doit permettre de détecter une dizaine d’attaques : Log4Shell, Spring4Shell les injections SQL, CQL et Mongo, le cross-site scripting (XSS) ou encore les falsifications de requêtes côté serveur (Server-Side Request Forgery ou SSRF). Datadog entend couvrir là les dix cyberassauts les plus répandus, référencés par l’OWASP, ainsi qu’une centaine de patterns associés.
Plus spécifiquement, ASM est un WAF voué à devenir un RASP. Il s’appuie sur des librairies de tracing des requêtes HTTP, réclame le déploiement de l’outil APM, et de l’agent Datadog. ASM inclut des règles de détection sur étagère pour détecter ces attaques dans les applications déployées sur environnements Docker, Kubernetes, AWS ECS et AWS Fargate et développées dans certains langages de programmation (Java, .Net, Node.JS, Ruby, ainsi que GO et PHP qui sont incompatibles avec Fargate).
ASM peut être instrumenté manuellement afin de « lier le contexte d’authentification à des types d’attaques », selon la documentation du fournisseur. Les clients qui le souhaitent peuvent ainsi commencer à bloquer des adresses IP considérées comme nuisibles.
Cybersécurité : Datadog aboie, mais ne mord pas… pour l’instant
Pour l’instant, ASM ne bloque pas les IP automatiquement. Dans un premier temps, Datadog se concentre sur le fait d’alerter les équipes via Jira, Slack, PagerDuty ou email en cas d’attaques et de vulnérabilités connues ou inconnues (suivant les réglages de l’utilisateur). ASM peut identifier les acteurs malveillants, évaluer le périmètre d’une attaque au niveau du code et transmettre les données vers Cloud Security Platform afin de « reconstruire le vecteur d’attaque ».
« Originellement, Datadog est une solution de monitoring, pas de sécurité active », indique Pierre Betouin. « Au lieu de tracer la requête qui vous amène au service défaillant provoquant des lenteurs sur votre service Web, vous faites la même chose avec celui causant un problème de sécurité », avance-t-il.
Pierre BetouinVP produit, Cloud Security Platform, Datadog
Ce n’est que plus tard que l’éditeur proposera d’arrêter lui-même les événements et comportements potentiellement malveillants. « C’est un vrai changement pour Datadog, nous sommes en train d’apporter des fonctionnalités de prévention et de blocage des attaques », poursuit le responsable.
Datadog accueille Hdiv Security dans sa meute
Pour améliorer rapidement la détection des vulnérabilités, Datadog s’apprête à acquérir Hdiv Security, un éditeur de solutions IAST, SCA et RASP, en partie concurrent de SonarQube. Cet acteur basque espagnol en place depuis 2008 a déjà convaincu plusieurs grands comptes, dont des banques et des gouvernements. Ces produits rejoindront, eux aussi, le portfolio Cloud Security Platform. « Nous souhaitons déceler davantage de problèmes, notamment au travers des techniques d’Application Security Testing (AST), en commençant par repérer les signaux faibles en production sur du trafic légitime », explique Pierre Betouin.
Selon le dirigeant, Hdiv Security révèle davantage de catégories de vulnérabilités et « surtout, ils vont les détecter avec beaucoup plus de profondeur dans l’exécution », note-t-il. « L’un des défis des tests de sécurité, c’est l’exhaustivité de la couverture du code, horizontale et verticale ».
Mais Datadog ne veut pas seulement superviser les potentielles attaques à l’intérieur des applications et des (micro) services. Il souhaite également se rapprocher des développeurs et des experts de la sécurité applicative. De fait, Hdiv a les outils pour surfacer les erreurs et les potentielles vulnérabilités dans le code présent au sein d’un IDE, d’un outil d’intégration continue ou d’un dépôt Git. À gauche du cycle DevOps donc, selon le mantra « Shift Left ».
« Bien souvent, ces équipes qui travaillent à gauche n’ont pas accès aux environnements de production », affirme Pierre Betouin. « Elles manipulent le code dans les environnements de développement et staging. Le fait de rapprocher les développeurs des équipes de production permet d’obtenir une analyse beaucoup plus fine des vulnérabilités », assure-t-il.
Si l’acquisition de Hdiv Security se déroule normalement aux yeux des autorités de régulation, elle pourrait se terminer à la fin du troisième trimestre 2022. « Si tout se passe bien, nous comptons proposer une bêta privée aux clients communs de Hdiv et de Datadog dans quelques mois », espère Pierre Betouin.