Le Département d’État utilise des tests automatisés continus dans le développement de logiciels

Le Bureau de la sécurité diplomatique du Département d’État travaille à l’établissement d’un pipeline d’intégration et de livraison continue (CI/CD), la sécurité étant impliquée tout au long du processus de développement, du début à la fin. Les experts en cybersécurité du Département d’État sont répartis en équipes rouges et bleues pour collaborer et améliorer la sécurité des agences.

Du côté de l’équipe bleue, nous faisons beaucoup de travail en créant un artefact appelé tableau de bord bleu, dans lequel certaines des applications que nos propriétaires de systèmes aimeraient voir évaluées et ils ont créé des métriques afin de pouvoir fournir aux propriétaires de systèmes une carte de pointage, puis fournir des résultats basés sur des vulnérabilités ou des erreurs de configuration qu’ils ont constatées sur la base de connaissances institutionnelles antérieures ainsi que sur des éléments que nous observons dans l’industrie, a déclaré Manny Medrano, directeur de la surveillance et des opérations de cybersécurité au Département d’État. Perspectives fédérales Meilleures pratiques en matière de développement de logiciels sécurisés.

Pendant ce temps, les tests de l’équipe rouge peuvent présenter des similitudes avec les tests d’intrusion, mais il existe une différence spécifique entre les deux. Le test d’intrusion est une évaluation de sécurité qui se concentre principalement sur l’identification et la compréhension des forces et des faiblesses d’un système. Les tests de l’équipe rouge au Département d’État ont un objectif spécifique et prennent plus de temps car le processus passe par plusieurs étapes.

Le Département d’État travaille en étroite collaboration avec le Bureau de gestion des ressources informationnelles (IRM) sur l’avenir du codage et de l’automatisation, en mettant en place des tests d’intrusion continus, une évaluation et des conclusions continues des vulnérabilités et des mesures correctives continues.

Tout ce que nous faisons a du code et c’est extrêmement important. Même si nous disons low code, pas de code, il y a toujours du code qui est impliqué. La clé est la configuration, et dans quelle mesure cette configuration ou ce codage est manuel. C’est le défi auquel sont confrontés aujourd’hui l’industrie et les agences gouvernementales. Plus il est automatisé et plus il y a de code construit selon les meilleures pratiques constantes et qui n’est pas modifié par un humain, mieux c’est, a déclaré Medrano.

Alors que l’intelligence artificielle devient un outil essentiel dans le domaine de la cybersécurité, Medrano est préoccupé, mais envisage de l’utiliser dans ses solutions de processus automatisés tout en laissant les interactions humaines valider les résultats.

Nous apprenons certainement au fur et à mesure, nous mûrissons également au fur et à mesure pour nous assurer que nous travaillons avec l’industrie pour effectuer des tests d’intrusion pour les modèles d’IA. Nous nous engageons également à impliquer notre SoC, a déclaré Medrano. le Federal Drive avec Tom Temin. L’IA est géniale, elle peut certainement devenir un catalyseur. Pour moi, cela ne remplacera pas l’humain. Ce n’est pas. Vous avez toujours besoin de cette validation. Et même notre [chief information officer] continue de dire cela. Maintenant, peut-il nous aider à automatiser et à rationaliser ? Absolument. Et je suis tout à fait pour ça. Donc, dans mon travail actuel, le bureau que je dirige consiste à utiliser l’IA comme un catalyseur, mais aussi à renforcer nos capacités à nous défendre contre les mauvais modèles d’IA.

Le Département d’État est une agence diplomatique qui accorde la plus haute estime aux relations établies. Medrano a déclaré que même si la technologie ne résoudra pas tous les problèmes, les relations avec les développeurs et l’instauration de la confiance contribueront grandement à la mission.

Nous avons notamment établi des relations avec un grand nombre de nos fournisseurs de services. C’est un sport d’équipe. Cela signifie donc que nous devons tous travailler ensemble. Nous collaborons avec des fournisseurs de services cloud, ainsi qu’avec d’autres fournisseurs, puis nous travaillons ensemble avec eux pour effectuer des tests d’intrusion. Et cela pourrait bien être [infrastructure-as-a-service, platform-as-a-service or software-as-a-service.] Entre le SoC, l’équipe rouge, l’équipe bleue et l’équipe d’ingénierie, ils sont tous mélangés. Ce que nous avons appris, c’est qu’ils apprennent les uns des autres et cela apporte cette diversité dans les différentes parties. Je pense que c’est extrêmement important, surtout dans le monde complexe d’aujourd’hui, a-t-il déclaré.