La société de voix sur IP (VoIP) 3CX a récemment annoncé que son logiciel Electron avait été compromis lors d'une attaque de la chaîne d'approvisionnement. Les attaquants, qui seraient des acteurs étatiques affiliés à la Corée du Nord, Labyrinth Chollima, ont pu installer un logiciel malveillant trojanisé appelé TAXHAUL sur l'application de bureau 3CX afin de déployer d'autres activités malveillantes sur les clients utilisant l'application vulnérable.
Avec plus de 242 000 systèmes de gestion téléphonique 3CX exposés publiquement et 600 000 entreprises clientes de 3CX, cette attaque de la chaîne d'approvisionnement en logiciels peut créer des problèmes de sécurité généralisés si les outils antivirus ne signalent pas et ne désinstallent pas l'exécutable 3XC et ne détournent pas sa fonction de mise en veille.
Ce billet examine cinq bonnes pratiques pour atténuer les risques d'attaques similaires de la chaîne d'approvisionnement en logiciels.
L'annonce d'un incident à fort impact sur la sécurité de la chaîne d'approvisionnement en logiciels n'est pas le bon moment pour s'assurer que votre organisation a mis en place un plan de réponse à un incident impliquant un tiers. Préparez-vous plutôt au prochain incident en élaborant dès maintenant une approche proactive. Voici cinq bonnes pratiques à prendre en compte :
Un inventaire centralisé de tous les vendeurs et fournisseurs tiers ajoute de la gouvernance et des processus à la gestion des fournisseurs, et réduit la probabilité que des relations avec des fournisseurs malhonnêtes introduisent des risques dans vos opérations informatiques. L'inventaire de vos fournisseurs doit être réalisé sur une plateforme centralisée - et non sur des feuilles de calcul - afin que plusieurs équipes internes puissent participer à la gestion des fournisseurs et que le processus puisse être automatisé dans l'intérêt de tous.
Vous pouvez créer un inventaire central des fournisseurs en les important dans votre plateforme de gestion des risques par le biais d'un modèle de feuille de calcul ou d'une connexion API à une solution d'approvisionnement existante. Les équipes de toute l'entreprise doivent être en mesure de renseigner les informations clés sur les fournisseurs à l'aide d'un formulaire centralisé et personnalisable et d'un flux de travail associé. Cette capacité doit être accessible à tous par le biais d'une invitation par courrier électronique, sans nécessiter de formation ou d'expertise en matière de solutions.
Une fois les fournisseurs centralisés, procédez à des évaluations des risques inhérents pour vous aider à déterminer comment évaluer en permanence vos fournisseurs tiers en fonction des risques qu'ils représentent pour votre entreprise.
9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers
Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.
La collecte des technologies de quatrième partie déployées dans votre écosystème de fournisseurs au cours du processus d'inventaire permet d'identifier les relations entre votre organisation et les tiers sur la base de l'utilisation de certaines technologies et vous aidera à visualiser les voies d'attaque dans votre entreprise et à prendre des mesures d'atténuation proactives. Vous pouvez y parvenir par une évaluation ciblée ou par un balayage passif.
Dans le cas de l'attaque de la chaîne d'approvisionnement du logiciel 3CX, le fait de disposer d'une carte des fournisseurs qui utilisent la solution Electron pour la VoIP vous aiderait à cibler les fournisseurs à évaluer en vue d'une exposition potentielle aux logiciels malveillants. Concentrez-vous d'abord sur les fournisseurs de premier plan ou critiques pour l'entreprise, car une perturbation de leurs opérations pourrait avoir un impact plus important sur votre organisation.
Engagez de manière proactive les fournisseurs concernés avec des évaluations simples et ciblées qui s'alignent sur les normes industrielles connues pour la sécurité de la chaîne d'approvisionnement, telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les lacunes potentielles en matière de sécurité.
Les bonnes solutions prévoient l'automatisation du flux de travail, l'examen et l'analyse, la gestion des preuves et des recommandations intégrées pour accélérer la remédiation et combler rapidement ces lacunes.
Dans le cadre du processus d'évaluation, exiger des fournisseurs de logiciels qu'ils produisent une nomenclature des logiciels (SBOM). Les nomenclatures peuvent non seulement détailler les composants d'un logiciel, mais aussi expliquer les processus d'assurance qualité (AQ) et d'évaluation de la sécurité utilisés au cours du processus de développement du logiciel.
La vigilance permanente à l'égard de la prochaine attaque signifie qu'il faut rechercher les signes d'un incident de sécurité imminent. Il est essentiel de surveiller les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification, les communautés de sécurité, les référentiels de code et les bases de données de vulnérabilités et de piratages.
Vous pouvez surveiller ces sources individuellement, ou vous pouvez rechercher des solutions qui unifient toutes les informations dans une solution unique, de sorte que tous les risques soient centralisés et visibles pour l'entreprise. Corrélez toutes les données de surveillance aux résultats de l'évaluation et centralisez-les dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, les rapports et les initiatives de réponse.
L'automatisation de la réponse aux incidents est essentielle pour réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR) aux incidents de tiers, ce qui peut réduire l'impact de l'incident sur vos opérations.
En améliorant continuellement vos plans d'intervention en cas d'incident :
En centralisant la réponse aux incidents de tiers dans un processus unique de gestion des incidents d'entreprise, vos équipes informatiques, de sécurité, juridiques, de protection de la vie privée et de conformité peuvent collaborer efficacement pour atténuer les risques.
L'adoption d'une approche manuelle et réactive de la détection des vulnérabilités des logiciels tiers et de la réponse aux incidents ne fera qu'augmenter la probabilité d'une interruption des activités. Au lieu de cela, mettez en œuvre les cinq meilleures pratiques décrites dans cet article afin d'être mieux préparé pour votre prochain défi en matière de sécurité de la chaîne d'approvisionnement.
Pour en savoir plus sur la façon dont Prevalent peut aider à réduire les risques de la chaîne d'approvisionnement à chaque étape du cycle de vie des fournisseurs, lisez notre livre blanc intitulé The Third-Party Incident Response Checklist, ou demandez une démonstration pour une session de stratégie dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024