Violation de la chaîne d'approvisionnement de Codecov : Questionnaire gratuit pour évaluer le risque lié à un tiers

Évaluez l'exposition de votre entreprise à la violation de la chaîne d'approvisionnement de Codecov grâce à ces 5 questions essentielles pour vos fournisseurs et autres tiers.
Par :
Alastair Parr
,
Vice-président principal, Produits et services mondiaux
01 juin 2021
Partager :
Blog codecov breach 0621

Dans mon précédent billet, nous avons discuté de la violation de Codecov et de son impact potentiel sur les entreprises du monde entier. À titre d'information, le 15 avril 2021, Codecov a averti ses clients que des pirates avaient introduit une porte dérobée dans le script Bash Uploader à partir du 31 janvier 2021. Les pirates ont exploité un processus de création d'image Docker défectueux pour remplacer l'adresse IP de Codecov par la leur. Cet exploit leur a permis d'afficher les informations des utilisateurs sur leurs serveurs.

5 questions cruciales pour évaluer l'exposition des tiers à la brèche de Codecov

Avec environ 29 000 entreprises utilisant les outils de développement de Codecov, il est possible que certains de vos tiers le soient aussi. Par conséquent, il est essentiel que vous évaluiez l'impact potentiel sur vos tiers afin d'atténuer l'exposition possible des données de votre entreprise. Prevalent a élaboré une évaluation en 5 questions qui peut être utilisée pour identifier rapidement tout impact potentiel sur votre entreprise en déterminant lesquels de vos tiers ont été affectés et quelles actions ils prennent.

Questions Réponses potentielles

1) L'organisation utilise-t-elle l'un des téléchargeurs suivants ?

(Veuillez sélectionner toutes les réponses qui s'appliquent).

Texte d'aide : Les téléchargeurs spécifiés ne concernent que Codecov.

a) Codecov-actions uploader pour GitHub
b) Codecov CircleCI Orb
c) Codecov Bitrise Step

2) Si oui, l'organisation a-t-elle été touchée par la récente attaque de la chaîne d'approvisionnement de Codecov ?

(Veuillez en choisir un.)

Texte d'aide :

Impact significatif : L'attaque cyber a provoqué l'arrêt du fonctionnement ou l'indisponibilité de systèmes ou d'infrastructures. Il y a eu une perte de confidentialité ou d'intégrité des données.

Impact élevé : La disponibilité du service a été périodiquement perdue, et il est possible que certains systèmes s'arrêtent périodiquement. Une certaine perte de confidentialité ou d'intégrité des données.

Faible impact : Aucune perte de confidentialité ou d'intégrité des données ; perturbation minimale ou nulle de la disponibilité du service.

a) L'impact est important.
b) L'impact sur notre réseau, nos opérations informatiques ou nos produits de sécurité est élevé.
c) L'impact sur notre réseau, nos opérations informatiques ou nos produits de sécurité a été faible.
d) L'attaque cyber n'a eu aucun impact sur notre réseau, nos opérations informatiques ou nos produits de sécurité.

3) Suite aux conseils de Codecov, l'organisation a-t-elle pris les mesures suivantes ?

(Veuillez sélectionner toutes les réponses qui s'appliquent).

Texte d'aide :

Les organisations peuvent déterminer les clés et les jetons qui sont mis en surface dans l'environnement de CI en exécutant la commande env dans le pipeline de CI de l'organisation.

Si tout ce qui est renvoyé par cette commande est considéré comme privé ou sensible, Codecov recommande d'invalider l'identifiant et d'en générer un nouveau.

a) Re-roll de tous les credentials situés dans les variables d'environnement de nos processus CI qui ont utilisé un des Bash Uploaders de Codecov.
b) Re-roll de tous les tokens situés dans les variables d'environnement de nos processus CI qui ont utilisé un des Bash Uploaders de Codecov.
c) Re-roll de toutes les clés situées dans les variables d'environnement de nos processus CI qui ont utilisé un des Bash Uploaders de Codecov.

4) L'organisation a-t-elle remplacé les fichiers bash utilisés par la version la plus récente disponible auprès de Codecov ?

(Veuillez en choisir un.)

Texte d'aide :

Toute organisation qui utilise une version stockée localement d'un Bash Uploader doit vérifier les points suivants dans cette version :

curl -sm 0.5 -d "$(git remote -v)

Si cela apparaît n'importe où dans le téléchargeur Bash stocké localement, l'organisation doit immédiatement remplacer les fichiers bash par la version la plus récente de https://codecov.io/bash.

a) Oui, nous avons mis à jour notre version des fichiers Bash avec la plus récente de Codecov.
b) Non, nous n'avons pas mis à jour notre version des fichiers Bash avec la plus récente de Codecov.

5) L'attaque de la chaîne d'approvisionnement a-t-elle exposé des informations sensibles sur les clients ?

(Veuillez sélectionner toutes les réponses qui s'appliquent).

Texte d'aide :

Les informations sensibles relatives aux clients sont définies comme tout matériel qui peut avoir un impact négatif sur le client s'il est exposé à des parties non autorisées. Les conséquences peuvent être, entre autres, une atteinte à la réputation, des pénalités financières, un manque à gagner ou une perte d'avantage concurrentiel.

a) Oui, une enquête en cours permet de déterminer le niveau d'exposition.
b) Oui, une enquête est terminée et toutes les parties concernées ont été informées.
c) Non, les informations sensibles des clients n'ont pas été touchées.
d) Nous ne sommes pas en mesure de le confirmer pour le moment.

Guide gratuit : 8 étapes pour un plan de réponse aux incidents impliquant des tiers

Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.

Lire la suite
Livre blanc sur la réponse aux incidents 0421

Prevalent Peut aider à accélérer la réponse aux incidents par des tiers

Prevalent a récemment lancé le Third-Party Incident Response Service, une solution qui permet d'identifier rapidement et d'atténuer l'impact des violations de la chaîne d'approvisionnement, comme l'attaque Codecov, en fournissant une plateforme pour gérer de manière centralisée les fournisseurs, effectuer des évaluations ciblées spécifiques à l'événement, noter les risques identifiés et accéder aux conseils de remédiation. Prevalent propose cette solution en tant que service géré pour permettre à votre équipe de se décharger de la collecte des données de réponse critiques afin qu'elle puisse se concentrer sur la remédiation des risques.

En complément du service de réponse aux incidents, Prevalentpropose une surveillance continue de cyber et des brèches dans les entreprises, qui fournit des mises à jour régulières sur les divulgations de brèches, les événements négatifs et les incidents cyber tels que les activités malveillantes sur le Web obscur concernant vos fournisseurs.

Ensemble, ces solutions permettent d'automatiser la découverte de l'impact des brèches et d'accélérer la réponse.

Prochaines étapes pour faire face à la brèche de Codecov

Utilisez ce questionnaire pour déterminer l'impact que l'attaque Codecov pourrait avoir sur votre écosystème de fournisseurs. Et, pour en savoir plus, téléchargez un livre blanc sur les meilleures pratiques ou contactez-nous pour une démonstration !

Tags :
Partager :
Leadership alastair parr
Alastair Parr
Vice-président principal, Produits et services mondiaux

Alastair Parr est chargé de veiller à ce que les exigences du marché soient prises en compte et appliquées de manière innovante au sein du portefeuille Prevalent . Il a rejoint Prevalent après avoir été l'un des fondateurs de 3GRC, où il était responsable de la définition des produits et des services et y a joué un rôle déterminant. Il est issu du monde de la gouvernance, du risque et de la conformité, et a développé et mis en œuvre des solutions dans le domaine toujours plus complexe de la gestion des risques. Il apporte plus de 15 ans d'expérience dans la gestion de produits, le conseil et les livrables opérationnels.

Plus tôt dans sa carrière, il a occupé le poste de directeur des opérations pour un fournisseur mondial de services gérés, InteliSecure, où il était chargé de superviser des programmes efficaces de protection des données et de gestion des risques pour les clients. Alastair est titulaire d'un diplôme universitaire en politique et relations internationales, ainsi que de plusieurs certifications en sécurité de l'information.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo