Demandez une démo

Comment se préparer à la prochaine attaque de la chaîne d'approvisionnement en logiciels ?

Apprenez des stratégies pour atténuer les risques liés aux cyberattaques et aux vulnérabilités de vos fournisseurs informatiques.
Par :
Dave Shackleford
,
Propriétaire et consultant principal, Voodoo Security
01 mai 2024
Partager :
Blog 2024 05 Attaque de la chaîne d'approvisionnement en logiciels

Ces dernières années, les cyberattaques ont évolué en même temps que nos défenses (sans que cela ne surprenne personne). Les attaquants recherchent et trouvent des moyens nouveaux et innovants de compromettre les actifs et les données, qu'il s'agisse d'attaques contre les utilisateurs finaux, comme le vol d'identifiants et les logiciels malveillants basés sur les navigateurs, ou d'attaques axées sur le cloud, qui exploitent les API et les services natifs du cloud.

Malheureusement, les attaquants de cyber ont également découvert comment nous compromettre par le biais des logiciels, qui sont sans aucun doute le maillon faible de nombreux environnements d'entreprise. Soyons réalistes : un très grand nombre de grandes entreprises ne disposent pas d'un inventaire précis ou actualisé des logiciels, et nous savons souvent très peu de choses sur les développeurs de logiciels qui créent, emballent et nous livrent ces logiciels.

Ce n'est pas parce que nous achetons des logiciels auprès de grands fournisseurs bien connus que des pirates ne se sont pas infiltrés dans leurs environnements et n'ont pas expédié quelque chose de désagréable, à l'insu du fabricant de logiciels. Ce problème est exacerbé lorsqu'il s'agit de petites entreprises et de start-ups - qu'il s'agisse de logiciels packagés, de SaaS, de fournisseurs de logiciels libres ou d'autres services en nuage - en raison de leur manque de ressources consacrées à la sécurité des logiciels.

En bref, la chaîne d'approvisionnement en logiciels est un véritable gâchis.

Exemples d'attaques contre la chaîne d'approvisionnement en logiciels

Si vous dites "SolarWinds" à quelqu'un qui travaille dans le domaine de la sécurité informatique, vous obtiendrez probablement un hochement de tête et un froncement de sourcils - oui, c'était aussi grave que cela. Ils ont été possédés, ils ont expédié, nous avons été possédés, et voilà une chaîne de distribution de logiciels malveillants très élégante à son meilleur.

Nous avons vu l'impact écrasant de la vulnérabilité Log4j dans les environnements de développement, et maintenant les attaquants chargent des paquets et du contenu compromis dans les dépôts de paquets. Plus récemment - et contrairement aux incidents Solar Winds, Log4j ou Codecov - nous avons vu la vulnérabilité XZ Utils, où un attaquant a utilisé l'ingénierie sociale pour s'introduire dans la porte dérobée de l'utilitaire de compression de données open-source largement utilisé dans les systèmes Linux.

Les atteintes aux droits des tiers ne ralentiront pas non plus. Jusqu'à ce que nous commencions à savoir à qui nous achetons des logiciels, où ils se trouvent dans nos environnements, quels sont leurs privilèges, à quoi ils ont accès et, surtout, si nous pouvons leur faire confiance en premier lieu.

9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers

Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.

Lire la suite
Livre blanc sur la réponse aux incidents 0421

Atténuer les attaques contre la chaîne d'approvisionnement en logiciels

Des efforts considérables sont déployés par l'industrie pour renforcer la sécurité de la chaîne d'approvisionnement des logiciels. De nombreux acteurs des secteurs de la sécurité informatique et des logiciels, ainsi que l'ensemble de la communauté de la gestion des risques, ont plaidé pour que les organisations publient et tiennent à jour une nomenclature des logiciels (SBOM) qui puisse être divulguée aux clients à leur demande. Un SBOM est une liste formellement structurée des composants, des bibliothèques et des modules nécessaires à la construction d'un logiciel. En énumérant les composants d'un logiciel, les SBOM donnent un aperçu beaucoup plus approfondi de la vulnérabilité potentielle du logiciel lui-même.

Certains fabricants de logiciels se sont opposés à la création de SBOM, probablement parce qu'ils avaient l'impression de divulguer des éléments sensibles de la propriété intellectuelle. Cependant, nous savons tous que tout le monde utilise des logiciels libres partout. Le SBOM n'est pas un code source ; c'est une liste de paquets et de composants utilisés pour construire des logiciels, dont beaucoup sont très vulnérables aux attaques au fil des ans. Le gouvernement américain fait pression en faveur du SBOM, qui pourrait facilement devenir un élément majeur de la surveillance et de l'établissement de rapports en matière de gestion des risques par des tiers dans un avenir proche.

D'autres domaines d'intérêt dans l'industrie comprennent la création de flux d'attaques de la chaîne d'approvisionnement des logiciels tels que MITRE ATT&CK, un mécanisme universel de signalement des vulnérabilités et une syntaxe pour les bogues de logiciels.

Quatre bonnes pratiques pour réduire le risque d'incidents de sécurité dans la chaîne d'approvisionnement des logiciels

Cette dernière vulnérabilité nous rappelle que les entreprises doivent disposer d'un plan de réponse aux incidents tiers afin de déterminer rapidement l'impact des compromissions de la chaîne d'approvisionnement logicielle sur leurs fournisseurs tiers. Voici quatre bonnes pratiques à prendre en compte :

1. Dresser un inventaire centralisé de tous les fournisseurs.

Cela vous permettra de classer vos fournisseurs en fonction de la criticité des services fournis et de quantifier la probabilité et l'impact d'une violation. Un profilage et un classement précis vous permettent également de dimensionner votre diligence raisonnable en fonction du niveau du fournisseur. Les fournisseurs de niveau élevé (par exemple, ceux dont la défaillance a créé un problème opérationnel pour votre entreprise) font l'objet de la plus grande attention.

2. Comprendre quels sont les fournisseurs qui utilisent la technologie impactée.

La collecte de technologies tierces déployées dans votre écosystème de fournisseurs au cours du processus d'inventaire permet d'identifier les relations entre votre organisation et des tiers sur la base de l'utilisation de certaines technologies. Cela vous aidera à visualiser les voies d'attaque dans votre entreprise et à prendre des mesures d'atténuation proactives. Pour ce faire, vous pouvez procéder à une évaluation ciblée ou à un balayage passif.

3. Évaluer les plans de résilience et de continuité des activités des tiers.

Engagez proactivement les fournisseurs avec des évaluations simples et ciblées alignées sur les normes de sécurité de la chaîne d'approvisionnement connues de l'industrie, telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les lacunes de sécurité potentielles. Les bonnes solutions fourniront des recommandations intégrées pour accélérer le processus de remédiation et combler rapidement ces lacunes.

4. Surveiller en permanence les vendeurs et les fournisseurs afin d'assurer la visibilité, y compris cyber la position, les nouvelles négatives et cyber les attaques.

La vigilance permanente à l'égard de la prochaine attaque signifie qu'il faut rechercher les signes d'un incident de sécurité imminent. Il est essentiel de surveiller les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de téléchargement d'informations d'identification, les communautés de sécurité, les référentiels de code et les bases de données de vulnérabilités et de piratages. Vous pouvez surveiller ces sources individuellement ou rechercher des solutions qui regroupent toutes les informations dans une solution unique, de sorte que tous les risques soient centralisés et visibles pour l'entreprise.

Plus de conseils pour protéger votre chaîne d'approvisionnement en logiciels

En partenariat avec Prevalent , j'ai organisé un webinaire sur les meilleures pratiques en matière de sécurité de la chaîne d'approvisionnement des logiciels, qui examine comment une stratégie mature de gestion des risques des tiers peut vous aider à maîtriser les attaques contre vos fournisseurs de technologies de l'information. Regardez ci-dessous Comment évaluer la cybersécurité de vos fournisseurs de logiciels .

Tags :
Partager :
Dave Shackleford
Dave Shackleford
Propriétaire et consultant principal, Voodoo Security

Dave Shackleford est propriétaire et consultant principal de Voodoo Security et membre du corps enseignant de l'IANS Research. Il a conseillé des centaines d'organisations dans les domaines de la sécurité, de la conformité réglementaire, de l'architecture et de l'ingénierie des réseaux. Il est un vExpert VMware et possède une grande expérience de la conception et de la configuration d'infrastructures virtualisées sécurisées. Dave est un analyste SANS, siège au conseil d'administration du SANS Technology Institute et participe à la direction du chapitre d'Atlanta de la Cloud Security Alliance.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo