Log4Shell ou Solarwinds sont des exemples typiques d'attaques contre les entreprises via leur chaîne d'approvisionnement en logiciels. Il est caractéristique que les cybercriminels n'obtiennent pas un accès direct à l'entreprise cible, mais attaquent par une porte dérobée. Un commentaire de Trend Micro.
Si vous regardez certaines attaques récentes (en particulier Solarwinds ou Log4Shell), vous remarquerez qu'elles jouent de plus en plus "sur les gangs". Cela signifie que les attaquants n'attaquent plus directement les entreprises cibles, mais via leur chaîne d'approvisionnement (logiciel). Que les victimes soient attaquées via des mises à jour compromises de Solarwinds ou des lacunes dans Log4Shell - dans les deux cas, la chaîne d'approvisionnement logicielle est également la chaîne d'infection.
Infections de la chaîne d'approvisionnement
Cela signifie que la question de l'intégrité de la chaîne d'approvisionnement devient de plus en plus explosive. Cela signifie principalement : Est-ce que je connais tous les fournisseurs/prestataires de services de ma chaîne d'approvisionnement ? Et pas seulement les dépendances directes, mais aussi les dépendances transitoires ! L'ensemble de la chaîne d'approvisionnement est-il documenté de manière à ce qu'en cas de lacune dans les bibliothèques utilisées, vous puissiez dire directement si votre propre logiciel est concerné ? Que ce soit parce que vous utilisez directement la bibliothèque vous-même ou l'une des dépendances transitoires.
L'« intégrité de la chaîne d'approvisionnement » devient rapidement une priorité, en particulier lors d'incidents de sécurité. Dans de tels cas, des efforts sont faits pour limiter les dégâts le plus rapidement possible. Selon l'environnement, il existe également diverses solutions techniques pour cela : correctifs (virtuels), mises à jour des dépendances logicielles, SLA avec les fournisseurs de services et bien plus encore. Malheureusement, comme c'est souvent le cas lorsque la douleur aiguë a disparu, l'intérêt pour elle diminue rapidement une fois le pire passé.
Gérer efficacement la chaîne d'approvisionnement
Il devrait être clair pour tout le monde que l'intégrité de la chaîne d'approvisionnement n'est pas quelque chose qui doit toujours être traité rapidement avec un "pansement" technique. Il s'agit plutôt d'établir des processus appropriés (ainsi que des procédures techniques) qui vous aident à gérer efficacement l'intégrité de votre propre chaîne d'approvisionnement. Cela se traduit généralement par une surface d'attaque plus petite et au moins une meilleure base de données qui réduit l'investigation manuelle en cas d'incident de sécurité.
Malheureusement, établir des processus pour maintenir l'intégrité de sa chaîne d'approvisionnement logicielle est souvent fastidieux. D'autant plus qu'il ne s'agit pas seulement d'aspects techniques de protection, mais qu'il y a aussi un volet humain et administratif. De plus, par rapport à la sécurité informatique technique, les connaissances et le personnel spécialisé sont rares.
Conseils du département américain du commerce
La nouvelle version du Publication spéciale NIST SP800-161r1 ("Pratiques de gestion des risques de la chaîne d'approvisionnement en cybersécurité pour les systèmes et les organisations"). Il contient une introduction complète à l'arrière-plan, aux contributeurs et à la mise en œuvre des chaînes d'approvisionnement logicielles sécurisées. Les procédures et exemples de scénarios qui y sont documentés donnent un excellent aperçu de la mise en œuvre, mais aussi des avantages des chaînes d'approvisionnement logicielles sécurisées.
Cela fait de la publication du NIST une ressource très précieuse pour quiconque cherche à améliorer l'intégrité de sa chaîne d'approvisionnement logicielle. Et cela devrait être important pour tout le monde ! L'expérience montre que les attaquants se concentrent sur les modèles d'attaque qui fonctionnent. Et cette preuve est certainement là pour les attaques de la chaîne d'approvisionnement. Par conséquent, il faut maintenant s'occuper de la protection et de la documentation de la chaîne d'approvisionnement - car la prochaine fois, il sera trop tard pour cela. En d'autres termes, on est tellement occupé par la défense que les processus ne jouent de toute façon aucun rôle. Et ainsi le dilemme recommence.
Plus sur TrendMicro.com
À propos de Trend Micro En tant que l'un des principaux fournisseurs mondiaux de sécurité informatique, Trend Micro aide à créer un monde sécurisé pour l'échange de données numériques. Avec plus de 30 ans d'expertise en matière de sécurité, de recherche sur les menaces mondiales et d'innovation constante, Trend Micro offre une protection aux entreprises, aux agences gouvernementales et aux consommateurs. Grâce à notre stratégie de sécurité XGen™, nos solutions bénéficient d'une combinaison intergénérationnelle de techniques de défense optimisées pour les environnements de pointe. Les informations sur les menaces en réseau permettent une protection meilleure et plus rapide. Optimisées pour les charges de travail cloud, les terminaux, les e-mails, l'IIoT et les réseaux, nos solutions connectées offrent une visibilité centralisée sur l'ensemble de l'entreprise pour une détection et une réponse plus rapides aux menaces.