Les attaques sur la chaîne d'approvisionnement - la chaîne d'approvisionnement - pour les logiciels (et pour le matériel) de l'informatique menacent également les petites et moyennes entreprises. Les mises à jour de services et de logiciels représentent une vulnérabilité de plus en plus dangereuse, d'autant plus que les cybercriminels espèrent que le détournement d'une mise à jour propagera les attaques à de nombreuses victimes.
En plus de mettre à niveau leurs cyberdéfenses, les petites et moyennes entreprises devraient également revoir leurs chaînes d'approvisionnement pour l'approvisionnement en logiciels, en matériel et en mises à jour.
Malheureusement, les attaques contre la chaîne d'approvisionnement sont souvent efficaces
Une attaque contre la chaîne d'approvisionnement informatique vise à manipuler le processus de production de logiciels tiers, du développement aux mises à jour, afin que le code malveillant soit diffusé au lieu d'une mise à jour. Cette chaîne d'approvisionnement informatique est vulnérable et les cybercriminels l'attaquent de plus en plus. Car de telles attaques sont efficaces pour eux : S'ils s'attaquent aux progiciels et plateformes des fournisseurs de logiciels et de systèmes d'information, ils font plusieurs victimes à la fois. Cela n'a aucun sens pour le pirate informatique d'attaquer une entreprise après l'autre avec une attaque complexe alors que peut-être des dizaines de milliers d'entreprises et d'organisations utilisent une application ou un service répandu et sont donc efficacement à portée des entreprises. L'attaque contre la chaîne d'approvisionnement de Solarwinds en décembre 2020 a touché environ 18.000 300.000 des XNUMX XNUMX clients de Solarwinds dans le monde. En plus d'une attaque de masse, des attaques très ciblées via la chaîne d'approvisionnement sont également possibles.
Scènes d'une attaque de la chaîne d'approvisionnement
Une chaîne d'approvisionnement compromise est difficile à détecter pour les clients concernés. Par conséquent, les cybercriminels ont suffisamment de temps pour causer des dommages - tels que l'exfiltration de données, des attaques sur les systèmes ou l'interruption de processus.
Ces attaques diffèrent des attaques précédentes visant des clients particuliers et posent un défi même aux experts.Ce n'est pas pour rien que l'Agence de l'Union européenne pour la cybersécurité, l'ENISA, évalue le danger même pour les entreprises dont la défense informatique est bonne est bien positionné.
Une attaque peut commencer à plusieurs étapes de la chaîne d'approvisionnement pour le développement, le déploiement ou la mise à jour du logiciel. Compromettre l'informatique du fournisseur ne constitue pas une attaque de la chaîne d'approvisionnement, ce qui inclut la modification des sources de code et l'écriture de scripts.
Selon le maillon de la chaîne d'approvisionnement par lequel le pirate commence, les compétences requises de lui ou les options pour se défendre contre la manipulation varieront. Les phases suivantes de la chaîne d'approvisionnement peuvent être distinguées comme points de départ d'une attaque :
- Première phase – Programmation : Ces attaques sont relativement faciles à détecter. Ils commencent par des e-mails ciblés, des exploits et des sites Web malveillants pour accéder au code de programmation. Il est relativement facile pour un pirate de modifier le code à ce stade. Mais ce qu'ils ont changé est visible dans les journaux de bord.
- Phase deux – Gestion des versions : Les attaquants peuvent lancer une attaque à l'aide d'un protocole de bureau à distance (RDP) avec peu d'effort. Les mots de passe faibles et les exploits d'une application les aident. Ils peuvent également jouer des versions modifiées dans un cadre réduit ou retardé car ils ont un accès direct au code source et aux journaux et laissent peu de traces. Mais le code modifié prouve la manipulation.
- Phase trois - Mise en œuvre (construction) : C'est là que ça devient plus exigeant pour les hackers, mais malheureusement aussi pour la défense. Les moyens sont les anciens et les attaquants utilisent des attaques RDP, des mots de passe faibles et des exploits dans l'application. Mais vous avez besoin d'une bonne compréhension des scripts. Parce que les modifications nécessaires des constructions individuelles nécessitent beaucoup de temps et sont complexes. Le code modifié peut être masqué. La défense devrait également vérifier individuellement les versions successives du script pour détecter les manipulations.
- Phase XNUMX - Signature des composants : Si l'attaquant intervient maintenant, il n'a pas à manipuler de code. Il remplace simplement le code réel par un code malveillant. Mais une validation dans le concept de chaîne d'approvisionnement rejettera cette fausse mise à jour. Par conséquent, les pirates doivent répondre à certains critères minimaux pour les mises à jour légales dans leurs faux programmes.
- Phase Cinq - Livraison : Ici aussi, un attaquant n'a qu'à remplacer les composants. Mais les composants malveillants n'ont alors aucune signature et peuvent être reconnus par celle-ci.
Comment les petites et moyennes entreprises peuvent-elles se protéger ?
Bien que les attaques aient lieu dans la chaîne d'approvisionnement du fournisseur de mises à jour, les attaques touchent également les petites et moyennes entreprises. Afin de vous armer contre les dommages d'une mise à jour prétendument légale, vous devez prendre les mesures suivantes :
Étapes d'une attaque de la chaîne d'approvisionnement (Image : Bitdefender).
1. Mettez en œuvre une cybersécurité complète qui inclut Endpoint Detection and Response (EDR), mais en même temps voit et signale les connexions de données suspectes grâce aux renseignements sur les menaces. Un symptôme courant d'une attaque réussie de la chaîne d'approvisionnement est la communication avec un serveur de commande et de contrôle malveillant. Les entreprises disposant de ressources informatiques limitées en particulier devraient également utiliser un service de détection et de réponse gérées (MDR) et donc l'expertise et le temps des analystes de la sécurité informatique. Ce n'est que par la combinaison d'EDR et de MDR que les responsables voient les anomalies se produire.
2. Il est tout aussi important de sensibiliser les employés au phishing afin d'empêcher le piratage d'identité dans le processus de la chaîne d'approvisionnement.
3. Il est essentiel de connaître les processus de la chaîne d'approvisionnement d'une entreprise et de les contrôler en permanence. Un responsable informatique sait-il même quelles mises à jour de logiciels ou de services il reçoit de qui et quand ? Quel matériel acquiert-il et comment vous protégez-vous contre la transmission de logiciels malveillants ? Chaque responsable de la sécurité doit poser à son fournisseur informatique les questions suivantes :
- Le processus de développement logiciel/matériel du fournisseur est-il documenté, traçable et vérifiable ?
- Résout-il les vulnérabilités connues dans la conception et l'architecture des produits, la protection de l'exécution et la révision du code ?
- Comment le fournisseur tient-il un client informé des vulnérabilités émergentes ?
- De quelles possibilités le fournisseur dispose-t-il pour corriger les vulnérabilités « zero-day », c'est-à-dire les vulnérabilités qui sont présentes dans le logiciel dès le départ et qui ne sont découvertes que plus tard ?
- Comment le fournisseur gère et contrôle-t-il les processus de production d'un logiciel et d'une mise à jour ?
- Que fait le fournisseur pour protéger ses mises à jour contre les manipulations et les logiciels malveillants ?
- Quel type de vérification des antécédents est effectué sur les employés des fournisseurs et à quelle fréquence ?
- Dans quelle mesure le déploiement des mises à jour est-il sécurisé ?
Si vous obtenez une mise à jour logicielle, vous devez vous assurer que vous n'obtenez pas de logiciels malveillants malveillants : en fin de compte, vous devez payer vous-même les conséquences d'une attaque réussie de la chaîne d'approvisionnement. La prudence et une sélection réfléchie de fournisseurs dans le cadre d'une sécurité informatique complète sont les meilleurs alliés contre un type d'attaque dont le potentiel de risque est loin d'être épuisé.
Plus sur Bitdefender.de
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de