1887170134 attack surface programming abstract

Développeurs: appliquez d’abord ces 10 atténuations pour éviter les attaques de chaîne d’approvisionnement

Lucas Morel

Les cadres de risque de développement de la cybersécurité actuels ne couvrent pas toutes les tactiques que les pirates ont utilisés pour compromettre SolarWinds, Log4J ou XZ Utils, indique le rapport, qui propose un «kit de démarrage» de tâches critiques.

Les dirigeants de DevOps espérant trouver un seul cadre de risque de cybersécurité qui empêchera leur travail de vivre les types de compromis qui conduisent à des attaques de chaîne d’approvisionnement auront du mal, selon un nouveau document de recherche.

Dans un document soumis au site Arxiv de l’Université Cornell pour les manuscrits académiques, les six chercheurs – quatre de la North Carolina State University, l’un de Yahoo et un entre postes – ont déclaré qu’ils pourraient classer les tâches les plus élevées que les équipes de développement d’applications devraient effectuer des compromis éventuels dans leur travail qui pourraient conduire leurs applications utilisées pour attaquer les utilisateurs.

Ils l’ont fait en cartographiant les 114 techniques rapportées utilisées pour compromettre trois applications vitales, Solarwinds Orion, Log4J et XZ Utils, par rapport aux 73 tâches recommandées énumérées dans 10 cadres de sécurité logicielle, y compris le cadre de développement logiciel US NIST Secure.

Cependant, les chercheurs ont ajouté que trois facteurs d’atténuation manquaient dans les 10 cadres. Cela suggère qu’aucun cadre ne fermera tous les trous potentiels d’une application. Les trois éléments manquants sont:

  • s’assurer que les logiciels open source sont durables;
  • avoir des outils de balayage environnemental;
  • et s’assurer que les partenaires de candidature signalent leurs vulnérabilités.

Johannes Ullrich, doyen de la recherche au Sans Institute a convenu.

« Aucun (les frameworks) n’est parfait », a-t-il déclaré dans un e-mail, « et c’est OK. La chaîne d’approvisionnement du logiciel ne peut pas être sécurisée isolément. Les dirigeants DevOps doivent parler au reste de l’entreprise pour voir où les lacunes sont qu’ils doivent combler. Ces cadres sont un point de départ pour cette discussion.

«Quant aux trois lacunes, cela dépend un peu de la portée de votre effort de sécurité de la chaîne d’approvisionnement des logiciels. Par exemple, ils (les chercheurs) ne considèrent pas les« logiciels open source », car il n’y a pas de relation contractuelle. Je pense qu’il y a une relation contractuelle, même si souvent un logiciel faible. c’est là qu’ils vont avec ce contrôle). »

Les outils de numérisation environnementale, une autre atténuation manquante, font souvent partie de la gestion de la vulnérabilité, a ajouté Ullrich. Mais, a-t-il dit, parfois d’autres activités peuvent combler le vide. Par exemple, le «partenariat de réponse» fait souvent partie du cadre de réponse aux incidents, et la collaboration fait souvent partie de la renseignement des menaces.

« Vous pouvez toujours trouver des lacunes dans les cadres si vous étendez leur utilisation au-delà de ce qu’ils sont à l’origine conçus », a-t-il conclu, « et encore une fois, ils doivent être constamment mis à jour. »

Pire attaques de la chaîne d’approvisionnement

Le document traite de trois des pires compromis de la chaîne d’approvisionnement ces dernières années.

  • Vents solaires: Comme nous l’avons signalé, Microsoft pensait que «au moins 1 000 ingénieurs très qualifiés et très compétents» ont travaillé sur le hack, ce qui impliquait l’insertion de code malveillant surnommé Sunburst dans les mises à jour logicielles pour la suite de gestion du réseau Orion de Solarwinds. Solarwinds a déclaré qu’environ 18 000 entreprises avaient téléchargé les mises à jour, et dont environ 100 ont été compromises;
  • Log4j: Les attaquants ont exploité un défaut (CVE-2021-44228), surnommé Log4Shell, dans l’utilitaire de journalisation Log4J open source d’Apache. Il a été noté 10 sur 10 sur l’échelle de notation de vulnérabilité CVSS et pourrait conduire à l’exécution du code distant (RCE) sur les serveurs sous-jacents. En raison de son ubiquité dans un large éventail d’applications, il n’est pas clair combien de réseaux informatiques ont été compromis;
  • Xz utils est un utilitaire de compression de données, faisant partie des principales distributions Linux. L’installation d’une porte dérobée a été capturée avant de pouvoir faire des dégâts généralisés, nous avons rapporté l’année dernière.

Les chercheurs ont voulu prioriser toutes les tâches recommandées dans 10 cadres de développement de logiciels de sécurité en examinant les acteurs de la menace tactique utilisés dans ces trois hacks, indiquant des tâches de cadre actuelles qui auraient pu atténuer ces attaques. Les travaux montreraient également des lacunes dans les cadres qui laissent le code vulnérable aux attaques.

Ils ont analysé 106 rapports de renseignement cyber-menace (CTI) des techniques utilisées dans les trois attaques, puis les ont cartographiés à 73 tâches de meilleures pratiques dans les cadres que les développeurs devraient effectuer. Enfin, ils ont classé les tâches prioritaires qui allaient mieux atténuer les techniques d’attaque.

Bien qu’il y ait eu 114 techniques d’attaque uniques sur les trois hacks, 12 d’entre eux étaient courants, notamment en exploitant des relations de confiance, en obscurcissant les données et en compromettant les infrastructures. Ils ont également constaté que 27 des 73 meilleures pratiques recommandées auraient pu atténuer les trois attaques.

Cependant, ils ont ajouté que trois des 27 tâches d’atténuation recommandées n’ont été incluses dans aucun des cadres; Ils comprenaient l’utilisation de logiciels open source durables et l’utilisation d’outils de numérisation environnementale.

« Ainsi, les produits logiciels seraient toujours vulnérables aux attaques de chaîne d’approvisionnement logicielles, même si les organisations adoptaient toutes les tâches recommandées », ont-ils conclu.

Kit de démarrage des atténuations

Ce que le travail a permis aux chercheurs de créer un «kit de démarrage» de 10 tactiques défensives que les développeurs devraient adopter, sur la base des scores d’atténuation les plus élevés de leurs recherches. Tiré du cadre de gestion des risques de la chaîne d’approvisionnement des logiciels proactifs (P-SCRM), les 10 sont:

  • Contrôle d’accès basé sur les rôles
  • Surveillance continue du système
  • Surveillance et contrôler les communications à la limite externe du système et aux limites internes clés
  • Surveillance des modifications des paramètres de configuration
  • Autoriser l’authentification pour les employés et les entrepreneurs
  • Mise à jour des dépendances vulnérables lorsqu’une version fixe est disponible
  • Énumération des vecteurs de menace possibles grâce à la modélisation des menaces et à l’analyse de la surface d’attaque
  • Limiter le flux d’informations à travers les limites de confiance aux participants à la chaîne d’approvisionnement
  • Protéger les informations au repos
  • remédier aux vulnérabilités, prioriser en fonction du risque.

Ces 10 atténuations s’appliquent à la sécurité des logiciels plus large plutôt que d’être spécifique à la sécurité de la chaîne d’approvisionnement des logiciels, ont ajouté les chercheurs. «Avant d’atténuer les attaques de chaîne d’approvisionnement logiciels, les tâches de sécurité des logiciels sont traitées», ont-ils souligné.

Dans une interview, le co-auteur du rapport Sivana Hamer a reconnu que tous les 10 cadres étudiés ont des lacunes dans les atténuations qui auraient dû s’appliquer aux trois applications piratées. « Aucun des cadres n’est censé fournir une vue complète de la sécurité », a-t-elle déclaré. « Tous ont une notion différente, comme on est plus axé sur les environnements de construction. »

Le «kit de démarrage» des atténuations est la liste des tâches de sécurité que les développeurs devraient prioriser, a-t-elle déclaré.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Two Young Colleagues Working on Computers and Talking at a Workplace. Female and Male Software Developers Discussing a Solution for Their Collaborative Artificial Intelligence Project
4 grandes erreurs que vous faites probablement encore dans la gestion de la vulnérabilité… et comment les réparer
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d'hiver de 800 $
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d’hiver de 800 $
Laptop, meeting and business people in office with teamwork for finance stock market planning. Collaboration, technology and group of financial advisors working on company budget in workplace.
Rapports de rapports: Se séparer pourrait-il aider les CISO?