Se cacher à la vue de tous : pourquoi l'attaque de SolarWinds a révélé bien plus qu'un cyberrisque malveillant
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage jamais enregistré pour le gouvernement américain.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
