En matière de cybersécurité, nous parlons d'attaques de la chaîne logistique logicielle dans lesquelles nous voyons des injections de code malveillant d'un fournisseur de code tiers pour nuire à une entité au-delà du réseau de la chaîne logistique numérique. Celles-ci ont été parfaitement illustrées par les attaques de Magecart contre British Airways et Ticketmaster l'année dernière. Pour creuser un peu plus, une attaque de la chaîne d'approvisionnement peut être caractérisée comme une action malveillante intentionnelle (par exemple, insertion, substitution ou modification) effectuée pour créer et exploiter une vulnérabilité dans les technologies de l'information et de la communication (matériel, logiciel, micrologiciel) à tout point de la chaîne d'approvisionnement, avec pour objectif principal d'interrompre ou de surveiller une mission à l'aide de cyber-ressources. Dans le développement de logiciels, une attaque de la chaîne d'approvisionnement implique généralement l'insertion de code malveillant dans une dépendance de code ou l'intégration de services tiers. L'intégration de scripts externes et l'utilisation de dépendances de code sont désormais une pratique courante dans le développement de logiciels. Parmi les éléments de code les plus couramment utilisés, certains proviennent de fournisseurs tiers réputés, tels que Google, des entreprises auxquelles nous ne devons pas nous attendre des attaquants. Cependant, de grandes entreprises comme celles-ci utilisent souvent des scripts tiers provenant de petites entreprises ou de développeurs individuels dont les systèmes de sécurité peuvent laisser beaucoup à désirer. La plupart des fournisseurs de code tiers ne disposent pas de systèmes de sécurité de niveau entreprise, cependant, ce code externe dispose des mêmes autorisations que le code que les entreprises développent en interne. Les pirates informatiques ont clairement identifié ce maillon le plus faible de la chaîne d'approvisionnement: être capable de pirater des entreprises haut de gamme sans avoir à s'approcher de leurs serveurs ou de leur code. Soyez témoin des attaques majeures qui ont eu lieu au cours de l'année écoulée, y compris les attaques de Magecart contre British Airways et Ticketmaster. Le Saint Graal des cyberattaques cible désormais les dépendances ou les scripts développés par des tiers et utilisés par des milliers d'entreprises, ce que nous appelons désormais les attaques de la chaîne d'approvisionnement. Cibles d'attaque courantes Quelles sont donc les cibles d'attaque courantes des pirates dans la chaîne d'approvisionnement? En examinant les récentes attaques de la chaîne d'approvisionnement, nous constatons que les pirates informatiques veulent certainement obtenir un accès non autorisé aux informations: informations de carte de crédit et identifiants de compte. Ils peuvent également essayer de réduire l'intégrité du système dans son ensemble (ce qui en fait un dysfonctionnement) afin que les utilisateurs ne fassent pas confiance aux informations ou au système d'information; L'utilisateur final pourrait également finir par faire des choses inattendues. Les attaquants peuvent également essayer de réduire la disponibilité du système ou des informations / ressources, c'est-à-dire de les rendre indisponibles lorsque l'utilisateur en fait la demande. Ils essaieront sans aucun doute également d'utiliser les ressources à des fins illégitimes ou pour des raisons potentiellement préjudiciables. De cette manière, ils peuvent violer la confidentialité ou la disponibilité d'autres ressources qui font confiance aux informations attaquées. Par rapport aux cyberattaques traditionnelles, les attaques de la chaîne d'approvisionnement offrent deux avantages principaux pour les attaquants. Premièrement, une seule attaque de chaîne d'approvisionnement peut cibler plusieurs entreprises. en même temps (car de nombreuses entreprises utilisent le même code externe et les mêmes dépendances de script); en tant que tel, le retour sur investissement potentiel de l'attaque est plus important. Deuxièmement, contrairement aux cyberattaques courantes, les attaques de la chaîne d'approvisionnement peuvent ne pas être détectées par les défenses de périmètre, car elles sont souvent injectées par une modification intégrée à un composant du système qui est approuvé par défaut. puis un mécanisme de transmission approuvé (une mise à jour logicielle par exemple) fournit l'attaque de la chaîne d'approvisionnement sans être détecté par les défenses du réseau. (Image: © Crédit d'image: Geralt / Pixabay) Atténuation des attaques de la chaîne d'approvisionnement Il existe plusieurs techniques de cyber-résilience de haut niveau pour atténuer les cyberattaques. Cela comprend: Réponse adaptative - Optimiser la capacité de l'organisation à réagir rapidement et de manière appropriée aux conditions défavorables, au stress ou aux attaques, maximisant ainsi la capacité de maintenir les opérations de la mission, d'atténuer les conséquences et d'éviter la déstabilisation. Surveillance analytique: collectez, combinez et analysez les données de manière continue et coordonnée pour identifier les vulnérabilités potentielles, les conditions défavorables, le stress ou les attaques et dommages. Défense coordonnée - Assurez-vous qu'une seule défaillance de barrière défensive n'expose pas les actifs critiques à la menace. Exiger que les événements menaçants dépassent les protections multiples (...). Déception: tromper, confondre ou cacher des ressources critiques à l'adversaire. Diversité - Utilisez l'hétérogénéité pour minimiser les pannes de mode commun, en particulier les attaques qui exploitent les vulnérabilités courantes. Redondance: fournissez plusieurs instances protégées de ressources critiques. Intégrité confirmée - Détecter les tentatives d'un adversaire de fournir des données, des logiciels ou du matériel compromis, ainsi que des modifications ou des fabrications réussies - Imprévisibilité - Apporter des modifications de manière aléatoire ou imprévisible - Très important pour les professionnels de la sécurité et les administrateurs informatiques Ils comprennent que limiter les attaques de la chaîne d'approvisionnement nécessite une approche de sécurité en profondeur. Il faut être conscient qu'investir des ressources dans les défenses périphériques n'est pas une approche appropriée. Les tests de sécurité des applications statiques (SAST) sont souvent considérés à tort comme une approche appropriée pour prévenir les attaques de la chaîne d'approvisionnement. Cependant, ces attaques exploitent des faiblesses et introduisent une logique malveillante dans le code existant. Puisqu'il n'y a pas de vulnérabilité, SAST ne la détecte pas. Étant donné que les attaques de la chaîne d'approvisionnement opèrent souvent à travers des changements évidents côté client, investir dans la sécurité côté client devient une étape clé du processus. Dans le paysage actuel de la sécurité des applications, il n'existe aucun moyen sûr de garantir que du code malveillant ou signalé ne soit pas injecté dans les applications d'entreprise. La meilleure chose à faire est d'avoir une visibilité sur ces injections et de pouvoir réagir en temps réel. Comme nous l'avons vu lors des précédentes attaques de la chaîne d'approvisionnement, l'ampleur de l'attaque est directement liée au temps nécessaire aux entreprises pour la détecter et y réagir. - Et certaines attaques précédentes de la chaîne d'approvisionnement sont restées indétectables pendant des mois. C'est une question de visibilité et de temps.