Se cacher à la vue de tous : pourquoi l'attaque de SolarWinds a révélé bien plus qu'un cyberrisque malveillant
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage jamais enregistré pour le gouvernement américain.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
