Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Verrouillez la chaîne d'approvisionnement logicielle avec « Secure by Design »

Republié par Platon
Republié par Platon

Date :

Vues: 170

Un logiciel qui donne la priorité à la sécurité à son niveau le plus fondamental signifie concevoir le système avec la sécurité du client comme objectif clé plutôt que comme fonctionnalité ajoutée. Et ce concept – sécurisé dès la conception – devient de plus en plus crucial à mesure que les attaquants commencent à cibler plus fréquemment les chaînes d’approvisionnement.

«Ils comprennent qu'ils peuvent avoir un impact plus important en exploitant avec succès la chaîne d'approvisionnement», déclare Thomas Pace, PDG de NetRise. Étant donné que les solutions de sécurité traditionnelles telles que l'EDR, les pare-feu et les filtres anti-spam sont devenues efficaces dans la prévention des attaques frontales, dit-il, les attaquants doivent rechercher des ouvertures plus en amont de la chaîne.

Et les systèmes collés ensemble offrent exactement ce genre d’ouverture. « Les cyberattaques sont plus faciles lorsque les entreprises et les fournisseurs tentent de renforcer la sécurité après coup », déclare David Brumley, PDG de ForAllSecure. "C'est comme installer une chaîne stéréo d'après-vente dans votre voiture : elle ne fonctionne tout simplement pas correctement."

Pour améliorer la sécurité des logiciels à l'échelle mondiale, la Cybersecurity and Infrastructure Security Agency (CISA) a proposé une initiative visant à révolutionner les pratiques de développement en adoptant les principes de « sécurité dès la conception » dans le cycle de vie du développement logiciel. Cela reflète un changement crucial vers des mesures de sécurité proactives.

La demande d'information se concentre sur la résolution des vulnérabilités logicielles récurrentes, le renforcement de la technologie opérationnelle et l’évaluation de l’impact des pratiques sécurisées sur les coûts. L'appel à commentaires, ouvert jusqu'au 20 février 2024, souligne également la responsabilité collective des fabricants de technologies et des consommateurs dans la promotion d'un avenir où la technologie est intrinsèquement sûre et sécurisée.

« Sécurisé dès la conception signifie que la sécurité fait partie de la manière dont vous créez le logiciel à partir de zéro », explique Brumley. "Cela signifie qu'il est beaucoup plus résistant aux attaques."

Un niveau de sécurité fondamental

Ken Dunham, directeur des cybermenaces chez Qualys Threat Research Unit, explique que la sécurité dès la conception commence par les principes d'architecture et de gestion des risques dans les opérations avant qu'une organisation ne migre vers ou ne commence à utiliser le cloud.

« Il s’agit d’un élément essentiel d’une infrastructure hybride moderne et complexe », dit-il. « Dans un monde de responsabilité partagée, les organisations doivent décider quel risque est acceptable de être partagé, et potentiellement plus risqué, avec des tiers par rapport à celui qui est entièrement détenu et géré en interne. »

Il souligne que le cycle de vie de la fabrication de logiciels est de plus en plus complexe et que de nombreuses parties prenantes doivent toutes être sécurisées pour réduire les risques. Dunham demande : « Vos développeurs, soucieux des fonctionnalités et de l'expérience utilisateur, sont-ils adeptes des principes de codage sécurisé, des attaques modernes, des contre-mesures de sécurité et du SecOps ?

Les attentes organisationnelles en matière de sécurité mettent la pression sur une équipe d'intégration pour qu'elle déploie, configure et surveille correctement les logiciels au sein de l'architecture de l'entreprise. « Quelle est la maturité de vos services de réponse aux incidents et de renseignement sur les cybermenaces ? » il demande. « Leur faites-vous confiance dans un monde de cloud hybride où vous pouvez subir une attaque d'intrusion complexe à une vitesse fulgurante ?

« Une fois que vous avez les bonnes personnes, le processus est bien compris », reconnaît Brumley. « Vous concevez le produit avec une défense en profondeur, vous assurez que vos dépendances et vos logiciels tiers sont à jour et utilisez une technique moderne comme le fuzzing pour trouver des vulnérabilités inconnues. »

Pour Brumley, sécuriser par défaut signifie concevoir une sécurité qui fonctionne avec la façon dont les gens utilisent le logiciel. « Il existe des principes de conception qui couvrent plusieurs principes : tout comme lors de la construction d'un gratte-ciel, vous devez penser à tout, du support structurel à la climatisation », explique-t-il.

Changement de paradigme requis en matière de sécurité informatique

Dunham note que 2023 était plein d'exemples De conditions de course existaient depuis zéro jour – les vulnérabilités ont été inversées et utilisées par de mauvais acteurs plus rapidement que les organisations pourraient les corriger.

« Après tout ce temps, certaines organisations ont encore du mal à corriger les vulnérabilités de Log4J », souligne-t-il.

Selon lui, les organisations doivent identifier leur surface d'attaque, interne et externe, et hiérarchiser les actifs et la gestion des risques en conséquence afin de prendre les devants lorsque le risque d'exploitation et d'attaque lié à une vulnérabilité augmente.

Du point de vue de Pace, le secteur de la sécurité informatique doit subir un changement de paradigme dans la façon dont il considère les risques et comment les hiérarchiser au mieux – et cela ne peut se produire qu’avec une visibilité sur la chaîne d’approvisionnement. Il a partagé un exemple dans lequel une « très grande organisation » ne savait pas quelles dépendances avait son système de sécurité lorsqu'elle mettait consciencieusement à jour ce système. "Après la mise à jour, il a été analysé par un scanner de vulnérabilité et il a été déterminé que la récente vulnérabilité critique d'Apache Struts était présent », dit-il. « Maintenant, cette organisation a introduit un risque grave pour son organisation. »

Conception sécurisée à l’ère de l’IoT

John Gallagher, vice-président de Viakoo Labs chez Viakoo, affirme que l'un des principaux défis consiste à concevoir la sécurité dans des appareils à longue durée de vie, comme ceux qui font partie de l'Internet des objets (IoT), qui n'ont peut-être pas initialement pris en compte la sécurité dans leur conception.

"Cela nécessite des tests plus approfondis et peut nécessiter de nouvelles ressources d'ingénierie", explique-t-il. « De même, l’intégration de nouvelles fonctionnalités de sécurité est un moyen d’introduire de nouvelles vulnérabilités en matière de sécurité. »

Gallagher affirme que les fabricants de logiciels devraient adopter l'utilisation de nomenclatures logicielles (SBOM) pour détecter et corriger les vulnérabilités plus rapidement. Il note que les entreprises intègrent des pratiques sécurisées dès la conception dans leurs nouveaux produits, ce qui constituera en fin de compte un facteur de compétitivité sur le marché.

"En plus de l'authentification MFA et des privilèges d'accès restreints, d'autres mesures telles que l'élimination des mots de passe par défaut et la fourniture de mécanismes permettant de mettre à jour plus facilement et plus rapidement le micrologiciel sont en cours d'intégration dans les produits", explique-t-il.

Éviter « la sécurité par l’obscurité » est un autre principe de la sécurité dès la conception, souligne Gallagher. Les SBOM et les logiciels open source, par exemple, assurent la sécurité en offrant une transparence autour du code du logiciel.

Pace affirme que l'un des domaines qui le passionne le plus en ce qui concerne la sécurité par défaut et la sécurité dès la conception est une visibilité nettement meilleure sur la chaîne d'approvisionnement des logiciels. « Une fois cette visibilité atteinte, nous pouvons commencer à véritablement comprendre où se situent nos problèmes à un niveau fondamental, puis commencer à les hiérarchiser de manière logique », dit-il.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.