Brian Fox est un développeur de logiciels, innovateur et entrepreneur, bien connu pour son rôle de CTO et co-fondateur de Sonatype, Inc.
Getty
2014 a été une année de nombreuses premières. La philae landae de Rosetta a fait le Premier atterrissage réussi Sur une comète en mouvement, Janet Yellen était asservir En tant que première femme à présider la Réserve fédérale américaine et Apple dévoilé Son premier appareil portable, l’Apple Watch.
Pour les personnes en cybersécurité, 2014 était remarquable pour un autre: le Congrès a présenté le premier morceau de législation centré sur la sécurité de la chaîne d’approvisionnement des logiciels. Malheureusement, le projet de loi n’est jamais allé à un vote, et depuis lors, la chaîne d’approvisionnement des logiciels est devenue un vecteur d’attaque de plus en plus important – permettant aux acteurs de menace de devenir les protagonistes de la chaîne d’approvisionnement des logiciels.
Une transformation d’une décennie
En 2014, les acteurs de la menace ont principalement recherché des vulnérabilités exploitables pour obtenir un accès non autorisé à un système – un peu comme un cambrioleur qui entoure une fenêtre ouverte. Bien que gratifiants lorsqu’ils réussissent, ces attaques prenaient du temps à exécuter et dépendaient de l’attente d’un bug précieux à découvrir.
Le Violation d’Equifax de 2017 a marqué la création d’attaques ciblées, prouvant qu’une seule composante open-source vulnérable pourrait permettre aux acteurs de menace d’infecter plusieurs systèmes simultanément. Plutôt que d’espérer tomber sur une faiblesse, les attaquants ont réalisé que l’injection de code malveillant directement dans le développement de logiciels était beaucoup plus fructueux.
Le 2020 hack L’implication de Solarwinds incarne la montée des attaques sophistiquées de la chaîne d’approvisionnement des logiciels, car la campagne a réussi à compromettre les réseaux de haut niveau, dont neuf agences gouvernementales américaines.
En 2021, une vulnérabilité dans le composant Log4J populaire, surnommé Log4Shell, a été découverte. Notre rapport sur l’état de la chaîne d’approvisionnement en 2024 a révélé que 13% des téléchargements log4j étaient encore de la version vulnérable. Les acteurs de la menace savent que l’assainissement a été incohérent et la CISA a publié un rapport En juillet 2024, déclarant que les acteurs affiliés à la Corée du Nord exploitent toujours Log4Shell.
2024 a été témoin d’une autre étape importante avec le Tentative d’attaque XZ utilise. Initié des années à l’avance, l’acteur de menace a offert des conseils innocents pour renforcer la confiance avec le responsable du projet avant de reprendre le projet et d’ajouter du code malveillant crypté directement dans le code source XZ.
Heureusement, l’attaque a été contrecarrée avant de pouvoir infecter les entreprises du monde entier. Cependant, des campagnes de génie social sophistiquées similaires se poursuivront et, comme le note Cisco, 97% des organisations ne sont pas prêtes à les empêcher.
2025: reprendre le contrôle
Si nous avions fait les choses différemment en 2014, les attaquants n’auraient probablement pas le dessus qu’ils feraient aujourd’hui. Un manque continu d’urgence et de proactivité au cours de la dernière décennie – malgré plusieurs appels rapprochés – leur donnez le pouvoir.
Bien que nous ne puissions pas remonter dans le temps, nous pouvons commencer à reprendre le contrôle de la chaîne d’approvisionnement des logiciels maintenant. Alors que les écosystèmes modernes deviennent de plus en plus interconnectés et que la dépendance à l’égard des composants open source continue de croître, la chaîne d’approvisionnement des logiciels deviendra une cible de plus en plus lucrative pour les acteurs de la menace.
Améliorer notre posture de cybersécurité est le seul moyen de nous remettre dans le siège du conducteur, et cela commence par changer nos habitudes de consommation.
Choisissez les bons composants
Une bonne consommation open source commence par la sélection de composants de haute qualité. Étant donné qu’il y a des millions de composants à choisir, cependant, ce n’est pas une mince affaire. Même s’il n’y a pas de marqueur définitif d’un composant de haute qualité, les projets avec une facture de matériaux logiciels publiés (SBOM), les mainteneurs payants et le support de fondations telles que la Fondation des logiciels Apache s’alignent généralement avec une meilleure qualité.
Pourtant, ce n’est pas une mesure infaillible. Alors que les équipes doivent prendre en compte ces facteurs pendant le processus de sélection initial, ils doivent également investir dans des outils qui évaluent la santé des composants et fournissent des informations exploitables pour les aider à atténuer les risques dès le début du cycle de vie du développement logiciel.
Ne négligez pas la gestion des dépendances
Les composants open-source ne sont pas un atout “réglez-le et oubliez-le”. Même les composants de haute qualité doivent être régulièrement entretenus et mis à jour après avoir été sélectionnés pour assurer la durabilité et l’intégrité. Malheureusement, la gestion des dépendances est souvent négligée ou dépréciée dans le processus de développement logiciel. Selon notre rapport, 80% des dépendances des applications d’entreprise restent obsolètes pendant plus d’un an.
La gestion des dépendances a tendance à tomber au bord du chemin, car cela peut prendre incroyablement beaucoup de temps, mais cela résulte d’équipes essayant de gérer les dépendances manuellement. Les développeurs préfèrent de loin se concentrer sur la création d’applications que de passer leur temps à résoudre les problèmes. La technologie doit détecter les vulnérabilités, appliquer automatiquement des correctifs et les aider à hiérarchiser les mises à jour les plus critiques. Non seulement cela réduit le temps que les développeurs passent à gérer les dépendances et à améliorer la sécurité, mais cela permet également plus de temps pour l’innovation.
Upgel Vos pratiques de prévention
Les logiciels malveillants open source augmentant considérablement d’une année à l’autre, les équipes ne peuvent pas compter uniquement sur les outils de numérisation traditionnels pour atténuer tous les risques. Parce qu’ils identifient les menaces basées sur des modèles connus, ces outils ne parviennent pas à détecter de nouvelles techniques dans les logiciels malveillants open-source, créant un écart de sécurité massif.
Les organisations ont besoin de mesures plus avancées que les mises à jour automatiques et les méthodes de numérisation génériques pour détecter ces attaques insaisissables. Ils doivent adopter une pratique de cybersécurité qui maintient le rythme de l’évolution rapide des open source en établissant des garde-corps pour assurer une meilleure consommation, en appliquant des examens réguliers de tous les composants et en adoptant la transparence tout au long du cycle de vie du développement logiciel.
Nous ne pouvons pas être d’accord avec le niveau de complaisance actuel. Les attaques continueront de devenir plus innovantes avec l’adoption de nouvelles technologies. La seule façon d’atténuer les menaces qui affligent les organisations aujourd’hui est de modifier nos habitudes de consommation, ce qui nécessite d’améliorer la gestion des dépendances, de s’attaquer aux risques de logiciels malveillants open source et à adopter des pratiques de sécurité rigoureuses.
L’industrie est à la croisée des chemins, et nous ne voulons pas regarder en arrière dans 10 ans souhaitant que nous ayons agi plus rapidement.
Forbes Technology Council est une communauté uniquement sur l’invitation pour les DSI, les CTO et les cadres de technologie de classe mondiale. Est-ce que je suis qualifié?
#Comment #les #attaquants #sont #devenus #les #protagonistes #chaîne #dapprovisionnement #des #logiciels