Comment s’est déroulée l’enquête
Les chercheurs d’Unit 42 ont analysé des données provenant de plusieurs sources publiques au niveau mondial pour établir leurs conclusions sur les menaces toujours plus nombreuses concernant les chaînes logistiques logiciels. Parmi les principales conclusions de cette analyse, 63 % des modèles de code tiers utilisés pour par les entreprises pour bâtir leur infrastructure dans le cloud contiennent des configurations non sécurisées et 96 % des applications en conteneurs provenant de tierce partie déployée dans le cloud contiennent des vulnérabilités connues.
Outre cette analyse des données, les chercheurs de l’Unit 42 ont été missionnés par un grand fournisseur de SaaS (client de Palo Alto Networks) pour simuler une attaque contre son environnement de développement logiciel. En seulement trois jours, un seul chercheur de l’Unit 42 a découvert des failles majeures dans l’environnement de développement en question qui laissent le client vulnérable à une attaque similaire à SolarWinds et Kaseya.
Les points clés
Une mauvaise hygiène logistique impacte l’infrastructure cloud
Le client dont l’environnement a été testé lors de cet exercice red team avait ce que beaucoup considéraient comme une approche mature de la sécurité dans le cloud. Néanmoins, son environnement de développement contenait plusieurs vulnérabilités et erreurs de configuration critiques, qui ont permis à l’Unit 42 de s’emparer de son infrastructure cloud en l’espace de quelques jours.
Le code venu d’un tiers n’est pas forcément sécurisé
Dans la plupart des attaques contre la chaîne logistique logicielle, l’attaquant a d’abord compromis un fournisseur et inséré du code malveillant dans les logiciels utilisés par les clients de ce dernier. L’infrastructure cloud se retrouve la proie d’une approche similaire où du code non vérifié en provenance de tierce partie peut introduire des failles de sécurité chez l’utilisateur final et permettre aux attaquants d’accéder à des données sensibles dans le cloud. De plus, sans vérifier les sources, les codes émanant de tiers, peuvent venir de n’importe qui, et servir pour des APT (Advanced Persistent Threat – attaque par phishing visant une cible précise).
Les sociétés doivent traiter leur sécurité en amont
Les équipes continuent à négliger la sécurité DevOps, en partie en raison du manque d’attention pour les menaces pesant sur la chaîne logistique. Les applications nativement dans le cloud ont de longues chaines de dépendances, et ces dépendances ont des dépendances qui leurs sont propres. Les équipes DevOps et de sécurité doivent disposer de la visibilité maximale sur l’ensemble des matériels dans chaque environnement cloud afin d’évaluer les risques à chaque niveau de la chaine de dépendance et d’établir des garde-fous.
Apprenez à sécuriser votre chaîne logicielle logistique dans le cloud
Alors que le rapport apporte des enseignements clés sur le déroulement des attaques en elles-mêmes, son objectif principal est de montrer comment vous pouvez protéger immédiatement votre entreprise de ces menaces croissantes.
Vous pouvez téléchargez une version gratuite de ce rapport dès aujourd’hui pour apprendre comment des problèmes logistiques classiques mettent à mal la sécurité dans le cloud et ce que vous pouvez faire pour sécuriser votre chaîne logistique.