Les attaques contre la chaîne d'approvisionnement se multiplient
Ces dernières années, un grand nombre des incidents de cybersécurité les plus dommageables et les plus médiatisés ont été des attaques de la chaîne d'approvisionnement. Si cette augmentation peut avoir de nombreux moteurs, l'un des plus importants est la cyberpandémie.
COVID-19 a transformé l'entreprise moderne, poussant de nombreuses organisations à adopter le travail à distance et cloud alors qu'elles n'étaient peut-être pas tout à fait prêtes à franchir le pas. En conséquence, les équipes de sécurité - qui manquent souvent de personnel en raison du déficit de compétences en matière de cybersécurité - sont débordées et incapables de suivre le rythme.
Exemples d'attaques contre la chaîne d'approvisionnement
Avec les nouveaux vecteurs d'attaque créés par le travail à distance et les équipes de sécurité débordées, les cybercriminels ont eu de nombreuses occasions de mener des attaques contre la chaîne d'approvisionnement. Parmi les plus importants de ces dernières années, on peut citer
- SolarWinds: En 2020, un groupe de pirates informatiques a accédé à l'environnement de production de SolarWinds et a intégré une porte dérobée dans les mises à jour de son produit de surveillance de réseau Orion. Les clients de SolarWinds qui utilisent la mise à jour malveillante ont subi des violations de données et d'autres incidents de sécurité.
- Kaseya: Le gang REvil logiciel rançonneur a exploité Kaseya, un éditeur de logiciels destinés aux fournisseurs de services gérés (MSP), pour infecter plus de 1 000 clients avec le logiciel rançonneur. Le groupe a demandé une rançon de 70 millions de dollars pour fournir des clés de décryptage à tous les clients concernés.
- Codecov : Codecov est un organisme de test de logiciels dont le script Bash uploader (utilisé pour envoyer des rapports de couverture de code à l'entreprise) a été modifié par un pirate. Cet exploit de la chaîne d'approvisionnement a permis aux attaquants de rediriger des informations sensibles, telles que le code source, des secrets et autres, des clients de CodeCov vers leurs propres serveurs.
- NotPetya : NotPetya était un faux logiciel rançonneur malveillant qui chiffrait les ordinateurs mais ne sauvegardait pas la clé secrète pour le déchiffrement. C'est ce qu'on appelle le transformer en "essuie-glace".
- L'attaque NotPetya a commencé par une attaque de la chaîne d'approvisionnement lorsqu'un cabinet comptable ukrainien a été victime d'une intrusion et que le logiciel malveillant a été inclus dans une mise à jour malveillante.
- Atlassian: En novembre 2020, Recherche aux points de contrôle (CPR) a découvert une série de vulnérabilités qui, une fois combinées, peuvent être exploitées pour prendre le contrôle d'un compte et de diverses applications Atlassian connectées via SSO.
- Ce qui fait de cette vulnérabilité une attaque potentielle de la chaîne d'approvisionnement, c'est qu'une fois que l'attaquant exploite ces failles et prend le contrôle d'un compte, il peut installer des portes dérobées qu'il pourra utiliser à l'avenir.
- Il peut en résulter de graves dommages qui ne seront détectés et contrôlés qu'après coup.
- Recherche aux points de contrôle a divulgué de manière responsable cette information aux équipes d'Atlassian qui et une solution a été déployée pour que ses utilisateurs puissent continuer à partager des informations sur les différentes plateformes en toute sécurité.
- British Airways : En 2018, British Airways a subi une attaque Magecart qui a compromis plus de 380 000 transactions sur le site web de la compagnie aérienne. L'attaque a été rendue possible par une attaque de la chaîne d'approvisionnement qui a compromis l'un des fournisseurs de la compagnie aérienne et s'est propagée à British Airways, Ticketmaster et d'autres entreprises.
Comment fonctionne une attaque de la chaîne d'approvisionnement
Une attaque contre la chaîne d'approvisionnement tire parti des relations de confiance entre les différentes organisations. Toutes les organisations ont un niveau de confiance implicite dans les autres entreprises puisqu'elles installent et utilisent le logiciel de l'entreprise au sein de leur réseau ou travaillent avec elle en tant que fournisseur.
Une attaque contre la chaîne d'approvisionnement vise le maillon le plus faible d'une chaîne de confiance. Si une organisation dispose d'une cybersécurité solide mais d'un fournisseur de confiance non sécurisé, les attaquants cibleront ce fournisseur. En prenant pied dans le réseau du fournisseur, les attaquants pourraient alors pivoter vers le réseau plus sûr en utilisant cette relation de confiance.
Les fournisseurs de services gérés (MSP) sont un type courant d'attaques contre la chaîne d'approvisionnement. Les MSP disposent d'un accès approfondi au réseau de leurs clients, ce qui est inestimable pour un pirate. Après avoir exploité le MSP (Fournisseurs de services gérés), l'attaquant peut facilement s'étendre au réseau de ses clients. En exploitant la vulnérabilité de la chaîne d'approvisionnement, ces attaquants ont un impact plus important et peuvent avoir accès à un réseau qu'il serait beaucoup plus difficile d'attaquer directement. C'est ainsi que les attaquants de Kaseya ont réussi à infecter tant d'organisations avec le logiciel rançonneur.
D'autres attaques contre la chaîne d'approvisionnement utilisent des logiciels pour livrer des logiciels malveillants aux clients d'une organisation. Par exemple, les attaquants de SolarWinds ont accédé aux serveurs de construction de l'entreprise et ont injecté une porte dérobée dans les mises à jour du produit de surveillance de réseau SolarWinds Orion. Lorsque ce code de mise à jour a été transmis aux clients, les attaquants ont également eu accès à leur réseau.
L'impact des attaques sur la chaîne d'approvisionnement
Les attaques contre la chaîne d'approvisionnement offrent simplement à un attaquant une autre méthode pour percer les défenses d'une organisation. Ils peuvent être utilisés pour effectuer n'importe quel type d'attaque cybernétique, comme par exemple :
- Violation de données : Les attaques de la chaîne d'approvisionnement sont couramment utilisées pour réaliser des violations de données. Par exemple, le piratage de SolarWinds a exposé les données sensibles de plusieurs organisations des secteurs public et privé.
- logiciel malveillant Infections : Les cybercriminels exploitent souvent la vulnérabilité de la chaîne d'approvisionnement pour transmettre des logiciels malveillants à une organisation cible. SolarWinds comprenait la livraison d'une porte dérobée malveillante, et l'attaque de Kaseya a donné lieu à un logiciel rançonneur conçu pour les exploiter.
Meilleures pratiques pour l'identification et l'atténuation des attaques contre la chaîne d'approvisionnement
Les attaques contre la chaîne d'approvisionnement tirent parti des relations de confiance non sécurisées entre une entreprise et d'autres organisations. Voici quelques moyens d'atténuer les risques de ces attaques :
- Mettez en œuvre le principe du moindre privilège : De nombreuses organisations attribuent des accès et des autorisations excessifs à leurs employés, partenaires et logiciels. Ces autorisations excessives facilitent les attaques contre la chaîne d'approvisionnement. Mettez en œuvre le principe du moindre privilège et n'accordez à toutes les personnes et à tous les logiciels que les autorisations dont ils ont besoin pour faire leur travail.
- Segmentation du réseau : Les logiciels tiers et les organisations partenaires n'ont pas besoin d'un accès illimité à tous les coins du réseau. Utilisez la segmentation du réseau pour diviser le réseau en zones basées sur les fonctions de l'entreprise. Ainsi, si une attaque de la chaîne d'approvisionnement compromet une partie du réseau, le reste du réseau reste protégé.
- Suivez les pratiques DevSecOps : En intégrant la sécurité dans le cycle de développement, il est possible de détecter si un logiciel, comme les mises à jour d'Orion, a été modifié de manière malveillante.
- Prévention automatisée des menaces et chasse aux menaces : Les analystes des centres d'opérations de sécurité (SOC) doivent se protéger contre les attaques dans tous les environnements de l'organisation, y compris le poste, le réseau, le nuage et le mobile.
Protéger la chaîne d'approvisionnement contre les attaques avec Point de contrôle
Les attaquants de la chaîne d'approvisionnement profitent d'un manque de surveillance dans l'environnement d'une organisation. Point de contrôle Harmony Endpoint aide une organisation à se protéger contre ces menaces en surveillant application pour détecter tout comportement suspect pouvant indiquer une compromission.
Pour en savoir plus sur les types d'attaques contre lesquelles Harmony Endpoint protège, consultez le rapport 2021 de Point de contrôle sur la cybersécurité. Ensuite, faites un bilan de sécurité pour connaître les problèmes de sécurité dans votre environnement. Vous pouvez également apprendre à combler ces manques de sécurité avec une démo gratuite.