Ce que le piratage de SolarWinds nous dit sur l'IoT et la sécurité de la chaîne d'approvisionnement

Quel que soit le secteur, les violations de la cybersécurité semblent augmenter en taille et en ampleur.

La vaste campagne de piratage lancée par la Russie il y a trois mois, qui a touché jusqu'à 18 000 clients du fabricant de logiciels texan SolarWinds Corp., est un exemple flagrant de la portée d'une attaque potentielle contre la chaîne d'approvisionnement.

Le terme « risque de la chaîne d'approvisionnement » est un grand parapluie qui couvre de nombreuses menaces et vulnérabilités de sécurité. Dans le cas de SolarWinds, les acteurs de la menace, qui travailleraient pour le compte d'un gouvernement étranger, ont transmis les mises à jour logicielles à un outil populaire SolarWinds Orion. L'attaque a laissé des points d'accès dérobés potentiels à des centaines d'entreprises et à neuf agences fédérales. Et ce n'est que ce que nous savons :nous découvrirons probablement les effets de cette violation dans les années à venir.

D'autres risques liés à la chaîne d'approvisionnement peuvent se manifester par des failles de sécurité intégrées aux appareils électroniques. Les fabricants de smartphones, d'imprimantes, de routeurs, d'appareils Internet des objets et de systèmes d'infrastructure critiques achètent des composants auprès de tiers. Ces composants sont livrés avec un micrologiciel intégré pouvant présenter des failles de sécurité existantes. De plus, certains de ces micrologiciels n'ont pas été écrits par le fabricant, mais proviennent de code open source maintenu par des bénévoles de l'IT. communauté.

Voici ce que l'industrie de la chaîne d'approvisionnement au sens large doit savoir sur les cyberattaques.

Logiciel voilé

Il y a un mouvement croissant d'acheteurs qui exigent des listes complètes des logiciels d'un appareil - mais pour l'instant, il est rare que les fabricants les fournissent. Cette liste, connue sous le nom de nomenclature logicielle (SBOM) est la clé de la sécurité de la chaîne d'approvisionnement, mais il est important de noter qu'il ne s'agit pas d'une panacée. Par exemple, un SBOM n'aurait pas détecté la porte dérobée de SolarWinds. Ce qu'il fallait, c'était qu'un membre de l'équipe de sécurité analyse lui-même les fichiers logiciels finaux, avant qu'ils ne soient mis à la disposition des clients.

Une banquette arrière

Les développeurs de logiciels et les fabricants d'appareils sont passés à des processus de développement rapides. Côté logiciel, ce framework de développement agile pousse des mises à jour nombreuses et rapides, parfois pour ajouter de nouvelles fonctionnalités, parfois pour corriger des failles de sécurité. Il y a une poussée similaire du côté des appareils de l'équation - et cela est particulièrement vrai pour les appareils IoT vendus en vrac en tant que produits de base.

Dans les deux cas, la sécurité finit souvent par passer au second plan. Il appartient à la direction d'une organisation de reconnaître le risque de ne pas donner la priorité à la sécurité, et il appartient aux équipes de développement d'être proactives pour atténuer ces risques avant qu'ils ne puissent être exploités. La réalité est que les attaquants sont bien en avance sur l'industrie. Cela a mis les organisations dans une posture réactive et a donné lieu à de nombreuses réglementations et normes. Il est plus important que jamais pour les entreprises, fabricants et acheteurs, d'adopter une approche proactive.

Potentiel d'accès

Les chaînes d'approvisionnement mondiales sont devenues des cibles particulièrement attrayantes en raison de leurs systèmes largement connectés et souvent mal sécurisés. Il est courant de dupliquer un logiciel sur plusieurs appareils, ce qui signifie que si un pirate découvre une vulnérabilité dans une caméra de sonnette, il peut également être possible d'exploiter une autre marque de sonnette, une télévision intelligente, un réfrigérateur connecté ou un thermostat domestique.

Pour les pirates, une vulnérabilité qui affecte un seul appareil est insignifiante, car il est difficile de monétiser ce type de piratage, mais les vulnérabilités omniprésentes de la chaîne d'approvisionnement peuvent être beaucoup plus précieuses. Pour les responsables de la chaîne d'approvisionnement, il est important de penser à tous les appareils de votre entreprise qui pourraient permettre des pivots vers d'autres systèmes.

La violation de SolarWinds a été un signal d'alarme pour beaucoup au sein de la communauté de la cybersécurité et en dehors de celle-ci. Pour d'autres, c'était une confirmation de ce que nous savions déjà et de ce que nous avons travaillé si dur pour empêcher.

Le point le plus important à retenir de cette attaque est que nous devons réévaluer la confiance que nous accordons aux fournisseurs, aux logiciels et aux appareils. Quel que soit l'endroit où vous vous situez dans la chaîne d'approvisionnement, qu'il s'agisse d'une entreprise utilisatrice de logiciels, d'un OEM ou d'un fournisseur de logiciels, vous accordez probablement une confiance incroyable à vos fournisseurs et à leurs produits. Nous devons repenser la façon dont nous évaluons ces relations de confiance et, plus important encore, nous devons comprendre comment nous pouvons vérifier la sécurité de ces logiciels, micrologiciels et matériels tout au long du cycle de vie.

Matt Wyckhouse est le fondateur et PDG de Finite State.