Se cacher à la vue de tous : pourquoi l'attaque de SolarWinds a révélé bien plus qu'un cyberrisque malveillant
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage jamais enregistré pour le gouvernement américain.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
