Se défendre contre les récentes attaques contre la chaîne d'approvisionnement de logiciels : leçons et stratégies

Tous Les Articles

Ces dernières années, les attaques contre la chaîne d'approvisionnement de logiciels sont devenues une menace importante pour la cybersécurité, ciblant les réseaux complexes de relations entre les organisations et leurs fournisseurs. Cet article se penche sur les attaques récentes les plus importantes contre la chaîne d'approvisionnement, examine comment elles se sont produites et discute des stratégies de prévention et d'atténuation. Des violations compromettant les données sensibles aux attaques exploitant les vulnérabilités des logiciels, il est essentiel de comprendre ces incidents pour renforcer les défenses. Nous explorons également comment les solutions complètes de Scribe Security peuvent répondre à ces menaces, garantissant ainsi une protection robuste aux organisations.

Attaques récentes contre la chaîne d'approvisionnement de logiciels

Attaque SiSense (avril 2024)
Des pirates ont piraté SiSense, une société de veille économique, en compromettant son référentiel GitLab, qui contenait les identifiants de leur compte Amazon S3. Cela a permis un accès non autorisé et une fuite potentielle de données. La CISA est intervenue et SiSense a dû collaborer avec des experts du secteur pour atténuer l'impact de la violation.

Attaque de la chaîne d'approvisionnement d'Okta (octobre 2023)
Les acteurs malveillants ont eu accès au système de gestion du support client d'Okta en obtenant des identifiants, ce qui leur a permis de consulter les fichiers sensibles des dossiers d'assistance récents. La violation a été notifiée tardivement à des clients comme BeyondTrust, soulignant le risque de réponse tardive dans les vulnérabilités de la chaîne d'approvisionnement.

Vulnérabilité de JetBrains TeamCity (septembre/octobre 2023)
En exploitant une vulnérabilité critique de contournement d'authentification dans JetBrains TeamCity, des acteurs malveillants russes (Cozy Bear) ont pris le contrôle administratif des serveurs affectés. Cette faille leur a permis d'exécuter du code à distance et de compromettre potentiellement les chaînes d'approvisionnement des organisations utilisant TeamCity.

Attaque 3CX (mars 2023)
Les attaquants ont inséré un fichier de bibliothèque malveillant dans les applications de bureau 3CX pour Windows et macOS, qui a téléchargé une charge utile chiffrée pour les opérations de commande et de contrôle. La faille, attribuée au groupe nord-coréen Lazarus, a mis en évidence les risques dans les environnements de développement de logiciels, car les applications malveillantes étaient signées avec des certificats 3CX valides.

Violation de contrat de partenariat avec Applied Materials (février 2023)
Une attaque par ransomware contre un important fournisseur (supposé être MKS Instruments) d'Applied Materials a perturbé les expéditions de semi-conducteurs, coûtant à l'entreprise environ 250 millions de dollars. La violation a eu un impact sur les divisions Vacuum Solutions et Photonics Solutions du fournisseur, retardant le traitement et l'expédition des commandes.

Campagne MOVEit (juin 2023)
Le logiciel de transfert de fichiers MOVEit a été exploité par le groupe de ransomware Cl0p, ciblant plusieurs vulnérabilités pour l'exécution de code à distance. La campagne a touché plus de 342 organisations, dont de grandes entreprises comme Norton et EY, démontrant l'ampleur et le potentiel de dégâts des attaques sur la chaîne d'approvisionnement.

Attaque du framework PyTorch (décembre 2022)
Les pirates ont compromis les packages de build nocturnes du framework d'apprentissage automatique PyTorch, en injectant du code malveillant qui récoltait des données sur les systèmes des utilisateurs. Cette faille a souligné les dangers liés au recours à des référentiels tiers et la nécessité d'une validation rigoureuse des dépendances logicielles.

Attaque d'essuie-glace fantastique (décembre 2022)
Cette attaque a consisté à distribuer une mise à jour malveillante du logiciel Kaseya VSA, qui a effacé des données de systèmes du monde entier. Cette faille a démontré comment les mises à jour logicielles, si elles sont compromises, peuvent servir de vecteur puissant pour des cyberattaques à grande échelle.

Ces exemples d’attaques de la chaîne d’approvisionnement de logiciels illustrent les diverses méthodes et les graves conséquences des attaques de la chaîne d’approvisionnement de logiciels, soulignant le besoin critique de mesures de cybersécurité robustes et d’une surveillance vigilante des composants et services tiers.

Solutions complètes pour prévenir les attaques contre la chaîne d'approvisionnement de logiciels

La plateforme de Scribe Security peut aider à détecter et à prévenir les attaques de la chaîne d'approvisionnement de logiciels, telles que celles répertoriées, grâce à une combinaison de gestion automatisée des SBOM (Software Bill of Materials), d'analyse des vulnérabilités et de surveillance en temps réel des pipelines CI/CD. La plateforme se concentre sur contrôles d'intégrité, suivi de la provenance et validation continue de la sécurité, garantissant que chaque composant logiciel est authentifié et exempt de toute falsification.

Voici comment Scribe Security peut aider à atténuer des scénarios d’attaque spécifiques :

1. Attaque SiSense (avril 2024) – Violation du dépôt GitLab

Dans le cas de l'attaque SiSense, où les attaquants ont obtenu un accès non autorisé à des informations d'identification sensibles stockées dans un référentiel GitLab compromis, la plateforme de Scribe Security traite ces vulnérabilités en surveillant en permanence les référentiels pour détecter les informations d'identification exposées ou les erreurs de configuration. analyses automatisées et surveillance du contrôle d'accèsScribe détecte les erreurs de sécurité potentielles telles que les informations d'identification intégrées, qui peuvent être une cible de choix pour les attaquants.

De plus, la plateforme suit escalade de privilèges et accès non autorisé tentatives, aidant à détecter et à prévenir les violations avant qu'elles ne s'aggravent. En cas de violation, les capacités de réponse de Scribe permettent une détection et une atténuation rapides, réduisant ainsi les dommages potentiels causés par un accès non autorisé à des infrastructures sensibles telles que les comptes Amazon S3.

2. Attaque de la chaîne d'approvisionnement d'Okta (octobre 2023) – Système de support client compromis

Dans l'attaque Okta, où les acteurs de la menace ont exploité les vulnérabilités des systèmes de support client pour accéder aux fichiers clients sensibles, la plateforme de Scribe permet d'empêcher de telles violations grâce à contrôle d'accès basé sur les rôles (RBAC) et signature de code continueEn garantissant que toutes les intégrations tierces (comme les systèmes de support client) sont continuellement contrôlées, surveillées et leur accès est limité, Scribe minimise le risque de compromission des informations d'identification.

La plateforme de Scribe Security permet également journaux d'audit complets et le suivi des activités pour détecter les accès non autorisés ou les activités inhabituelles, garantissant que les organisations peuvent réagir rapidement et informer les parties prenantes sans délai.

3. Vulnérabilité de JetBrains TeamCity (septembre/octobre 2023) – Contournement de l'authentification

Votre Équipe JetBrainsCity Cette vulnérabilité a permis aux attaquants d'obtenir un contrôle administratif sur les serveurs affectés. La plateforme de Scribe Security se concentre sur contrôles d'intégrité et vérification de la provenance, garantissant que l'infrastructure logicielle critique comme les outils CI/CD (par exemple, TeamCity) reste intacte. assurance continue les capacités valident l'intégrité de tous les composants de l'environnement de création de logiciels, empêchant l'introduction de code non autorisé ou malveillant.

En tirant parti authentification et gestion des accès protocoles, Scribe empêche également l'accès non autorisé aux serveurs de développement, garantissant que seul le personnel vérifié peut modifier ou contrôler l'infrastructure critique.

4. Attaque 3CX (mars 2023) – Bibliothèque malveillante dans les applications signées

L'attaque 3CX, qui impliquait des attaquants insérant un fichier de bibliothèque malveillant dans les applications de bureau 3CX, souligne l'importance de intégrité du code. Sécurité de Scribe signature de code continue et Vérifications de provenance garantir que chaque build et chaque package logiciel sont authentifiés, signés et exempts de toute falsification.

Si 3CX avait utilisé de tels outils de validation continue, ils auraient pu détecter que leurs applications signées avaient été compromises pendant le processus de construction. La plateforme empêche également l'utilisation de certificats compromis en surveillant la validité des certificats et en alertant les équipes de toute anomalie dans le processus de signature.

5. Violation de sécurité d'un partenaire d'Applied Materials (février 2023) – Attaque par ransomware contre un fournisseur

Dans le cas d'Applied Materials, où une attaque de ransomware a perturbé la chaîne d'approvisionnement, la plateforme de Scribe garantit la résilience de la chaîne d'approvisionnement grâce à Transparence de la chaîne d'approvisionnement basée sur SBOMEn surveillant en permanence tous les fournisseurs tiers, Scribe permet aux organisations de comprendre quels composants sont à risque et de prendre des mesures proactives pour sécuriser leur chaîne d'approvisionnement.

De plus, Scribe détection de vulnérabilité Les outils identifient les risques potentiels chez les fournisseurs, signalant tout composant logiciel obsolète ou non corrigé susceptible d'introduire des vulnérabilités dans la chaîne d'approvisionnement plus large.

6. Campagne MOVEit (juin 2023) – Logiciel de transfert de fichiers exploité

La campagne de transfert de fichiers MOVEit menée par le groupe de ransomware Cl0p a mis en évidence la manière dont les vulnérabilités des logiciels critiques tels que les outils de transfert de fichiers peuvent avoir des conséquences de grande portée. analyse automatisée des vulnérabilités vérifie en permanence de telles faiblesses dans les logiciels tiers comme MOVEit, permettant aux organisations de corriger les vulnérabilités avant qu'elles ne soient exploitées.

Scribe Security améliore également la sécurité grâce à gestion des dépendances, en veillant à ce que toutes les dépendances logicielles (par exemple, les logiciels de transfert de fichiers) soient à jour et exemptes de vulnérabilités connues.

7. Attaque du framework PyTorch (décembre 2022) – Référentiels tiers compromis

L'attaque du framework PyTorch a montré les risques liés au recours à des référentiels tiers. La plateforme de Scribe Security se concentre sur la garantie de la intégrité et provenance de tous les composants logiciels, qu'ils proviennent de référentiels tiers ou d'environnements de développement internes. En validant la source et la sécurité de chaque composant, Scribe empêche l'injection de code malveillant dans les builds nocturnes ou les frameworks de développement.

De plus, Scribe Suivi SBOM aide à identifier l'origine de chaque composant, garantissant que les organisations peuvent rapidement identifier et atténuer les risques posés par les référentiels compromis.

8. Fantasy Wiper Attack (décembre 2022) – Distribution de mises à jour malveillantes

Votre Attaque d'essuie-glace fantastique, qui impliquait la distribution d'une mise à jour malveillante via le logiciel Kaseya VSA, met en évidence le danger des mises à jour logicielles compromises. surveillance continue des mises à jour logicielles garantit que toute divergence dans les mises à jour est signalée avant leur déploiement sur le réseau. En vérifiant la provenance de chaque mise à jour, Scribe garantit que seules les mises à jour légitimes et sécurisées sont transmises en production.

De plus, Scribe capacités de restauration permettre aux organisations de revenir rapidement à des versions sûres du logiciel en cas de détection d'une mise à jour malveillante, minimisant ainsi les temps d'arrêt et les perturbations.

Conclusion : protéger la chaîne d'approvisionnement en logiciels avec Scribe Security

La plateforme Scribe Security propose une approche multicouche pour sécuriser la chaîne d'approvisionnement en logiciels. gestion continue de la SBOM, analyse des vulnérabilités, surveillance en temps réel et contrôles d'intégrité, la plateforme aide les organisations à détecter et à prévenir les attaques de la chaîne d'approvisionnement telles que celles auxquelles sont confrontées SiSense, Okta, 3CX et d'autres.

En intégrant la sécurité à chaque étape du cycle de développement et en surveillant en permanence la chaîne d'approvisionnement des logiciels, Scribe Security garantit que les organisations peuvent empêcher les acteurs malveillants d'exploiter les vulnérabilités, maintenir la conformité et atténuer les risques associés aux composants tiers.

Ce contenu vous est proposé par Scribe Security, l'un des principaux fournisseurs de solutions de sécurité de bout en bout pour la chaîne d'approvisionnement logicielle, offrant une sécurité de pointe aux artefacts de code ainsi qu'aux processus de développement et de livraison de code tout au long des chaînes d'approvisionnement logicielles. En savoir plus.