Correctifs de sécurité de la chaîne d’approvisionnement logicielle présentés à RSA

Compte tenu des problèmes de cybersécurité importants que SolarWinds, Log4j et d’autres infections de la chaîne d’approvisionnement logicielle ont créés au cours des deux dernières années, il n’est pas surprenant que la sécurité logicielle soit devenue un sujet brûlant lors de la conférence RSA de cette année. Avant l’événement, ReversingLabs a publié une enquête qu’il a commandée à plus de 300 employés expérimentés du logiciel sur les difficultés rencontrées par leurs entreprises pour détecter les attaques de la chaîne d’approvisionnement.

Malgré la récente vague d’incidents de sécurité de la chaîne d’approvisionnement de logiciels très médiatisés, l’étude ReversingLabs a révélé que moins de quatre entreprises sur dix déclarent pouvoir détecter la falsification du code développé. En outre, moins de 10 % des entreprises examinent les logiciels à chaque étape du cycle de vie du produit pour rechercher des preuves de falsification ou de compromis.

L’utilisation de SBOM est rare mais devrait croître rapidement

En ce qui concerne un outil émergent crucial qui peut mieux assurer la sécurité des logiciels, une nomenclature logicielle (SBOM), la recherche de ReversingLabs a révélé que seulement 27 % des professionnels de l’informatique interrogés ont déclaré que leur employeur génère et examine les SBOM avant de publier le logiciel. Parmi les répondants qui ne développent pas de SBOM, 44 % ont cité un manque de connaissances et de personnel requis pour le faire, tandis que 32 % ont cité un manque de budget pour mettre en œuvre les SBOM. Seuls 7 % des répondants des entreprises qui ne produisent pas de SBOM ont déclaré que la raison en était qu’un SBOM n’était pas nécessaire.

L’utilisation rare des SBOM appartient rapidement au passé pour deux raisons principales, a déclaré Allan Friedman, conseiller principal et stratège à la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, aux participants de RSA. Premièrement, en raison d’événements tels que SolarWinds, les organisations commencent à exiger des SBOM pour les logiciels qu’elles utilisent comme mesure de sécurité pour identifier le code problématique.

Deuxièmement, en vertu du décret exécutif sur la cybersécurité du président Biden publié l’année dernière, toute entreprise qui vend des logiciels au gouvernement fédéral sera tenue de fournir un SBOM complet. “Si vous voulez avoir un processus de développement sécurisé, il est très difficile de dire que vous en avez un si vous ne suivez pas votre [software] dépendances”, a déclaré Friedman. “Si vous êtes dans le domaine de l’achat de logiciels ou de la sélection de composants open source, vous devez comprendre les risques de la chaîne d’approvisionnement. Vous devez comprendre les risques de vulnérabilité. Et, bien sûr, pour ce faire, vous devez savoir ce qu’il y a sous le capot. Pour ceux d’entre nous qui exploitent des logiciels, nous devons comprendre ce qui s’y trouve afin de pouvoir réagir rapidement et efficacement lorsqu’un nouveau risque survient.”

Kate Stewart, vice-présidente de Trusted Embedded Systems à la Linux Foundation, a déclaré que malgré le faible taux d’adoption des SBOM en ce moment, environ 78 % des entreprises interrogées par la Fondation ont déclaré qu’elles utiliseraient les SBOM cette année. “Les gens se préparent. Ils se préparent en interne et en externe”, a-t-elle déclaré.

De nouveaux outils SBOM émergent

Friedman pense qu’à mesure que les SBOM augmenteront au cours de la prochaine année, de nombreux nouveaux outils apparaîtront pour faciliter l’adoption des SBOM. “Différentes solutions émergeront”, a-t-il dit. “Donc, tout ce que nous construisons pour soutenir l’écosystème d’outils doit reconnaître que dans un an ou deux, il y aura beaucoup d’outils qui n’existent pas aujourd’hui.”

Un point clé pour Stewart est que quels que soient les outils développés pour faciliter la création et le stockage des données dont les SBOM ont besoin, les éditeurs de logiciels open source ne sont pas oubliés. “Nous devons nous assurer que les solutions que nous mettons en place pour les entreprises fonctionneront bien pour la communauté open source et que nous avons des outils là-bas”, a-t-elle déclaré aux participants à la conférence.

La transparence dans l’écosystème de l’outil SBOM est essentielle

Selon Friedman, la transparence dans l’écosystème d’outils SBOM est essentielle pour favoriser la sécurité et l’innovation. “Le but ici est de créer un cadre de référence commun pour que nous sachions, ‘Hé, on parle de ce genre d’outil, on parle de ce genre d’outil.’ Ces deux outils ont des capacités légèrement différentes.”

Stewart a déclaré que la capacité à trouver les bons outils SBOM est limitée, ce qui représente un défi pour l’année à venir. “Vous pouvez trouver ces outils là-bas aujourd’hui, mais est-ce suffisant ? Est-ce agréable et structuré ? Puis-je aller quelque part et rechercher tout cela ? Non, nous n’avons pas encore cela.”

Un autre défi auquel est confrontée l’adoption de SBOM est l’importance de l’application de SBOM au cloud. “Nous savons que nous allons dans l’environnement cloud, l’environnement SaaS. Nous devons donc comprendre à quoi ressemble SBOM” dans ces environnements, a déclaré Friedman.

SBOM ne fonctionnera pas bien sans une bonne gestion des actifs, qui, bien qu’essentielle à la cybersécurité en général, est un problème chronique pour la plupart des organisations. “SBOM n’est pas très utile si nous n’avons pas une bonne solution de gestion des actifs”, a déclaré Friedman. “J’avais l’habitude de commencer mes discussions SBOM en disant, si vous êtes dans une organisation qui n’a pas un bon historique de gestion d’actifs, veuillez partir maintenant.”

La confiance dans les logiciels est un processus dynamique

L’un des défis des logiciels modernes est que, contrairement au passé, lorsque la confiance était binaire, la confiance est aujourd’hui un processus dynamique, a déclaré Tony Sager, vice-président senior et évangéliste en chef au Center for Internet Security, aux participants de RSA. “Pourquoi avons-nous des chaînes d’approvisionnement compliquées ?”, a-t-il demandé. “La réponse à cela est l’efficacité. Nous essayons de contrôler les coûts. En faisant cela, vous poussez la complexité à un autre niveau. Nous pouvons avoir des fournisseurs partout dans le monde, mais en même temps, nous ne savons pas qui n’importe lequel d’entre eux le sont. Ce n’est pas une condition binaire. La confiance devient une condition dynamique.

Steve Lipner, PDG de SAFEcode, voit trois menaces principales pour la sécurité de la chaîne d’approvisionnement des logiciels. Le premier est un fournisseur malveillant. “Si j’ai quelqu’un dans ma chaîne d’approvisionnement en qui j’ai confiance et qui essaie de me tuer, j’ai de gros problèmes”, a-t-il déclaré. “Il n’y a pas de moyen facile d’éviter cela. Je ne pourrai probablement pas l’atténuer.”

La deuxième menace est un logiciel bogué ou vulnérable, “toutes les choses courantes dont les gens s’inquiètent sous la rubrique de la sécurité logicielle”. Le troisième problème est la modification non autorisée du développement ou de la livraison, ce qui s’est produit dans le cas de SolarWinds.

“Le problème est que le fournisseur malveillant ne traite pas les logiciels bogués, et le traitement des logiciels bogués ne traite pas les modifications non autorisées”, a déclaré Lipner. même ensemble de problèmes.”

Le PDG de SolarWinds propose une solution unique

Le PDG de SolarWinds, Sudhakar Ramakrishna, a proposé une solution unique au problème de sécurité des logiciels lors de la conférence : chaque entreprise de logiciels ou de technologie doit embaucher un employé dédié pour prendre en charge CISA. “La seule façon pour notre industrie de répondre efficacement à l’évolution du paysage des menaces passe par un véritable partenariat entre les secteurs public et privé”, a-t-il déclaré. “Aujourd’hui, nous appelons l’ensemble de l’industrie du logiciel à se joindre à nous dans cet effort et encourageons toutes les sociétés de logiciels ou de technologie aux États-Unis à embaucher un employé à temps plein pour travailler sous la direction et la direction de la CISA afin de soutenir les renseignements et les renseignements sur les menaces. SolarWinds a pris cet engagement et j’espère que d’autres entreprises se joindront à nous dans cette entreprise.”

Copyright © 2022 IDG Communications, Inc.

Leave a Comment