Alors que le monde de la technologie évalue les choices de sécurité de la chaîne d’approvisionnement des logiciels, une demande urgente

Sécuriser la chaîne d’approvisionnement des logiciels revient à mieux manger, à faire de l’exercice régulièrement et à se reposer davantage. Tout le monde sait que c’est la bonne chose à faire, mais l’exécution laisse souvent beaucoup à désirer.

Plusieurs leaders de l’industrie se sont manifestés ces dernières semaines pour ajouter une note d’urgence au problème de la chaîne d’approvisionnement des logiciels. Cela comprend des dirigeants du secteur privé, du milieu universitaire, des fondations technologiques et du gouvernement. Ses commentaires, capturés dans un examen des sources d’information et des conversations de première main avec SiliconANGLE Media, font écho à un thème commun : il est temps de prendre cette menace au sérieux et d’agir.

« Pensez-vous vraiment à quel est mon maillon faible, quelle est ma vulnérabilité ? Manoj Nair, directeur général de Metallic, une entreprise de Commvault, a déclaré lors d’une interview avec SiliconANGLE. “Cette vulnérabilité est maintenant votre chaîne d’approvisionnement logicielle.”

Les signes avant-coureurs sont difficiles à manquer. L’attaque SolarWinds, qui a planté du code malveillant dans des logiciels utilisés par des organisations des secteurs public et privé du monde entier, a démontré les problèmes qui peuvent survenir en cas de rupture de la chaîne d’approvisionnement. Plus récemment, la vulnérabilité Apache Log4j signalée à la fin de l’année dernière a révélé des failles exploitables dans la bibliothèque de journaux Java, et un nombre important d’applications et de serveurs manquent toujours de correctifs de sécurité.

La difficulté à sécuriser le pipeline de logiciels peut être constatée dans les résultats d’une récente enquête sur l’industrie. Entreprise de cybersécurité Trellix Inc. a rapporté en avril que 74 % des répondants américains du secteur de la santé n’avaient pas entièrement mis en œuvre les politiques de gestion des risques de la chaîne d’approvisionnement des logiciels. Plusieurs leaders de l’industrie se sont manifestés ces dernières semaines pour ajouter une note d’urgence à la question.

« Il est temps de prendre ces menaces au sérieux », a écrit Richard Tracy, un vétéran de la cybersécurité de 35 ans et directeur de la sécurité chez Telos Corp., dans un commentaire sur la sécurisation de la chaîne d’approvisionnement des logiciels. « Nous savons ce que nous devons faire et comment le faire. Il est temps de commencer.

Le gouvernement avance vers SBOM

Les idées ne manquent pas pour gérer la sécurité de la chaîne d’approvisionnement des logiciels. Des leaders d’opinion des secteurs public et privé ont élaboré des propositions qui fournissent un cadre utile pour la protection.

L’un des outils clés est la nomenclature logicielle, ou SBOM, et l’un des plus grands défenseurs de la SBOM au sein du gouvernement fédéral est Allan Friedman, consultant principal et stratège à l’Agence pour la cybersécurité et l’infrastructure. SBOM fournit une notice contenant les différents composants utilisés dans la création du logiciel.

Il y a un an, la Maison Blanche a publié un décret appelant à une utilisation plus large des SBOM. Le Bureau de la gestion et du budget a souligné le décret exécutif en mars lorsqu’il a pressé les agences fédérales d’adopter un cadre de développement de logiciels sécurisés, y compris les SBOM.

Friedman, qui a rejoint CISA l’année dernière après avoir aidé à définir le SBOM pendant son mandat au département américain du Commerce, a parlé franchement de la nécessité pour les agences gouvernementales de mettre rapidement en œuvre des pratiques de sécurité de la chaîne d’approvisionnement logicielle.

“Il est essentiel que le gouvernement fédéral s’oriente vers l’utilisation fréquente d’un SBOM pour suivre ces composants”, a déclaré Friedman lors d’une apparition lors d’un événement virtuel en avril. “Sans transparence, il sera très difficile de résoudre les problèmes de sécurité.”

La CISA n’est pas la seule agence fédérale cherchant à mettre en œuvre des SBOM. La Food and Drug Administration soutient l’initiative de nomenclature logicielle du Département du commerce depuis 2018, dirigée par Suzanne Schwartz, directrice du Bureau des partenariats stratégiques et de l’innovation technologique au Center for Devices and Radiological Health de la FDA.

Début avril, la FDA a publié un projet de directives sur la cybersécurité avec une approche du cycle de vie total du produit pour les fabricants de dispositifs médicaux. Schwartz a déclaré qu’il était essentiel pour les fabricants d’appareils de fournir un inventaire partagé des composants tiers et a clairement indiqué que les dernières directives obligeront les fournisseurs d’équipements médicaux à aborder la sécurité de la chaîne d’approvisionnement des logiciels.

« Là où on a du mordant ici, en fait, les constructeurs reconnaissent que [following this guidance] sera probablement le meilleur moyen de mettre un produit sur le marché », a déclaré Schwartz dans une récente interview. « Ne pas suivre les conseils est susceptible de créer de plus grandes complexités ou des difficultés potentielles lorsque vous abordez les problèmes qui se poseront. Cela signifie potentiellement des retards.

Menaces d’apprentissage automatique

Les récentes violations et l’accélération du rythme des activités de menace au niveau du gouvernement fédéral ont amené un examen minutieux du problème de la chaîne d’approvisionnement, contre lequel les experts universitaires en sécurité ont mis en garde depuis un certain temps. Lors du Platform Security Summit en 2019, Mark Sherman, directeur technique du groupe Cyber ​​​​Security Foundations de la division CERT du Carnegie Mellon University Software Engineering Institute, a fait une longue présentation sur les risques croissants dans la chaîne d’approvisionnement logicielle.

Sherman a fait part de ses inquiétudes concernant l’exposition inhérente aux logiciels open source et a approuvé les initiatives visant à ajouter des SBOM et d’autres outils critiques au processus. L’année dernière, l’universitaire Carnegie Mellon a averti que la chaîne d’approvisionnement de l’apprentissage automatique pourrait être compromise par de mauvaises données de formation. Leurs préoccupations tournent spécifiquement autour des avancées croissantes de la technologie pour les fausses vidéos profondes et de la capacité des acteurs malveillants à coopter des applications et des ensembles de formation à des fins néfastes.

“Il n’y a pas encore beaucoup de dégâts, mais vous pouvez imaginer comment cette technologie pourrait être utilisée pour d’autres types d’attaques à mesure que la technologie mûrit”, a déclaré Sherman lors d’une présentation au sommet Ai4 Cybersecurity 2021.

En plus des recherches de Sherman, des représentants de plusieurs établissements d’enseignement ont développé une solution intrigante de suivi de la chaîne d’approvisionnement sous les auspices de la Cloud Native Computing Foundation. En mars, la CNCF a annoncé qu’elle accepterait le projet in-toto en tant qu’initiative d’incubation. In-toto, dérivé de l’expression latine signifiant “tout ou tout”, est un cadre permettant de garantir cryptographiquement l’intégrité de la chaîne d’approvisionnement logicielle.

Parmi le groupe d’universitaires derrière in-toto figurent Justin Cappos, professeur au Département d’informatique et d’ingénierie de l’Université de New York, et Santiago Torres-Arias, professeur adjoint d’ingénierie électrique et informatique à l’Université Purdue. Cappos, qui a été nommé par Popular Science comme l’un des scientifiques “Bright Ten” de moins de 40 ans, pense que l’in-toto aurait considérablement minimisé les dommages causés par la rupture de la chaîne d’approvisionnement de SolarWinds.

« Nous aurions rendu la tâche beaucoup plus difficile pour les [SolarWinds] attaquants et aurait probablement arrêté l’attaque », a déclaré Cappos dans une interview en 2021. « In-toto peut certainement protéger contre cela. Il est très possible de l’attraper.

In-toto est un effort conjoint pour aller à la racine de la sécurité de la chaîne d’approvisionnement afin de créer une meilleure compréhension de l’origine de tout logiciel. Cette approche a déjà été mise en œuvre pour le marché américain des produits. La FDA utilise les empreintes digitales ADN pour dépister la romaine d’origine agricole pour les épidémies d’E. coli. Pourquoi cela ne peut-il pas être fait aussi pour les logiciels ?

“Sécuriser la chaîne d’approvisionnement des logiciels est un défi intéressant, principalement parce que nous ne comprenons toujours pas parfaitement comment les choses sont faites”, a déclaré Torres-Arias lors d’un podcast Google Kubernetes. « La limitation fondamentale de la façon dont nous créons des logiciels est que nous n’avons pas de moyens efficaces de communiquer des informations fiables ou de faire des hypothèses fiables sur les choses que nous consommons. Tout est dans le domaine de l’éthéré.

nouvelles approches

Le passage de l’éthéré au tangible nécessitera de nouveaux outils et techniques pour offrir une sécurité et une protection accrues aux logiciels d’entreprise. Deux solutions supplémentaires dans ce domaine impliquent des versions reproductibles vérifiées et un bureau de programme open source, ou OSPO.

David Wheeler, directeur de la sécurité de la chaîne d’approvisionnement open source à la Linux Foundation, a été un défenseur des versions reproductibles vérifiées. Le logiciel propriétaire Orion de SolarWinds est devenu une menace lorsque son système de construction a été renversé. Le but des versions vérifiées est de lutter contre ce type d’attaque.

“L’idée ici est que si vous pouvez reconstruire à partir du même code source, à partir des mêmes outils, etc., et produire exactement le même package exécutable résultant avec plusieurs efforts indépendants différents, il est beaucoup moins probable que tous ces processus de compilation auront été renversé », a déclaré Wheeler dans une présentation InfoQ Live en février. “Il y a eu beaucoup de progrès pour en faire une réalité.”

OSPO est conçu pour superviser la manière dont une entreprise crée ou contribue à des logiciels libres. En organisant un bureau d’experts open source au sein d’une organisation, le groupe peut établir une visibilité et gérer l’utilisation d’outils open source, limitant ainsi l’exposition à la sécurité.

Dans le dernier développement, Red Hat Inc. visualisé une norme de sécurité de la chaîne d’approvisionnement logicielle pour créer et valider des configurations logicielles dans des piles complètes sous forme de code. L’annonce a été faite lors de l’événement Summit de la société à la mi-mai et sera gérée par Kubernetes via OpenShift Pipelines et GitOps. Red Hat a également annoncé une fonctionnalité de technologie d’abonnement au contenu dans le cadre des mises à jour d’Ansible Automation Platform.

“L’automatisation est essentielle car tout évolue à un rythme si rapide”, a déclaré Kirsten Newcomer, directrice de la stratégie cloud et DevOps chez Red Hat, lors d’une conférence de presse au Red Hat Summit. “Vous devez réfléchir à la manière dont vous pouvez automatiser la chaîne d’approvisionnement.”

Une autre violation importante de la chaîne d’approvisionnement des logiciels pourrait-elle se reproduire ? Les leaders d’opinion dans le domaine de la cybersécurité indiquent clairement que le danger est toujours présent. Les dommages futurs des piratages de la chaîne d’approvisionnement dépendront de la manière dont chaque organisation cherche à comprendre quels outils logiciels sont utilisés et d’où ils viennent. Cela nécessitera un processus d’évaluation et, en fin de compte, l’adoption de bon nombre des outils de protection envisagés aujourd’hui.

“Le logiciel est attaqué par des vulnérabilités dans le logiciel lors de son déploiement et également dans la chaîne d’approvisionnement – cette chaîne des doigts et de la tête du développeur, quelque part dans la mesure où elle est déployée”, a déclaré Wheeler dans sa présentation de février. . “Si vous vous souciez de la sécurité, vous évaluez le logiciel pour décider s’il répond à vos besoins.”

Image : Getty Images

Montrez votre soutien à notre mission en rejoignant notre Cube Club et notre communauté d’experts Cube Event. Rejoignez la communauté qui comprend Amazon Web Services et le PDG d’Amazon.com Andy Jassy, ​​le fondateur et PDG de Dell Technologies Michael Dell, le PDG d’Intel Pat Gelsinger et de nombreux autres sommités et experts.

Leave a Comment