Se cacher à la vue de tous : pourquoi l'attaque de SolarWinds a révélé bien plus qu'un cyberrisque malveillant
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage jamais enregistré pour le gouvernement américain.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Une version de cet article a été publiée dans Lecture sombre. Il a été mis à jour et diffusé ici.
S'il y a quelque chose qui peut gâcher Noël dans le secteur de la cybersécurité, c'est bien une violation de données dévastatrice qui est en passe de devenir le plus grand événement de cyberespionnage affectant officiellement le gouvernement américain.
L'attaque de SolarWinds est de grande envergure, les acteurs de la menace ayant initialement piraté le logiciel dès la mi-2019. Ce braquage qui a duré des mois a été découvert en décembre 2020 après avoir été utilisé pour infiltrer une importante entreprise de cybersécurité, FireEye, et le cauchemar s'est dissipé à partir de là. L'ampleur de la violation fait toujours l'objet d'une enquête, mais les principaux domaines d'infiltration incluent les départements d'État américains, la Sécurité intérieure, le Commerce et le Trésor, en plus de l'Institut national de la santé.
Cet incident va avoir des répercussions continues, mais sa sophistication est fascinante. D'un point de vue technique, il s'agit d'une infiltration à plusieurs niveaux impliquant des outils malveillants personnalisés, des portes dérobées et du code masqué, bien au-delà des compétences des scripteurs que nous voyons si souvent exploiter des erreurs les plus évidentes.
Le blanchiment de code à son comble
CrowdStrike a fait encore plus de son travail génial en rétro-ingénierie de l'exploit, et détaillant les résultats à la vue de tous. Il vient d'être découvert que SolarWinds a été victime d'une faille d'infrastructure, qui a permis l'injection de code malveillant dans les mises à jour du système, ce qui a donné naissance à au moins quatre outils malveillants distincts offrant un accès sans précédent aux acteurs de la menace.
La méthode était secrète, permettant une précision stratégique qui semble tout droit sortie d'un roman de Jason Bourne. Cela a permis de gagner du temps pour identifier, planifier et attaquer les victimes extérieures au réseau SolarWinds exactement quand elles le souhaitaient, dans le cadre d'une attaque globale de la chaîne d'approvisionnement. Et tout cela a été réalisé avec un code qui semblait totalement bénin.
Les cyberattaques sont souvent le résultat d'erreurs simples mais coûteuses. Et une fois découvertes, les erreurs sont assez évidentes ; pensez à un réseau mal configuré, à des mots de passe stockés dans texte en clair, ou des logiciels non corrigés vulnérables à des exploits connus. Dans ce cas, le code ne s'est pas démarqué du tout, et pas seulement pour les développeurs et les ingénieurs en sécurité. Une myriade de technologies de sécurité coûteuses et complexes n'ont pas non plus réussi à le détecter.
Les outils de surveillance de la sécurité et de tests d'intrusion sont devenus pratiquement inutiles
Les professionnels de la sécurité ont tendance à être aussi rares que les excréments des chevaux à bascule. Ils sont donc aidés dans leur quête pour sécuriser d'énormes quantités de données, de logiciels et d'infrastructures de l'entreprise grâce à une pile technologique personnalisée en fonction des besoins de sécurité de l'entreprise. Cela prend généralement la forme de composants tels que des pare-feux réseau, des tests d'intrusion automatisés, des outils de surveillance et d'analyse, ces derniers prenant beaucoup de temps dans le processus de développement logiciel. Cet outillage peut rapidement prendre une spirale et devenir difficile à gérer et à exécuter, de nombreuses entreprises utilisant plus de 300 produits et services différents.
SolarWinds disposerait d'une gamme impressionnante d'outils pour détecter et mettre en évidence les bogues de sécurité dans le code, les tentatives d'accès non autorisé au réseau, les compromissions potentielles dans n'importe quelle partie de l'infrastructure, et même détecter les signes d'évasion. Il est sans précédent que ces acteurs de la menace aient pu injecter du code malveillant qui n'a pas été découvert, même par la pile de sécurité la plus avancée.
Le renforcement des infrastructures, en particulier le contrôle d'accès, est un élément fondamental des meilleures pratiques générales en matière de cybersécurité, mais si un attaquant parvient à exploiter discrètement une petite fenêtre d'opportunité, un réseau peut être compromis au même titre qu'une vulnérabilité dans un logiciel autonome.
Cette faille nous rappelle qu'en général, toute entreprise qui s'appuie uniquement sur des outils pour sécuriser son infrastructure réseau et ses logiciels prend un risque énorme. Il ne suffit pas toujours de protéger le code ; tout ce qui le stocke, l'exécute et le compile doit être tout aussi fortifié. L'idéal est de trouver un équilibre entre les outils et les personnes, d'exécuter une stratégie robuste qui évalue en profondeur et réduit la surface d'attaque potentielle.
La sensibilisation à la sécurité entre les équipes permet une meilleure modélisation des menaces
La faille SolarWinds a déjà commencé à avoir un impact significatif sur les opérations de sécurité, en particulier au niveau gouvernemental. Les experts affirment que pourrait remodeler à jamais les pratiques de cybersécurité.
Une infrastructure de plus en plus numérique alimente nos vies, et même si elle peut être vulnérable aux attaques si elle n'est pas gérée méticuleusement, notre stratégie générale est imparfaite. Nous manquons cruellement de personnel en matière d'expertise en matière de sécurité, mais nous ne faisons pas grand-chose pour combler l'écart. La sensibilisation à la sécurité axée sur l'humain est un élément sous-utilisé de la cybersécurité, tout comme le fait de faire de la prévention, plutôt que de la réaction, une priorité.
La sécurité des infrastructures est une entreprise complexe qui comporte de nombreux éléments mobiles, mais, tout comme ils se positionnent dans la création de logiciels, les développeurs peuvent constituer un atout pour réduire les risques structurels s'ils sont correctement formés et sensibilisés à la sécurité.
La modélisation des menaces prend rarement en compte les attaques de la chaîne d'approvisionnement, bien que ce type d'attaque soit mis en avant dès 2012 en tant que risque majeur difficile à prévenir avec les techniques actuelles, et qui laisse de nombreuses entreprises mal préparées. Les développeurs de logiciels peuvent absolument jouer un rôle en matière de prévention, et cela commence par s'assurer qu'ils sont mieux qualifiés et capables d'évaluer l'intégrité de leur code de l'intérieur vers l'extérieur. Ont-ils construit le mécanisme de mise à jour de manière sécurisée ? Le logiciel fonctionne-t-il avec une connectivité inutile susceptible de faciliter la compromission malveillante ?
Lorsque la sécurité est synonyme de qualité logicielle, il est facile de se rendre compte de l'immense valeur qu'un ingénieur soucieux de la sécurité peut apporter.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
