Crédit : Dreamstime
A offert les problèmes de cybersécurité substantiels que SolarWinds, Log4j et d’autres infections de la chaîne d’approvisionnement logicielle développées au cours des 2 dernières années, il n’est pas surprenant que la sécurité des applications logicielles soit devenue un sujet brûlant lors de la conférence RSA de cette année.
Avant l’événement, ReversingLabs a publié une étude qu’il a commandée à plus de 300 travailleurs expérimentés du logiciel sur les batailles auxquelles leurs entreprises sont confrontées pour trouver des attaques de chaîne d’approvisionnement.
Malgré la récente série d’incidents de sécurité majeurs de la chaîne d’approvisionnement en logiciels, l’étude de recherche de ReversingLabs a découvert que moins de 4 entreprises sur dix déclarent qu’elles peut repérer la falsification du code établi. En outre, moins de 10 % des entreprises examinent les applications logicielles à chaque phase du cycle de vie du produit pour vérifier qu’elles ne sont pas altérées ou compromises.
L’utilisation de SBOM est rare, mais devrait croître rapidement
Lorsqu’il s’agit d’un outil émergent vital capable de mieux garantir la sécurité des logiciels, une application logicielle coûte cher en matériel (SBOM ), l’étude de ReversingLabs a révélé que seulement 27 % des experts en informatique interrogés ont déclaré que leur employeur produisait et évaluait des SBOM avant de lancer l’application logicielle.
Parmi les participants qui n’établissent pas de SBOM, 44 % ont mentionné une absence de savoir-faire et de personnel requis pour le faire, tandis que 32 % ont cité un manque de plan de dépenses pour l’exécution de SBOM. Seuls 7 % des participants dans les entreprises qui ne produisent pas de SBOM ont déclaré que le facteur était qu’un SBOM n’était pas nécessaire.
L’utilisation rare des SBOM devient rapidement un lointain souvenir pour deux raisons principales, Allan Friedman , conseiller principal et stratège à la U.S. Cybersecurity and Facilities Security Company (CISA), a informé les participants de la RSA. En raison du fait que dans des cas comme SolarWinds, les entreprises commencent à exiger des SBOM pour le logiciel qu’elles utilisent comme étape de sécurité pour déterminer le code gênant.
Deuxièmement, en vertu du décret exécutif sur la cybersécurité du président Biden fourni l’année dernière, toute entreprise qui vend des logiciels au gouvernement fédéral sera mandatée pour fournir un SBOM total.
» Si vous voulez avoir un processus d’avancement sûr, il est vraiment difficile de dire que vous en avez un si vous ne suivez pas vos dépendances [logicielles] « , a déclaré Friedman. » Si vous continuez à acheter des logiciels ou à choisir des composants open source, vous devez comprendre les menaces de la chaîne d’approvisionnement. Vous devez comprendre les dangers de la vulnérabilité.
» Et, évidemment, pour ce faire, vous avez besoin pour savoir ce qu’il y a sous le capot. Pour les personnes qui exécutent des applications logicielles, nous devons comprendre ce qu’il y a dedans afin que lorsqu’un tout nouveau risque émerge, nous puissions réagir rapidement et efficacement. «
Kate Stewart, vice-présidente, Reputable Embedded Systems à la Linux Foundation, a déclaré que malgré le faible taux d’adoption actuel des SBOM, environ 78 % des entreprises interrogées par la structure ont déclaré qu’elles allaient être en utilisant les SBOM cette année. » Les individus s’équipent. Ils se préparent en interne et en externe « , a-t-elle déclaré.
De nouveaux outils SBOM émergent
Friedman pense qu’à mesure que les SBOM augmentent au cours de l’année à venir, de nombreux de nouveaux outils vont émerger qui faciliteront l’adoption des SBOM.
» Différents services vont émerger « , a-t-il déclaré. » Donc, tout ce que nous construisons pour soutenir la communauté de l’outillage doit reconnaître que dans un an ou 2, il y aura tout un tas d’outils qui n’existent pas aujourd’hui. «
Un point important pour Stewart est que, quels que soient les outils développés pour faciliter la production et la sauvegarde des informations dont les SBOM ont besoin, les fournisseurs de logiciels open source ne sont pas négligés. » Nous exigeons de s’assurer que les solutions que nous mettons en place pour les entreprises vont bien fonctionner pour le voisinage open-source dont nous disposons là-bas », a-t-elle déclaré aux participants à la conférence.
Ouverture dans la communauté des outils SBOM est vital
Selon Friedman, l’ouverture dans l’environnement d’outillage SBOM est importante pour favoriser la sécurité et l’innovation. » Le but ici est de produire un cadre de référence typique afin que nous comprenions, ‘ Hé, nous parlons de ce genre d’outil, nous parlons de ce genre d’outil. Ces deux outils ont des fonctions un peu différentes. «
Stewart a déclaré que la capacité à trouver les outils SBOM idéaux est limitée, ce qui constitue un obstacle pour l’année à venir. » Vous pouvez découvrir ces outils qui existent aujourd’hui, mais est-ce suffisant ? Est-ce agréable et structuré ? Puis-je aller à un seul endroit et tout rechercher ? Non, nous ne l’avons pas encore. «
Un autre obstacle à l’adoption de SBOM est la valeur de l’application de SBOM au cloud. » Nous comprenons que nous nous dirigeons vers l’environnement cloud, l’environnement SaaS. Nous devons comprendre à quoi ressemble SBOM » dans ces environnements, a déclaré Friedman.
SBOM ne fonctionnera pas bien sans une excellente gestion de la propriété, qui, bien qu’essentielle à la cybersécurité dans son ensemble, est un problème persistant pour la majorité des organisations.
« SBOM n’est pas extrêmement pratique si nous n’avons pas une excellente solution de gestion de possession », a déclaré Friedman. « J’avais l’habitude de commencer mes discussions SBOM en disant, si vous restez dans une organisation qui n’a pas une grande histoire de gestion d’actifs, veuillez partir maintenant. «
La confiance dans l’application logicielle est un processus dynamique
L’une des difficultés des logiciels modernes est que, contrairement au passé où la confiance était binaire, aujourd’hui la confiance est une procédure dynamique, a déclaré Tony Sager, vice-président senior et évangéliste en chef, Center for Internet Security, aux participants de RSA.
» Pourquoi avons-nous créé des chaînes d’approvisionnement complexes ? » a-t-il demandé. » La réponse à cela est l’efficacité. Nous essayons de contrôler les coûts. En faisant cela, vous poussez la complexité à un autre niveau. Nous pouvons avoir des fournisseurs partout dans le monde, mais en même temps, nous ne savons pas qui ils sont. Il ne s’agit pas d’une condition binaire. La confiance finit par être une condition dynamique. «
Steve Lipner, directeur exécutif de SAFEcode, voit trois menaces principales pour la sécurité de la chaîne d’approvisionnement des logiciels. La première est un fournisseur nuisible. » Si j’ai quelqu’un dans ma chaîne d’approvisionnement, sur qui je compte et qui essaie de me faire entrer, je reste dans de gros ennuis « , a-t-il déclaré. » Il n’y a pas de méthode facile pour échapper à cela. Je ne vais probablement pas être en mesure de réduire cela. «
Le deuxième danger est un logiciel bogué ou sensible, » toutes les choses habituelles dont les individus s’inquiètent sous la rubrique de la sécurité des applications logicielles. » Le 3e problème est la modification non autorisée du développement ou de la livraison, ce qui s’est produit dans le cas de SolarWinds.
» Le problème est de résoudre le fournisseur malveillant ne résout pas le logiciel bogué, et de résoudre le bogue l’application logicielle ne s’occupe pas d’un ajustement non autorisé », a déclaré Lipner. « C’est en fait un problème en trois parties. Tout le monde dans la chaîne d’approvisionnement a exactement le même ensemble de problèmes. «
Le PDG de SolarWinds utilise un service distinct
Le PDG de SolarWinds, Sudhakar Ramakrishna, a fourni une option spéciale au problème de la sécurité des applications logicielles lors de la conférence : chaque application logicielle ou une entreprise technologique doit travailler avec un employé engagé à soutenir CISA.
» La seule méthode que notre marché aura la capacité de répondre efficacement à l’évolution du paysage des menaces passe par une véritable collaboration entre les secteurs public et privé , » a-t-il déclaré.
» Aujourd’hui, nous appelons l’ensemble de l’industrie du logiciel à se joindre à nous dans cet effort et à motiver chaque entreprise de logiciels ou d’innovation aux États-Unis à engager un employé à temps plein pour travailler sous le l’assistance et la direction du CISA pour soutenir à la fois les renseignements sur les dangers et le partage d’informations. SolarWinds a en fait fait cette dédicace et j’espère que d’autres entreprises se joindront à nous dans cette entreprise. «
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
