Le rayon d’action des cyberattaques sur une entreprise devrait continuer de croître, étendant un certain nombre de couches profondes dans les chaînes d’approvisionnement logicielles, les devops et les piles technologiques. Les présentations et les déclarations de Black Hat 2022 pour la sécurité des entreprises offrent un regard qui donne à réfléchir sur la façon dont les piles technologiques des entreprises sont menacées par des cyberattaques plus complexes et dévastatrices. Tenu la semaine dernière à Las Vegas et dans sa 25e année consécutive, les antécédents de Black Hat en matière d’analyse d’investigation et de signalement de failles de sécurité massives, d’espaces et de violations sont inégalés en matière de cybersécurité.
Plus la pile technologique est complexe et dépendante de confiance implicite, plus il est susceptible d’être piraté. C’est l’un des nombreux messages que Chris Krebs, l’ancien directeur fondateur de la U.S. Cybersecurity and Infrastructure Security Agency (CISA), a fourni dans un discours liminaire au public lors de la conférence Black Hat 2022 récemment. Krebs a expliqué que les faiblesses commencent souvent par la construction de piles technologiques extrêmement complexes qui produisent plus de surfaces d’attaque que les cybercriminels tentent ensuite d’exploiter.
Krebs a également souligné à quel point la sécurité de la chaîne d’approvisionnement des applications logicielles est vitale, expliquant que les entreprises et les gouvernements mondiaux ne font pas assez pour arrêter une autre attaque à l’échelle de SolarWinds.
« Les entreprises qui fournissent des logiciels sont des cibles d’expédition », a-t-il déclaré au public principal.
Les cybercriminels « comprennent les dépendances et les liens de confiance que nous avons sur nos services logiciels et nos sociétés d’innovation, et ils développent l’échelle à travers la chaîne d’approvisionnement », Krebs inclus.
De plus, l’élimination de la confiance implicite est un enjeu majeur pour minimiser les attaques de la chaîne d’approvisionnement, un point que Krebs a mentionné tout au long de son discours.
Sécurité de l’entreprise : réduire le rayon d’explosion croissant
Les vulnérabilités des installations, des développements et des applications logicielles d’entreprise découvertes par les chercheurs ont rendu les sessions spécifiques à l’entreprise intéressantes. De plus, l’amélioration du gain d’identité l’accès à la gestion (IAM) et l’accès chanceux à la gestion (PAM), l’arrêt des attaques de ransomwares, la réduction des attaques de serveur Azure Active Directory (AD) et SAP HTTP et la sécurisation des chaînes d’approvisionnement des applications logicielles ont dominé les sessions d’entreprise.
Les pipelines de combinaison continue et de livraison constante (CI/CD) sont les surfaces d’attaque les plus dangereuses des chaînes d’approvisionnement logicielles. Malgré les efforts déployés par de nombreuses organisations pour intégrer la cybersécurité au cœur de leurs procédures de développement, les pipelines d’applications logicielles CI/CD sont toujours piratables.
De nombreuses discussions lors de la conférence ont examiné comment les cybercriminels peuvent pirater des logiciels. chaînes d’approvisionnement utilisant l’exécution de code à distance (RCE) et des référentiels de code contaminés. Une session en particulier s’est concentrée sur la façon dont les pirates sophistiqués pourraient utiliser la signature de code pour être équivalent d’un membre du personnel devops.
Un autre a souligné comment les pirates utilisent rapidement les systèmes de gestion du code source (SCM) pour réaliser des mouvements latéraux et une escalade des privilèges dans une entreprise, contaminant les référentiels et accédant aux chaînes d’approvisionnement des applications logicielles à grande échelle.
Les piles technologiques deviennent également une cible plus disponible à mesure que les capacités des cybercriminels augmentent. Une discussion sur la façon dont les comptes d’utilisateurs Azure AD peuvent être détournés et piratés en exploitant des liens d’identité externes pour contourner l’authentification multifacteur (MFA) et l’accès conditionnel aux politiques a révélé simplement comment une entreprise peut perdre le contrôle d’une partie essentielle de sa pile technologique en quelques minutes seulement. .
Une session différente sur le serveur HTTP propriétaire de SAP a décrit comment les cybercriminels pourraient utiliser 2 vulnérabilités de corruption de mémoire trouvées dans le serveur HTTP de SAP en utilisant des méthodes d’exploitation de protocole de haut niveau. CVE-2022-22536 et CVE-2022-22532 proviennent d’un autre emplacement exploitable et pourraient être utilisées par des attaquants non authentifiés pour compromettre toute installation SAP à l’échelle internationale.
Les attaques de logiciels malveillants continuent de se multiplier dans l’entreprise, capables de contourner les piles technologiques qui dépendent de la confiance implicite et désactivent les installations et les réseaux. L’utilisation de l’apprentissage automatique (ML) pour reconnaître d’éventuelles attaques de logiciels malveillants et les prévenir avant qu’elles ne se produisent à l’aide de stratégies de catégorie innovantes est un domaine d’étude intéressant. Classification des logiciels malveillants avec intelligence artificielle améliorée par l’émulation du noyau Windows fournie par Dmitrijs Trizna, ingénieur en applications logicielles de sécurité chez Microsoft, a fourni une architecture ML hybride qui utilise à la fois des méthodes d’analyse de logiciels malveillants statiques et dynamiques.
Au cours d’une interview avant sa session, Trizna a expliqué que « l’IA [système expert] n’est pas magique, ce n’est pas la solution miracle qui résoudra tous vos problèmes (malwares) ou vous changera. C’est un outil dont vous avez besoin pour comprendre comment cela fonctionne et la puissance ci-dessous. Ne le jetez pas totalement ; voyez-le comme un outil. »
Trizna rend le code ML pour les conceptions sur lesquelles il travaille facilement disponible sur GitHub.
Les fournisseurs de cybersécurité doublent l’IA, l’API et la sécurité de la chaîne d’approvisionnement
Plus de 300 fournisseurs de cybersécurité ont exposé à Black Hat 2022, avec de nombreuses annonces de nouveaux articles se concentrant sur la sécurité des API et la manière de protéger les chaînes d’approvisionnement logicielles. De plus, l’annonce par CrowdStrike des tout premiers signes d’attaque basés sur l’IA (IOA ) reflète la rapidité avec laquelle les entreprises de cybersécurité font mûrir leurs méthodes de plate-forme basées sur les avancées de l’IA et du ML.
L’annonce par CrowdStrike des IOA alimentés par l’IA est une première sur le marché
Leurs IOA basés sur l’IA ont été révélés à Black Hat combine le ML natif du cloud et les connaissances humaines, un processus créé par CrowdStrike plus d’une décennie plus tôt. En conséquence, les IOA se sont avérés fiables pour reconnaître et arrêter les violations basées sur les habitudes réelles de l’ennemi, quel que soit le logiciel malveillant ou l’exploit utilisé dans une attaque.
Les IOA alimentés par l’IA dépendent d sur les conceptions ML natives du cloud formées à l’aide des données de télémétrie de CrowdStrike Security Cloud, ainsi que des compétences des équipes de chasse aux menaces de l’entreprise. Les IOA sont examinées à la vitesse de l’appareil en utilisant l’IA et le ML, offrant la précision, la vitesse et l’échelle dont les entreprises ont besoin pour éviter les violations.
« CrowdStrike ouvre la voie en stoppant les attaques les plus avancées grâce à nos indications de capacité d’attaque à la pointe de l’industrie, qui ont changé la façon dont les équipes de sécurité préviennent les dangers en fonction du comportement de l’ennemi, et non des indicateurs facilement modifiables », a déclaré Amol Kulkarni, chef des articles et ingénieur chez CrowdStrike. « Maintenant, nous modifions à nouveau le jeu avec l’ajout d’indications d’attaque alimentées par l’IA, qui permettent aux entreprises d’exploiter la puissance de CrowdStrike Security Cloud pour analyser les habitudes de l’ennemi à la vitesse et à l’échelle de l’appareil afin d’arrêter les violations de la manière la plus efficace. possible. »
Les IOA alimentés par l’IA ont en fait déterminé plus de 20 modèles d’ennemis inédits, que les experts ont vérifiés et appliqués sur la plate-forme Falcon pour une détection et un évitement automatisés.
« L’utilisation de CrowdStrike fait de Cundall l’une des entreprises les plus avancées sur un marché qui entraîne généralement d’autres secteurs dans l’adoption de l’informatique et de la cybersécurité », a déclaré Lou Lwin, CIO chez Cundall, un cabinet de conseil en ingénierie de premier plan. « Aujourd’hui, les attaques finissent par être plus avancées, et s’il s’agit d’attaques basées sur des machines, il n’y a aucun moyen pour un opérateur de suivre le rythme. Le paysage des risques est en constante évolution. Vous avez besoin de défenses basées sur des machines et d’un partenaire qui comprend la sécurité n’est pas ‘un et fait.’ Ça progresse tout le temps. »
CrowdStrike a montré des cas d’utilisation d’IOA alimentés par l’IA, y compris des détections de charge utile post-exploitation et des IOA PowerShell utilisant l’IA pour déterminer les habitudes et le code nuisibles.
Les IOA générées par l’IA renforcent les défenses existantes en utilisant le ML basé sur le cloud et les renseignements sur les dangers en temps réel pour analyser les événements au moment de l’exécution et résoudre dynamiquement les IOA vers le capteur. Le capteur associe ensuite les IOA (informations d’occasion comportementales) générées par l’IA aux événements locaux et aux données de fichier pour évaluer la malveillance. CrowdStrike déclare que les IOA alimentés par l’IA fonctionnent de manière asynchrone avec les couches existantes de défense des capteurs, y compris le ML et les IOA basés sur les capteurs.
Pour de nombreuses entreprises, la sécurité des API est une faiblesse stratégique
Les fournisseurs de cybersécurité voient l’opportunité d’aider les entreprises à résoudre cette difficulté, et un certain nombre de nouveaux services ont été révélés chez Black Hat. Les fournisseurs présentant de toutes nouvelles solutions de sécurité API incluent Canonic Security, Checkmarx, Contrast Security, Cybersixgill, Traceable et Veracode. Parmi ces toutes nouvelles déclarations d’articles, il convient de noter la sécurité API de Checkmarx, qui fait partie de leur plate-forme bien connue Checkmarx One. Checkmarx est connu pour son expertise dans la sécurisation des workflows de processus CI/CD
API Security peut déterminer les API zombies et inconnues, effectuer la découverte et l’inventaire automatiques des API et effectuer la suppression centrée sur les API. En outre, Traceable AI a annoncé un certain nombre d’améliorations de sa plate-forme, notamment l’identification et l’arrêt des bots d’API nuisibles, la détermination et le suivi des abus, des fraudes et des abus d’API, et l’anticipation des attaques potentielles d’API tout au long des chaînes d’approvisionnement de logiciels.
Arrêter attaques de la chaîne d’approvisionnement avant qu’elles ne commencent
Sur les plus de 300 fournisseurs de Black Hat, la plupart avec CI/CD, devops ou services de confiance zéro ont promu des solutions potentielles pour arrêter les attaques de la chaîne d’approvisionnement. C’était le thème fournisseur le plus médiatisé chez Black Hat. Les dangers de la chaîne d’approvisionnement des applications logicielles sont devenus si graves que le National Institute of Standards and Technology (NIST) met à jour ses exigences, consistant en NIST SP 1800-34, en se concentrant sur les systèmes et les pièces faisant partie intégrante de la sécurité de la chaîne d’approvisionnement.
Cycode, un professionnel de la sécurité de la chaîne d’approvisionnement, a révélé qu’il avait ajouté des capacités de test de sécurité des applications (SAST) et de numérisation de conteneurs à sa plate-forme, en plus d’introduire l’analyse de composition logicielle (SCA).
Veracode, connu pour ses connaissances dans les services de contrôle de sécurité, a introduit de toutes nouvelles améliorations à sa plate-forme de sécurité logicielle continue, y compris l’API des coûts logiciels des produits (SBOM), la prise en charge de l’analyse de la composition des applications logicielles (SCA), et la prise en charge de nouvelles structures composées de PHP Symfony, Rails 7.0 et Ruby 3.x.
La structure de schéma de cybersécurité ouverte (OCSF) répond à une exigence de sécurité commerciale La plainte la plus courante des RSSI concernant la détection et la réaction des terminaux (EDR), la gestion des terminaux et les plates-formes de surveillance de la sécurité est que il n’y a pas de norme typique pour autoriser les alertes sur toutes les plates-formes. Dix-huit principaux fournisseurs de sécurité ont en fait travaillé ensemble pour gérer la difficulté, en développant le projet Open Cybersecurity Schema Structure (OCSF). Le travail consiste en une spécification ouverte qui permet la normalisation de la télémétrie de sécurité sur une large gamme de services et de produits de sécurité. Des outils open source sont également proposés pour prendre en charge et accélérer l’adoption du schéma OCSF.
Les principaux fournisseurs de sécurité AWS et Splunk sont les cofondateurs de la tâche OCSF, avec le soutien de CrowdStrike, Palo Alto Networks, IBM Security et d’autres. L’objectif est de développer en permanence de nouveaux produits ou services qui prennent en charge les spécifications OCSF, permettant la normalisation des signaux des outils de cybersurveillance, des enregistreurs de réseau et d’autres applications logicielles, afin de rationaliser et d’accélérer l’analyse de ces informations.
« Chez CrowdStrike, notre mission est de stopper les violations et d’augmenter la productivité des organisations », a déclaré Michael Sentonas, directeur de la technologie chez CrowdStrike. « Notre entreprise croit fermement au principe d’un schéma de données partagé, qui permet aux entreprises de comprendre et d’absorber toutes les informations, de simplifier leurs opérations de sécurité et de réduire les menaces. En tant que membre de l’OCSF, CrowdStrike se consacre à faire l’effort de fournir des services dont les entreprises ont besoin pour garder une longueur d’avance sur leurs ennemis. »
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies d’entreprise transformatrices et de négocier . En savoir plus sur l’adhésion.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
