Vulcan : évaluation du risque avec l’analyse du chemin d’attaque

Vulcan : évaluation du risque avec l’analyse du chemin d’attaque

560 420 2SB - Distributeur à valeur ajoutée - Solutions de Cybersécurité
Post Vulcan Cyber 2SB Graphs-1-scaled

Contributor: Yair Divinsky

Dans l’environnement numérique actuel, qui évolue rapidement, la sécurité des “softwares supply chain” est devenue une préoccupation majeure pour les organisations du monde entier.
Avec l’évolution croissante des attaques de la “sofware supply chain”, où les vulnérabilités sont exploitées pour obtenir un accès non autorisé ou encore compromettre l’intégrité du logiciel, il est primordial d’évaluer les risques associés à ces vulnérabilités.

SITUATION CLÉ : D’ici 2025, Gartner prévoit que les risques de cybersécurité joueront un rôle important dans la conduite des transactions avec des tiers et des engagements commerciaux pour 60 % des organisations de la supply chain, selon différents responsables.

Il est essentiel de comprendre les voies ou chemins d’attaque potentielles que peuvent emprunter les acteurs malveillants pour hiérarchiser les efforts d’atténuation des risques et préserver la sécurité et la fiabilité des produits logiciels.
Dans ce post, nous étudierons les subtilités de l’évaluation des risques de vulnérabilité au sein de la softwares supply chain et proposerons une meilleure approche en utilisant l’analyse des voies ou chemins d’attaque.

En reliant les données entre les vulnérabilités, leurs origines dans la supply chain et les voies d’attaque potentielles, les organisations peuvent obtenir des informations précieuses pour renforcer leurs défenses et garantir l’intégrité de leurs produits logiciels tout au long de leur cycle de vie.

Analyse de la “software supply chain”

Scanning the software supply chain

La software supply chain dans le cloud

Voici une description étape par étape de la sofware supply chain dans le cloud et de ses composants, du codage à la construction d’images et à l’exécution de conteneurs, ainsi que des exemples d’outils et de plateformes utilisés à chaque étape :

Étape 1 : Codage et développement : Au début de la “cloud software supply chain”, les développeurs écrivent le code pour créer les applications logicielles.

Scanners de sécurité :

Static Application Security Testing (SAST) tools : Ces outils analysent le code source à la recherche de failles de sécurité et d’erreurs de codage. Exemples : Snyk, WhiteSource, Checkmarx et Fortify.

Étape 2 : Pipelines d’intégration et de livraison continues (CI/CD) : Ils permettent aux équipes DevOps d’automatiser le processus d’intégration des modifications de code, de construction de logiciels, d’exécution de tests et de déploiement dans le cloud.

Scanners de sécurité :

Outils d’analyse de la composition du logiciel (SCA) : Ces outils analysent les dépendances utilisées dans la base de code et identifient les vulnérabilités connues. Parmi les exemples, citons OWASP Dependency-Check, Black Duck et WhiteSource.

Étape 3 : Création d’images et de conteneurs : Dans la chaîne d’approvisionnement des logiciels cloud, les développeurs construisent des images de conteneurs qui encapsulent l’application et ses dépendances.
Les technologies de conteneurisation les plus répandues sont Docker et les plateformes d’orchestration de conteneurs telles que Kubernetes.

Scanners de sécurité :

Analyseurs de sécurité des conteneurs : Ces outils analysent les images de conteneurs à la recherche de vulnérabilités et de problèmes de configuration. Anchore, Clair et Twistlock en sont des exemples.

Étape 4 : Infrastructure as Code (IaC) : Cette étape permet l’approvisionnement et la gestion de l’infrastructure cloud à l’aide d’un code déclaratif.
Des outils comme Terraform et CloudFormation permettent aux développeurs de définir les ressources de l’infrastructure en tant que code.

Scanners de sécurité :

Scanners de sécurité de l’infrastructure : Ces outils évaluent la sécurité des modèles d’infrastructure en tant que code et identifient les erreurs de configuration ou les vulnérabilités potentielles. Les exemples incluent tfsec et Checkov.

Étape 5 : Déploiement et gestion : Une fois l’infrastructure provisionnée, les conteneurs ou les images sont déployés dans l’environnement cloud. Les plateformes d’orchestration de conteneurs telles que Kubernetes gèrent le déploiement, la mise à l’échelle et la surveillance des conteneurs.

Scanners de sécurité :

Surveillance de la sécurité en cours d’exécution : Ces outils surveillent les conteneurs déployés et leur comportement en cours d’exécution pour détecter toute activité malveillante ou tout écart par rapport au comportement normal.
Les exemples incluent Wiz, Orca, Tenable et Aqua Security.

Enfin, les équipes de sécurité jouent un rôle crucial dans l’identification de l’impact des vulnérabilités, la mise en œuvre de mesures de sécurité et la surveillance de tout risque potentiel ou de toute violation.
Les équipes de sécurité travaillent en étroite collaboration avec d’autres acteurs de la chaîne d’approvisionnement en logiciels afin de s’assurer que la sécurité est une priorité absolue à chaque étape.

Scénarios de menace

Ces dernières années, les chaînes d’approvisionnement en logiciels connues, notamment l’attaque du portefeuille BitCoin, CodevCov, SolerWinds et d’autres, ont été discutées dans les moindres détails, mais si nous les généralisions, nous pourrions identifier d’autres scénarios d’attaque potentiels à prendre en considération :

  • Un adversaire compromet un environnement CI/CD en :
    – Injectant une dépendance malveillante ou vulnérable ou en publiant des paquets infectés qui peuvent être générés par des LLM
    – Modifiant les fichiers de configuration CI/CD.
    – Injectant du code dans la configuration de l’IaC
    – Injectant du code dans les codes sources
  • Un adversaire acquiert les informations d’identification d’un développeur pour accéder à un service de référentiel (par exemple, un token personnel volé, une clé SSH, un cookie de navigateur ou un mot de passe de connexion).
  • Un adversaire compromettant une image de conteneur d’application dans un pipeline CI/CD qui conduit à une vulnérabilité qui peut ensuite être exploitée dans l’environnement de production.

La question se pose alors : Comment les différents scanners déployés tout au long de la softwares supply chain peuvent-ils mettre ces scénarios de menace sur notre radar ?

Vulnérabilités encore et toujours …

Une seule vulnérabilité dans un composant peut avoir des répercussions considérables sur la sécurité et la stabilité globales de la chaîne.
Une fois que les scanners mentionnés ci-dessus sont déployés, l’équipe de sécurité est presque certaine de recevoir une liste exhaustive de vulnérabilités.
Chaque scanner classe la criticité des vulnérabilités en utilisant un cadre différent.
Par exemple, un outil DAST peut utiliser le framework des 10 principales vulnérabilités de l’OWASP pour évaluer les risques.

D’autre part, un scanner cloud pourrait utiliser le système de notation des vulnérabilités communes ( Common Vulnerability Scoring System “CVSS”) en tenant compte de facteurs tels que la présence d’un ou de plusieurs CVE, les aspects techniques du CVE, son exploitation (selon une durée) et les aspects environnementaux, trop souvent négligés par de nombreuses organisations.
Certaines organisations intègrent le système de notation Exploit Prediction Scoring System (EPSS) dans l’équation pour obtenir de meilleurs résultats, mais les scores EPSS ne sont disponibles que lorsqu’il existe déjà un CVE complet publié sur la vulnérabilité.
Par conséquent, il devient difficile de répondre à une question cruciale : Quel est le risque réel dans ma liste de vulnérabilités ?

Pour répondre à cette question, l’équipe de sécurité peut utiliser les “Attack paths” (chemin d’attaque).

Chemin d’attaque : relier les données

Qu’est-ce qu’un chemin d’attaque?

Un chemin d’attaque est une représentation visuelle du flux continu qui se produit lors de l’exploitation de vecteurs potentiels par un attaquant.
Le chemin d’attaque “relie les points ou données” et examine l’ensemble du contexte d’un risque imposé.

Post Vulcan Cyber 2SB Attack path visualization

Visualisation du chemin d’attaque

Comment identifier les voies d’attaque ?

En partant de l’exemple d’une exposition du réseau, l’application web de l’organisation s’exécute dans un conteneur.
Nous pouvons continuer jusqu’à l’origine de l’asset, le projet de code, l’image du conteneur et l’origine de son image de base.
Cela nous amène jusqu’aux autres actifs auxquels cet actif est connecté, ce qui inclut finalement les “données sensibles” de l’organisation.
Ceux-ci sont souvent l’objectif principal d’une attaque.

Une fois que nous avons documenté ce chemin, nous pouvons utiliser cette cartographie pour identifier les vulnérabilités trouvées le long de chaque partie et identifier les scénarios d’attaque potentiels.
Pour ce faire, nous pouvons utiliser un cadre tel que le MITRE ATT&CK framework, qui établit une corrélation entre les vulnérabilités et les techniques qui peuvent être utilisées pour les exploiter.

Une fois que nous avons cartographié autant de chemins que possible, nous obtenons une vue d’ensemble des chemins d’attaque potentiels dans notre système, depuis le déploiement jusqu’à l’origine de chaque composant dans la chaîne d’approvisionnement.
Cela nous donne une perspective plus profonde et plus large pour évaluer les vulnérabilités avec le risque réel qu’elles représentent.

Post Vulcan Cyber 2SB Software supply chain, with risk levels across the attack path

Software supply chain, avec les niveaux de risque tout au long du parcours de l’attaque

Prochaines étapes

L’étude du parcours des vulnérabilités nous permet de savoir où nous en sommes et ce que nous devons améliorer.
Consultez les ressources suivantes pour vous aider à maintenir une cyberhygiène et à garder une longueur d’avance sur les acteurs de la menace :

  1. CVSS v4.0 – what you need to know
  2. Can you trust ChatGPT’s package recommendations?
  3. MITRE ATTACK framework – Mapping techniques to CVEs
  4. Exploit maturity: an introduction
  5. OWASP Top 10 vulnerabilities 2022: what we learned

Et pour finir …

Ne vous laissez pas surprendre par de nouvelles vulnérabilités.
Vulcan Cyber vous offre une visibilité avec un contrôle complets de votre environnement de menaces et vous permet d’établir des priorités, de remédier et de communiquer vos risques cybernétiques à l’ensemble de votre organisation. Demandez une démonstration ou contactez-nous pour en savoir plus.

Post Vulcan Cyber 2SB The most talked about CVEs of Q2 2023

Source : Vulcan Cyber