sécurité de la chaîne d'approvisionnement

Les organisations surveillent, détectent et tentent constamment de répondre aux alertes et aux menaces potentielles qui pèsent sur leur environnement et proviennent de sources diverses. Parmi ces sources, la sécurité de la chaîne d'approvisionnement, souvent difficile à cerner et pourtant peu abordée, est particulièrement préoccupante. Les organisations consacrent beaucoup de temps à comprendre l'introduction d'appareils non autorisés sur leurs réseaux, puis à mettre en place des mesures de sécurité et de surveillance. En règle générale, nous n'inspectons ni n'analysons rigoureusement les appareils reçus de nos fournisseurs de confiance, ce qui se comprend aisément, car les compétences et les outils nécessaires à cette inspection ne sont pas ceux d'un expert en sécurité classique.

Comment le gouvernement fédéral sécurise les chaînes d'approvisionnement

Les fournisseurs eux-mêmes consacrent beaucoup de temps et d'efforts à comprendre et à sécuriser leurs chaînes d'approvisionnement, et le gouvernement dispose de programmes rigoureux, notamment La stratégie du DHS et DARPA SHIELD. Cependant, lorsqu'on s'intéresse à d'autres acteurs que les fournisseurs et le gouvernement fédéral, on constate un net déclin en termes de compétences et d'engagement. En tant que consommateurs de matériel informatique, nous partons du principe que nos fournisseurs sont fiables et que la sécurité des appareils est incluse dans leur prix. Or, cette supposition nous expose à un risque potentiel, ou du moins nous le négligeons.

Les menaces potentielles dans la chaîne d'approvisionnement sont courantes

Je ne vais pas me lancer dans un discours alarmiste du genre “ c’est la fin du monde et tout votre matériel est compromis ”, mais lorsque vous évaluez tous les risques potentiels pour votre organisation, il est important de surveiller de près les menaces potentielles dans votre chaîne d’approvisionnement. Et ces risques ne sont pas sans précédent. On a déjà vu des fournisseurs livrer du matériel neuf ou reconditionné contenant des logiciels espions, comme dans les cas suivants : Lenovo préinstalle des logiciels espions sur ses ordinateurs portables et Dell met en garde contre un logiciel malveillant sur les cartes mères de ses serveurs.. Il y a aussi logiciel de démonstration de faisabilité qui a été construit qui, au moment de sa sortie, pouvait être utilisé sur plus de 100 cartes mères différentes. Et chaque année à Defcon, Outre les concours de barbe, de refroidissement de bière et de piratage automobile, il existe également un concours visant spécifiquement à accéder à des équipements inviolables (à preuve d'inviolabilité) et à leurs emballages. Il ne s'agit pas uniquement de semer la peur, l'incertitude et le doute.

Comment sécuriser la chaîne d'approvisionnement

Alors, que faire ? Bien sûr, se renseigner sur la manière dont vos fournisseurs protègent leur chaîne d'approvisionnement et les tenir responsables est un bon début, mais cela ne suffit pas après coup. En règle générale, il convient d'être prudent avec le matériel reconditionné, surtout s'il ne provient pas directement du fabricant d'origine. Si un appareil est compromis, que ce soit par une faille matérielle, un logiciel malveillant ou autre, une communication avec une source externe est inévitable pour permettre l'exfiltration de données ou l'exécution d'actions à distance. La protection de votre réseau repose sur des opérations de sécurité standard et la surveillance des communications réseau au sein de l'entreprise, du terminal jusqu'au périmètre.

Défis liés à la sécurité de la chaîne d'approvisionnement

Cependant, cette approche présente deux défis. Premièrement, si votre appareil concerné est un ordinateur portable ou un appareil mobile, il est possible d'exploiter un réseau Wi-Fi ouvert (comme décrit par Jonathan Brossard dans le livre blanc cité précédemment), que vous ne pouvez pas surveiller. De plus, votre infrastructure fixe peut également compromettre l'ensemble de votre réseau. Par exemple, un serveur compromis avec un accès Internet restreint peut toujours accéder à votre réseau Wi-Fi invité pour se connecter à un site externe et télécharger un ensemble de commandes et de commandes malveillantes.

Le second problème réside dans la surcharge du trafic à surveiller. Comment analyser tout le trafic provenant de sources internes ? Si les listes blanches et les chaînes d'agent utilisateur constituent d'excellents moyens de garantir que le trafic réseau ne soit acheminé que vers des destinations autorisées, elles ne permettent pas toujours d'identifier la source du problème. Détecter un nombre anormalement élevé d'échecs d'agent utilisateur ou de requêtes web infructueuses pourrait être l'une des meilleures méthodes pour identifier ce type de communications, mais compte tenu du volume considérable d'événements, cette approche est souvent impraticable.

Comment l'automatisation de la sécurité permet la sécurité de la chaîne d'approvisionnement

C'est ici que automatisation de la sécurité peut vous être utile en vous aidant à modéliser l'identification des faux positifs, des tentatives de communication bénignes et, finalement, malveillantes, à la vitesse de la machine. Vous pouvez, par exemple, être proactif et enquêter sur les sessions réseau qui se dirigent vers des destinations nouvelles ou inconnues, puis notifier automatiquement votre équipe de sécurité (via Slack, e-mail, ticket, etc.). Si vous rencontrez des difficultés pour enquêter sur l'adresse de destination (IP/URL/domaine), vous pouvez utiliser l'automatisation pour exploiter des ressources d'investigation telles que Whois, Domain, ASN, GeoIP, etc. informations de renseignement sur les menaces. Ces outils peuvent être utilisés pour identifier automatiquement les adresses de destination potentiellement malveillantes et rendre plus gérable le processus de triage d'un grand nombre de sessions réseau.