SolarWinds Breach : un changement de paradigme vers la confiance zéro

Le compromis de SolarWinds et ses répercussions continues ont mis en lumière la difficulté de contrôler et de valider chaque point de contact d'une entreprise avec ses dépendances externes (qu'il s'agisse d'un fournisseur, d'un client ou d'un partenaire) et renforcent le vieil adage selon lequel « une chaîne n'est solide que si son maillon le plus faible est égal à la solidité de son maillon le plus faible ».

La faille Target survenue au début des années 2010 et la plus récente faille dite «Cloud Hopper« les attaques ont déjà mis en lumière les risques associés aux chaînes d'approvisionnement, en particulier lorsque les membres de cette chaîne ont un accès direct à votre réseau (c'est-à-dire des relations avec des tiers nécessitant un accès au réseau). La reconnaissance de ce risque a donc permis de mettre davantage l'accent sur les contrôles de sécurité en place à ces points de contact du réseau. Lorsqu'ils sont correctement mis en œuvre, ces contrôles permettent de comprendre clairement où se trouvent ces points de contact, à quoi ils autorisent l'accès, le niveau d'accès et la manière dont cet accès est surveillé. Du point de vue de la détection et de la réponse, il peut fournir un ensemble d'indicateurs plus évidents à surveiller en raison de ces informations « a priori ».

Tout d'abord, le compromis de SolarWinds est inquiétant car il a attaqué un point de nos chaînes d'approvisionnement technologique auquel nous nous attendions le moins (c'est-à-dire une mise à jour signée par un fournisseur de logiciels en qui nous avons confiance). Et pourtant, nous sommes tous d'accord pour dire qu'elle était « parfaite » si l'on tient compte de l'opportunité qu'elle a offerte aux attaquants par la porte dérobée.

Nous pouvons affirmer que la probabilité de succès d'une attaque dépend des informations d'identification disponibles, de l'accès réseau utilisable et des vulnérabilités exploitables. Dans ce cas, compromettre un système doté d'un accès réseau étendu et d'un accès hautement privilégié aux systèmes et aux services d'annuaire figurerait en bonne place sur la liste des souhaits de tout acteur malveillant. La plateforme Orion a précisément fourni cette opportunité.

La manière dont les attaquants ont réussi à compromettre le processus de validation du code et de génération de SolarWinds fait toujours l'objet d'une enquête, et il ne fait aucun doute que toutes les organisations qui réalisent leur propre développement seront vivement intéressées par la manière dont elles peuvent atténuer les mêmes risques.

La principale préoccupation à l'heure actuelle, c'est de savoir ce que l'exposition latente continue d'être, car elle est encore en cours de révélation. Compte tenu du niveau et de la portée des accès disponibles, il est difficile de vraiment déterminer où les attaquants ont pu se rendre et se cacher. Nous savons que l'utilisation de la mise à jour Orion visait uniquement à établir une tête de pont (très visible) dans les organisations cibles, ni comme trophée final ni comme une nécessité pour la persistance de la présence ou de l'accès.

Dans ce contexte, l'accent est mis sur la poursuite de la détection et de la réponse. Et à cet égard, nous avons tous un rôle essentiel à jouer. La découverte de cette attaque à grande échelle a été possible car un fournisseur expérimenté en matière de réponse aux incidents et de cybersécurité (FireEye/Mandiant) a également été compromis. Ils ont toutefois été les premiers sur la liste des victimes à détecter un vol de données après la violation, à le divulguer publiquement, puis à proposer des mesures initiales pour y remédier. C'est peut-être l'un des points positifs de cet épisode en cours.

Les fournisseurs de solutions de sécurité doivent déterminer de toute urgence comment les solutions que nous proposons peuvent être utilisées au mieux pour détecter puis limiter (ou du moins retarder) la propagation de l'attaque.

• Disposons-nous de systèmes de télémétrie que les équipes bleues peuvent utiliser efficacement pour se faire une idée plus précise de l'activité au sein d'une organisation, en fournissant des indicateurs plus clairs de compromission ?
• Existe-t-il des politiques qui peuvent être appliquées rapidement pour restreindre les mouvements latéraux ?
• Nos solutions technologiques peuvent-elles exposer, voire atténuer, le risque qu'une application représente pour une organisation, que ce soit en raison de la quantité de connectivité, de l'utilisation d'un accès privilégié ou du nombre de vulnérabilités sur les charges de travail ?
• Pouvons-nous identifier rapidement quand des informations d'identification compromises sont utilisées et empêcher tout accès ultérieur ?
• Existe-t-il des corrélations faciles à établir entre plusieurs solutions de sécurité permettant d'identifier les TTP connus et nouveaux ?

Et qu'en est-il des organisations cibles potentielles : que doivent-elles faire ? Aujourd'hui plus que jamais, il est primordial de comprendre le cyberrisque associé à chaque actif.

• Peuvent-ils identifier rapidement leurs ressources les plus critiques ?
• Comprennent-ils bien le modèle d'accès à ces ressources ?
• Peuvent-ils contrôler les communications sortantes depuis et vers ces serveurs/charges de travail ? Les communications sortantes devraient-elles même exister pour commencer ?
• Existe-t-il une surveillance adéquate à chaque niveau (par exemple, l'appareil de l'utilisateur final, le réseau, la gestion des identités et des accès, l'application, etc.) et peut-elle être améliorée ?
• Les politiques d'accès peuvent-elles être renforcées pour se rapprocher du Zero Trust et du Least Privilege ?
• Les pratiques de développement de logiciels sécurisés seront-elles revisitées pour s'assurer qu'elles sont aussi solides que possible ?

Le fameux paradigme de la « doctrine du choc » suggère que pour imposer un changement transformateur dans un système, il faut que l'ensemble du système soit choqué et réalise qu'un tel changement est nécessaire. Bien que l'accent soit mis à juste titre sur la sécurité et les risques associés aux chaînes d'approvisionnement, je pense que la véritable métamorphose doit être la suivante :

Fournisseurs de technologies doit être en mesure d'informer leurs clients sur la manière dont les solutions existantes qu'ils fournissent peuvent être utilisées pour soutenir les fonctions de détection et de réponse.

Les clients (c'est-à-dire les organisations) doit se concentrer sur :

• Identifier leurs actifs les plus critiques.
• Surveillez activement ces actifs à l'aide de divers capteurs pour identifier les indicateurs de TTP malveillants.
• Comprendre le modèle d'accès à ces actifs et appliquer des politiques de moindre privilège pour les protéger.
  

À bien des égards, l'opportunité présentée ici est vraiment le paradigme de départ de Confiance zéro: « Partez du principe qu'il s'agit d'une violation et faites en sorte qu'il soit vraiment difficile d'en obtenir le propriétaire. »