Stopper les attaques contre la chaîne d'approvisionnement grâce à la segmentation Zero Trust
Section 4 du rapport de l'administration Biden Décret exécutif sur l'amélioration de la cybersécurité du pays axée sur la chaîne d'approvisionnement. Je n'ai pas été surpris.
La chaîne d'approvisionnement est particulièrement difficile à sécuriser en raison de sa complexité.
Considérez la construction automobile comme un contraste. Dans ce secteur, les ingénieurs conçoivent chaque pièce : châssis automobile, composants du moteur, pièces et sous-composants, spécifiquement pour chaque véhicule. Chaque élément possède des spécifications qui garantissent durabilité et sécurité.
À l'inverse, pensez au processus de validation de principe (POC) et d'approvisionnement d'un acheteur de produits de sécurité. Dans de nombreuses circonstances, la conformité exigera des solutions ou des états finaux souhaités qui peuvent être abordés par un certain nombre de produits. Il est rare qu'il existe un ensemble défini de spécifications selon lesquelles le fournisseur construit. À quand remonte la dernière fois que votre fournisseur de pare-feu a créé un produit sur mesure pour vous ?
Bien sûr, vous pouvez personnaliser la configuration, mais elle n'est pas conçue sur mesure pour votre usage spécifique et rien d'autre. Au lieu de cela, le fournisseur crée un produit dont l'applicabilité est la plus large possible afin de capter la plus grande part du marché. De plus, chaque fournisseur est engagé dans une course pour créer, lancer et livrer rapidement des produits afin de suivre l'évolution rapide du marché.
En plus de cela (et tout comme dans l'industrie automobile), les fournisseurs sont soumis à des pressions pour réaliser des bénéfices. Pour ce faire, quelque chose doit donner. Dans le cas de SolarWinds, la recherche de profits l'a amenée à faire des compromis en matière de sécurité. Nous ne pouvons tout simplement pas laisser cela se reproduire.
Les professionnels de la sécurité s'appuient sur d'autres solutions pour « surveiller » d'autres produits, mais malheureusement, cela présente également des défis. Encore une fois, dans le cas de SolarWinds, sa solution de détection des terminaux avait toujours a signalé le logiciel SolarWinds comme un logiciel malveillant, à tel point que SolarWinds a recommandé de désactiver les fonctionnalités de surveillance de son logiciel dans un article de la base de connaissances.
Alors, que devons-nous faire ?
Avant le décret, Jonathan Reiber d'AttackIQ et moi avions publié un blog dans Lawfare qui décrivait ce que nous espérions voir du décret présidentiel de Biden. Un élément que nous n'avons pas exploré est la chaîne d'approvisionnement. J'aimerais examiner quelques réflexions ici :
- Tout outil de surveillance des terminaux doit disposer d'un programme robuste pour surveiller les tiers, mais sans créer de faux positifs. Cela coûtera cher aux fournisseurs de terminaux, mais les avantages pourraient être énormes ! Malheureusement, le coût de ces programmes, associé à la sensibilité des clients aux prix, rendra cet objectif difficile à atteindre.
- Le décret reconnaît que le développement de logiciels manque de transparence, mais la question est de savoir comment lever le voile pour garantir que la chaîne d'approvisionnement d'un fournisseur n'a pas été compromise. Pour cela, je recommande de ne pas réinventer la roue, mais plutôt de regarder l'un de nos pairs internationaux : la France.
- Le Gouvernement français a créé une agence, ANNSI, qui identifie les infrastructures critiques (pas seulement les infrastructures gouvernementales), définit des normes pour protéger cette infrastructure, puis audite les fournisseurs qui fournissent les logiciels qui protègent cette infrastructure.
- L'avantage de cette approche est que les éditeurs de logiciels ne considèrent pas le régulateur comme un concurrent et que l'ANNSI ne « vole » pas de logiciels. Il garantit plutôt la sécurité des infrastructures françaises en auditant les fournisseurs.
- Une dernière remarque sur l'ANNSI. Comme indiqué ci-dessus, l'ANNSI n'applique pas ses principes uniquement aux infrastructures gouvernementales, mais également aux infrastructures « critiques ». Chez Illumio, nous avons pu constater l'implication de cette agence dans les infrastructures pharmaceutiques, manufacturières, bancaires et autres infrastructures françaises considérées comme « critiques » pour les Français.
- Cela aurait également contribué à Attaque de ransomware Colonial Pipeline (qui est évidemment également une infrastructure essentielle).
À bien des égards, le capitalisme et notre farouche indépendance américaine ne permettent peut-être pas de réaliser les deux objectifs ci-dessus. De nombreux Américains n'apprécieraient pas que le gouvernement leur dicte la manière de gérer leur entreprise. Alors, que pouvons-nous faire d'autre ?
La réponse est simple et de nombreuses organisations du secteur privé le font déjà : Zero Trust.
L'adoption d'un cadre Zero Trust garantit qu'en cas d'attaque de la chaîne d'approvisionnement, l'événement est compartimenté.
Le décret de l'administration Biden était d'accord avec cette thèse. La section 4 (i) stipule que les infrastructures critiques doivent bénéficier du moindre privilège et segmentation du réseau - en d'autres termes, ils doivent appliquer les principes du Zero Trust.
L'application d'un cadre Zero Trust ne supprime pas la nécessité d'auditer la chaîne d'approvisionnement d'une organisation. Mais même si la chaîne d'approvisionnement a été entièrement auditée pour détecter les piratages connus, Zero Trust protège contre les attaques inconnues de la chaîne d'approvisionnement.
En contrôlant la manière dont un fournisseur introduit des logiciels tiers pour s'assurer qu'ils ne sont pas faussement signalés comme des logiciels malveillants, en examinant les pratiques de codage des logiciels et en utilisant des mots de passe complexes, les organisations peuvent contribuer à protéger la chaîne d'approvisionnement. Cela dit, les mauvais acteurs d'aujourd'hui (État-nation parrainés ou parrainés par le crime organisé) trouveront une solution. La question est de savoir comment limiter le rayon d'action de l'explosion lorsqu'elle se produit.
La réponse est appliquer Zero Trust — et le décret présidentiel de la semaine dernière montre que le gouvernement est sur la bonne voie !
Cherchez-vous à répondre plus rapidement aux exigences du décret exécutif de la Maison Blanche ? Découvrez comment ici ou rejoignez-nous pour atelier où vous apprendrez à concevoir une architecture Zero Trust pour votre agence fédérale.