Black Hat 2022 révèle les tendances en matière de sécurité d’entreprise

Le rayon d’action des cyberattaques contre une entreprise devrait continuer de croître, s’étendant profondément sur plusieurs couches dans les chaînes d’approvisionnement logicielles, les devops et les piles technologiques. Les présentations et les annonces de Black Hat 2022 pour la sécurité des entreprises donnent à réfléchir sur la façon dont les piles technologiques des entreprises sont exposées à des cyberattaques plus complexes et dévastatrices. Tenu la semaine dernière à Las Vegas et dans ses 25^e année consécutive, la réputation de Black Hats pour l’analyse d’investigation et le signalement des failles de sécurité à grande échelle, des lacunes et des violations est sans précédent dans le domaine de la cybersécurité.

Plus la pile technologique est complexe et repose sur la confiance implicite, plus elle est susceptible d’être piratée. C’est l’un des nombreux messages que Chris Krebs, l’ancien directeur fondateur de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), a prononcés dans un discours liminaire au public lors de la conférence Black Hat 2022 la semaine dernière. Krebs a mentionné que les faiblesses commencent souvent par la construction de piles technologiques trop complexes qui créent plus de surfaces d’attaque que les cybercriminels tentent ensuite d’exploiter.

Krebs a également souligné à quel point la sécurité de la chaîne d’approvisionnement des logiciels est essentielle, expliquant que les entreprises et les gouvernements mondiaux ne font pas assez pour arrêter une autre attaque à l’échelle de SolarWinds.

Les entreprises qui vendent des produits logiciels sont des cibles de livraison, a-t-il déclaré à l’auditoire principal.

Les cybercriminels comprennent les dépendances et les liens de confiance que nous avons avec nos services logiciels et nos fournisseurs de technologie, et ils gravissent les échelons de la chaîne d’approvisionnement, a ajouté Krebs.

De plus, l’élimination de la confiance implicite est un enjeu de table pour réduire les attaques de la chaîne d’approvisionnement, un point auquel Krebs a fait allusion tout au long de son discours.

Sécurité d’entreprise : réduction du rayon de souffle croissant

Les vulnérabilités de l’infrastructure, du devops et des logiciels d’entreprise découvertes par les chercheurs ont rendu les sessions spécifiques à l’entreprise intéressantes. En outre, l’amélioration de la gestion de l’accès aux identités (IAM) et de la gestion des accès privilégiés (PAM), l’arrêt des attaques de ransomwares, la réduction des attaques de serveurs Azure Active Directory (AD) et SAP HTTP et la sécurisation des chaînes d’approvisionnement logicielles ont dominé les sessions d’entreprise.

Les pipelines d’intégration continue et de livraison continue (CI/CD) sont les surfaces d’attaque les plus dangereuses des chaînes d’approvisionnement logicielles. Malgré les efforts déployés par de nombreuses organisations pour intégrer la cybersécurité au cœur de leurs processus de développement, les pipelines de logiciels CI/CD sont toujours piratables.

Plusieurs présentations lors de la conférence ont exploré comment les cybercriminels peuvent pirater les chaînes d’approvisionnement de logiciels en utilisant l’exécution de code à distance (RCE) et des référentiels de code infectés. Une session en particulier s’est concentrée sur la façon dont les pirates informatiques avancés pourraient utiliser la signature de code pour être indiscernables d’un membre de l’équipe devops.

Un autre a illustré comment les pirates utilisent rapidement les systèmes de gestion de code source (SCM) pour réaliser un mouvement latéral et une élévation des privilèges dans une entreprise, infectant les référentiels et accédant aux chaînes d’approvisionnement logicielles à grande échelle.

Les piles technologiques deviennent également une cible plus accessible à mesure que les compétences des cybercriminels augmentent. Une présentation sur la façon dont les comptes d’utilisateurs Azure AD peuvent être détournés et piratés en exploitant des liens d’identité externes pour contourner l’authentification multifacteur (MFA) et les politiques d’accès conditionnel a montré à quel point une entreprise peut perdre le contrôle d’une partie essentielle de sa pile technologique en quelques minutes seulement.

Une session distincte sur le serveur HTTP propriétaire de SAP a expliqué comment les cybercriminels pouvaient exploiter deux vulnérabilités de corruption de mémoire trouvées dans le serveur HTTP de SAP en utilisant des techniques d’exploitation de protocole de haut niveau. CVE-2022-22536 et CVE-2022-22532 sont exploitables à distance et pourraient être utilisées par des attaquants non authentifiés pour compromettre n’importe quelle installation SAP dans le monde.

Les attaques de logiciels malveillants continuent de s’intensifier dans les entreprises, capables de contourner les piles technologiques qui reposent sur la confiance implicite et de désactiver l’infrastructure et les réseaux. L’utilisation de l’apprentissage automatique (ML) pour identifier les attaques potentielles de logiciels malveillants et les contrecarrer avant qu’elles ne se produisent à l’aide de techniques de classification avancées est un domaine de recherche fascinant. Classification des logiciels malveillants avec apprentissage automatique amélioré par l’émulation du noyau Windows présenté par Dmitrijs Trizna, ingénieur en logiciel de sécurité chez Microsoft, a fourni une architecture ML hybride qui utilise simultanément des méthodologies d’analyse de logiciels malveillants statiques et dynamiques.

Lors d’une interview avant sa session, Trizna a expliqué que l’IA [artificial intelligence] n’est pas magique, ce n’est pas la solution miracle qui résoudra tous vos problèmes (de logiciels malveillants) ou vous remplacera. C’est un outil dont vous avez besoin pour comprendre comment cela fonctionne et la puissance sous-jacente. Alors ne le jetez pas complètement; le voir comme un outil.

Trizna rend disponible sur GitHub le code ML pour les modèles sur lesquels il travaille.

Les fournisseurs de cybersécurité doublent leurs efforts en matière d’IA, d’API et de sécurité de la chaîne d’approvisionnement

Plus de 300 fournisseurs de cybersécurité ont exposé à Black Hat 2022, la plupart des annonces de nouveaux produits se concentrant sur la sécurité des API et sur la manière de sécuriser les chaînes d’approvisionnement logicielles. De plus, l’annonce par CrowdStrikes des tout premiers indicateurs d’attaque (IOA) basés sur l’IA reflète la rapidité avec laquelle les fournisseurs de cybersécurité font mûrir leurs stratégies de plate-forme basées sur les avancées de l’IA et du ML.

L’annonce par CrowdStrikes des IOA alimentés par l’IA est une première dans l’industrie

Leurs IOA basés sur l’IA annoncés à Black Hat combinent le ML natif du cloud et l’expertise humaine, un processus inventé par CrowdStrike il y a plus de dix ans. En conséquence, les IOA se sont avérés efficaces pour identifier et arrêter les violations en fonction du comportement réel de l’adversaire, quel que soit le logiciel malveillant ou l’exploit utilisé dans une attaque.

Les IOA alimentés par l’IA s’appuient sur des modèles ML natifs du cloud formés à l’aide des données de télémétrie de CrowdStrike Security Cloud, ainsi que sur l’expertise des équipes de chasse aux menaces de l’entreprise. Les IOA sont analysées à la vitesse de la machine à l’aide de l’IA et du ML, offrant la précision, la rapidité et l’échelle dont les entreprises ont besoin pour contrecarrer les violations.

CrowdStrike montre la voie en arrêtant les attaques les plus sophistiquées grâce à nos indicateurs de capacité d’attaque à la pointe de l’industrie, qui ont révolutionné la façon dont les équipes de sécurité préviennent les menaces basées sur le comportement de l’adversaire, des indicateurs difficiles à modifier, a déclaré Amol Kulkarni, directeur des produits et de l’ingénierie chez CrowdStrike. Maintenant, nous changeons à nouveau la donne avec l’ajout d’indicateurs d’attaque alimentés par l’IA, qui permettent aux organisations d’exploiter la puissance de CrowdStrike Security Cloud pour examiner le comportement de l’adversaire à la vitesse et à l’échelle de la machine afin d’arrêter les violations de la manière la plus efficace possible.

Les IOA alimentés par l’IA ont identifié plus de 20 modèles d’adversaires inédits, que les experts ont validés et appliqués sur la plate-forme Falcon pour une détection et une prévention automatisées.

L’utilisation de CrowdStrike distingue Cundall comme l’une des organisations les plus avancées dans un secteur qui est généralement à la traîne d’autres secteurs en matière d’adoption de l’informatique et de la cybersécurité, a déclaré Lou Lwin, CIO chez Cundall, un cabinet de conseil en ingénierie de premier plan. Aujourd’hui, les attaques sont de plus en plus sophistiquées, et s’il s’agit d’attaques basées sur des machines, il est impossible pour un opérateur de suivre le rythme. Le paysage des menaces est en constante évolution. Vous avez donc besoin de défenses basées sur des machines et d’un partenaire qui comprend que la sécurité n’est pas unique et terminée. Il évolue tout le temps.

CrowdStrike a démontré des cas d’utilisation d’IOA alimentés par l’IA, y compris des détections de charge utile post-exploitation et des IOA PowerShell utilisant l’IA pour identifier les comportements et le code malveillants.

Pour de nombreuses entreprises, la sécurité des API est une faiblesse stratégique

Les fournisseurs de cybersécurité voient l’opportunité d’aider les entreprises à résoudre ce défi, et plusieurs nouvelles solutions annoncées chez Black Hat. Les fournisseurs introduisant de nouvelles solutions de sécurité API incluent Canonic Security, Checkmarx, Contrast Security, Cybersixgill, Traceable et Veracode. Parmi ces nouvelles annonces de produits, il convient de noter Checkmarxs API Security, qui est un composant de leur célèbre plate-forme Checkmarx One. Checkmarx est connu pour son expertise dans la sécurisation des flux de travail des processus CI/CD

API Security peut identifier les API zombies et inconnues, effectuer une découverte et un inventaire automatiques des API et effectuer une correction centrée sur les API. En outre, Traceable AI a annoncé plusieurs améliorations de sa plate-forme, notamment l’identification et l’arrêt des bots d’API malveillants, l’identification et le suivi des abus, des fraudes et des abus d’API, et l’anticipation des attaques potentielles d’API tout au long des chaînes d’approvisionnement logicielles.

Arrêter les attaques de la chaîne d’approvisionnement avant qu’elles ne commencent

Sur les plus de 300 fournisseurs de Black Hat, la majorité avec des solutions CI/CD, devops ou zéro confiance ont promu des solutions potentielles pour arrêter les attaques de la chaîne d’approvisionnement. C’était le thème du vendeur le plus médiatisé chez Black Hat. Les risques de la chaîne d’approvisionnement des logiciels sont devenus si graves que le National Institute of Standards and Technology (NIST) met à jour ses normes, y compris NIST SP 1800-34, en se concentrant sur les systèmes et les composants faisant partie intégrante de la sécurité de la chaîne d’approvisionnement.

Cycode, un spécialiste de la sécurité de la chaîne d’approvisionnement, a annoncé avoir ajouté des capacités de test de sécurité des applications (SAST) et de numérisation de conteneurs à sa plate-forme, ainsi que l’introduction de l’analyse de composition logicielle (SCA).

Veracode, connu pour son expertise dans les solutions de test de sécurité, a introduit de nouvelles améliorations à sa plate-forme de sécurité logicielle continue, notamment l’API de nomenclature logicielle (SBOM), la prise en charge de l’analyse de composition logicielle (SCA) et la prise en charge de nouveaux frameworks, notamment PHP Symfony, Rails 7.0 et Ruby 3.x.

L’Open Cybersecurity Schema Framework (OCSF) répond à un besoin de sécurité d’entreprise

La plainte la plus courante des RSSI concernant la détection et la réponse des points finaux (EDR), la gestion des points finaux et les plates-formes de surveillance de la sécurité est qu’il n’existe pas de norme commune pour activer les alertes sur toutes les plates-formes. Dix-huit principaux fournisseurs de sécurité ont collaboré pour relever le défi, créant le projet Open Cybersecurity Schema Framework (OCSF). Le projet comprend une spécification ouverte qui permet la normalisation de la télémétrie de sécurité sur une large gamme de produits et services de sécurité. Des outils open source sont également disponibles pour prendre en charge et accélérer l’adoption du schéma OCSF.

Les principaux fournisseurs de sécurité AWS et Splunk sont les cofondateurs du projet OCSF, avec le soutien de CrowdStrike, Palo Alto Networks, IBM Security et d’autres. L’objectif est de créer en permanence de nouveaux produits et services qui prennent en charge les spécifications OCSF, permettant la normalisation des alertes des outils de cybersurveillance, des enregistreurs de réseau et d’autres logiciels, afin de simplifier et d’accélérer l’interprétation de ces données.

Chez CrowdStrike, notre mission est d’arrêter les violations et d’augmenter la productivité des organisations, a déclaré Michael Sentonas, directeur de la technologie, CrowdStrike. Nous croyons fermement au concept de schéma de données partagé, qui permet aux organisations de comprendre et d’assimiler toutes les données, de rationaliser leurs opérations de sécurité et de réduire les risques. En tant que membre de l’OCSF, CrowdStrike s’engage à travailler dur pour fournir les solutions dont les organisations ont besoin pour garder une longueur d’avance sur leurs adversaires.