Selon Gartner, 45 % des organisations dans le monde auront subi des attaques sur leurs chaînes d’approvisionnement en logiciels, soit une multiplication par trois par rapport à 2021, ce qui témoigne de ce problème croissant de l’industrie.
Pour faire face à cette problematique, Palo Alto Networks a présenté un nouvel outil qui aide les organisations à mieux évaluer la surface d’attaque de leurs pipelines de livraison et de toutes les ressources d’application et d’infrastructure connectées pour être mieux équipées dans la prévention des attaques de la chaîne d’approvisionnement logicielle.
Prisma Cloud Supply Chain Security offre une vue complète des vulnérabilités et erreurs de configuration, et de leur emplacement dans la chaîne d’approvisionnement logicielle, permettant ainsi aux entreprises de remonter rapidement à la source pour y remédier. De fait, en l’absence d’un correctif rapide, la plupart des failles de sécurité, lorsqu’elles n’ont pas pu être éliminées dès la phase d’écriture du code, peuvent servir de porte d’entrée aux attaquants afin d’infiltrer les systèmes, semer des charges (payloads) malveillantes dans la chaîne logicielle de l’entreprise et accéder à des données sensibles.
Le rapport sur les menaces du cloud de l’unité 42 révélait en outre que les identifiants codés en dur constituaient un vecteur pour les mouvements latéraux et la compromission des chaînes d’intégration et de déploiement continus (CI/CD).
À l’heure actuelle, un grand nombre de solutions ne détectent les vulnérabilités et ne vérifient la configuration qu’au niveau des ressources accédées par le code ou dans le cloud. Prisma Cloud, la plateforme CNAPP (Cloud Native Application Protection Platform) la plus exhaustive du marché, s’impose déjà en leader de la sécurité cloud native. Sa fonctionnalité Supply Chain Security apporte non seulement la visibilité et la protection du cycle de vie complet mais également l’emplacement de la vulnérabilité au sein des couches d’une architecture cloud.
La solution Prisma Cloud Supply Chain Security contribue à une approche verticalement intégrée englobant l’ensemble du cycle de vie afin de sécuriser les composants interconnectés dont dépendent les applications cloud native. À l’intérieur du code, elle permet d’identifier les vulnérabilités et les erreurs de configuration, notamment les bibliothèques de logiciels en source ouverte, les fichiers d’infrastructure en tant que code (IaC) et les chaînes de livraison, tels que les configurations des logiciels de gestion des versions (VCS) et des chaînes d’intégration continue (CI). Elle comprend les fonctionnalités suivantes :
- Auto discovery : les morceaux de code sont extraits et modélisés à l’aide des scanners Cloud Code Security existants.
- Visualisation de graphes : inventaire simple et exhaustif des dépendances des applications clés et des éléments d’infrastructure afin de cerner les failles sur toute la surface d’attaque.
- Correctif de code de la chaîne d’approvisionnement : les dépendances vulnérables ou les ressources IaC mal configurées peuvent être corrigées au moyen d’une seule requête (pull request) consolidée.
- Scan du dépôt de code : identifier et corriger les vulnérabilités des bibliothèques de logiciel en source ouverte dans le code de l’application.
- Règles de protection des branches : étendre l’approche « policy as code » pour renforcer les configurations des gestions de version (VCS) et CI/CD (via Checkov) afin d’empêcher toute tentative de falsification du code.
Grâce à ces fonctionnalités, les entreprises seront mieux à même d’évaluer la surface d’attaque de leurs chaînes de livraison et de l’ensemble des applications connectées et ressources d’infrastructure, et par là même être mieux préparées face aux attaques visant la chaîne d’approvisionnement logicielle. Mettre en œuvre Prisma Cloud Supply Chain Security dans le cadre d’une architecture Zero Trust est l’un des meilleurs moyens pour une organisation de prévenir les attaques de la chaîne d’approvisionnement logicielle.
« Si les nombreux logiciels en source ouverte mis à disposition par une communauté particulièrement active peuvent aider les développeurs à coder et à livrer des produits plus rapidement, elle agrandit toutefois la surface d’attaque lorsque la sécurité du code ne peut être garantie », déclare Melinda Marks, Senior Analyst chez ESG, spécialisée dans la sécurité des applications et du cloud. « Les dernières améliorations de Prisma Cloud apportent au DevOps et aux équipes de sécurité une compréhension complète de leurs chaînes d’approvisionnement logicielles, ce qui leur permet d’identifier et de corriger les défauts du code afin de sécuriser leurs applications cloud-native. »
