SolarWinds affirme que ses nouvelles mesures de sécurité rassurent les clients

mise à jour logicielle

Crédit : domaine public CC0

SolarWinds affirme avoir renforcé la sécurité et resserré son processus de filtrage des logiciels 15 mois après que l’une des cyberattaques les plus sophistiquées a exposé des milliers de ses clients à des espions russes et laissé les agences gouvernementales américaines et les entreprises du Fortune 500 se démener pour contenir les pertes.

Les dirigeants de SolarWinds affirment avoir dépensé 25 millions de dollars pour améliorer la sécurité et mis en place de nouveaux processus pour filtrer le code tiers qui entre dans presque tous les produits logiciels.

La société fonctionne désormais sur le principe de “la confiance zéro et de la mentalité d’infraction” – un langage technique pour prendre pour acquis que les failles de sécurité sont inévitables – a déclaré Chip Daniels, responsable des affaires gouvernementales chez SolarWinds.

La société a également institué un processus exigeant que tous les logiciels soient construits en trois exemplaires par des équipes distinctes pour prévenir les infections de logiciels malveillants en raison de failles ou de méfaits délibérés, a-t-il déclaré.

Les développeurs de logiciels extérieurs sont soumis à un processus de sélection qui les oblige à “répondre à une série de questions qui nous assureront que leur environnement est sécurisé”, a déclaré Daniels.

En décembre 2020, la société de recherche en cybersécurité FireEye a révélé que le logiciel de gestion de réseau créé par SolarWinds avait été piraté, exposant potentiellement jusqu’à 18 000 clients de cette dernière société.

Des évaluations approfondies ont révélé que parmi les clients susceptibles d’avoir été exposés, seuls 100 ont été touchés, a indiqué la société.

Des responsables américains ont déclaré plus tard que l’attaque avait été menée par des agents du renseignement russes qui avaient pénétré par effraction dans un processus de mise à jour logicielle utilisé par SolarWinds et l’avaient utilisé pour accéder aux clients qui avaient involontairement installé la mise à jour logicielle contaminée.

Immédiatement après l’attaque, les responsables américains ont demandé à toutes les agences fédérales utilisant SolarWinds de déconnecter le logiciel et de reconstruire leurs systèmes d’exploitation informatiques. Les experts en cybersécurité craignaient que des espions russes n’aient placé des portes dérobées secrètes auxquelles ils pourraient accéder plus tard.

Les nouvelles mesures amènent les agences fédérales qui craignaient d’utiliser le logiciel de l’entreprise à reconsidérer, a déclaré Daniels. Mais il a refusé de nommer les agences car les négociations étaient toujours en cours.

La société rassure ses anciens et nouveaux clients qu’elle a entrepris un examen de sécurité complet pour trouver et supprimer tout vestige de l’attaque russe, a déclaré Tim Brown, responsable de la sécurité de l’information chez SolarWinds.

La société a travaillé avec des agences fédérales, dont le FBI et la Cybersecurity and Infrastructure Security Agency, ainsi qu’avec la société privée de cybersécurité CrowdStrike et des auditeurs légistes de KPMG pendant six mois “recherchant et recherchant, examinant toutes les anomalies que nous pourrions voir” dans le logiciel, dit Brown.

La société a examiné chaque code logiciel remontant à deux ans et n’a trouvé aucune anomalie, a déclaré Brown.

Bien que l’attaque russe ne découle pas d’une menace interne, cela “ne signifie pas qu’elle ne pourrait pas se produire la prochaine fois”, a déclaré Brown. Pour éviter un tel résultat, la société a adopté le modèle de développement logiciel “triple build”, a-t-il déclaré.

Une version est construite par les développeurs, tandis qu’une seconde, appelée version de validation, est simultanément en cours de développement, et une troisième version de sécurité est également développée, a déclaré Brown. Avant d’expédier une mise à jour logicielle aux clients, la société compare les trois versions pour s’assurer qu’elles sont identiques, a-t-il déclaré.

La nouvelle approche garantit que toute tentative d’injection de logiciels malveillants “devrait avoir une collusion entre au moins trois personnes”, ce qui est beaucoup moins probable, a déclaré Brown.

Étant donné que les logiciels, comme la plupart des produits physiques, sont assemblés avec des entrées d’une liste mondiale de fournisseurs et s’appuient sur des composants open source, SolarWinds utilise désormais un ensemble de sept questions pour filtrer les mesures de sécurité adoptées par ses fournisseurs, ont déclaré Daniels et Brown.

Les questions comprennent une ventilation détaillée du processus de développement logiciel de chaque fournisseur, comment les fournisseurs sécurisent leur infrastructure physique et électronique, leurs pratiques de gestion des risques, comment ils réagissent lorsqu’une violation ou une vulnérabilité est découverte, les méthodes utilisées pour identifier les menaces internes, comment ils valident les changements à leur code logiciel et comment ils filtrent les nouveaux employés pour identifier les acteurs étrangers potentiels.

Les questions ont été construites à partir de la première série de questions que la CISA a posées à SolarWinds immédiatement après l’attaque, a déclaré Brown.

La société recommande désormais aux autres développeurs de logiciels d’utiliser le questionnaire de sélection pour évaluer la sécurité de leurs fournisseurs, a déclaré Brown.

SolarWinds construit également une base de données de tout le code logiciel qui entre dans ses produits afin de développer une soi-disant nomenclature logicielle, a déclaré Brown.

En mai 2021, le président Joe Biden a publié un décret exécutif sur l’amélioration des mesures de cybersécurité dans l’ensemble du gouvernement fédéral et des entreprises privées. L’un des éléments de l’ordonnance demandait aux vendeurs de logiciels de fournir aux acheteurs une nomenclature des logiciels.

L’ordonnance indique que la nomenclature fait référence à “un enregistrement formel contenant les détails et les relations de la chaîne d’approvisionnement des divers composants utilisés dans les logiciels de construction”.

Brown a déclaré que dans certains cas, la nomenclature pouvait atteindre des dizaines de milliers de pages et pourrait submerger les clients essayant d’évaluer l’offre d’un fournisseur.

SolarWinds, comme d’autres éditeurs de logiciels, s’efforce de rendre l’idée de la nomenclature pratique et utile pour les clients, a déclaré Brown.


La Floride lance une enquête sur le piratage de ses serveurs


©2022 CQ-Roll Call, Inc., Tous droits réservés.
Distribué par Tribune Content Agency, LLC.

Citation: SolarWinds affirme que ses nouvelles mesures de sécurité rassurent les clients (2022, 29 mars) récupéré le 29 mars 2022 sur https://techxplore.com/news/2022-03-solarwinds-reassuring-clients.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.