Alors que l’année 2023 touche à sa fin, le paysage de la cybersécurité regorge de rapports et d’analyses. Parmi eux, le Bilan de l'année 2023 de la cybersécurité de la NSA a retenu l'attention. Xygeni, en cette année tumultueuse, vise à contribuer à la compréhension et à l'atténuation des menaces qui pèsent sur la chaîne d'approvisionnement des logiciels. À une époque où la complexité des logiciels est écrasante, notre dépendance à l'égard des composants open source et l'évolution du DevSecOps et des approches cloud natives ont atteint de nouveaux sommets. Cet aperçu de Le rapport de Xygeni donne un aperçu des principaux défis auxquels sont confrontés software supply chain security en 2023 et propose des stratégies pour y répondre en 2024.
Table des Matières
Le réseau complexe de Software Supply Chain Security
Dans l'état actuel de la SSCSLes cybermenaces sont de plus en plus importantes, suscitant des inquiétudes majeures tant pour les entreprises que pour les particuliers. L'essor du télétravail et la dépendance accrue aux services cloud ont élargi la surface d'attaque, rendant la protection de la chaîne d'approvisionnement logicielle encore plus complexe. L'industrie du logiciel prend progressivement conscience que la chaîne d'approvisionnement est devenue un vecteur d'attaque délibéré. Des questions se posent : comment sécuriser ce réseau complexe ? Peut-on faire confiance aux logiciels des communautés open source et des fournisseurs commerciaux ? Comment les entreprises peuvent-elles inspirer confiance à leurs clients quant à l'absence de vulnérabilités ou de logiciels malveillants ?
Ce que révélera le rapport de Xygeni
Le rapport de Xygeni vise à faire la lumière sur les événements et les tendances qui ont défini software supply chain security en 2023 et offre un premier aperçu de ce que 2024 pourrait apporter. Le rapport couvrira :
Points forts : « En chiffres »
Appelé l'année de 'les incendies de forêt numériques', L'année 2023 a été marquée par des incidents qui ont fait la une des journaux, notamment ceux affectant PyTorch, 3CX et MOVEit Transfer. La triste réalité est que 82% d'organisations sont actuellement vulnérables aux attaques de la chaîne logistique logicielle, le nombre moyen de composants vulnérables dans une chaîne logistique augmentant de plus de 50 % par an. NTT Ltd rapporte que le secteur technologique est l'industrie la plus ciblée, représentant 28 % de toutes les attaques de la chaîne d'approvisionnement.
Logiciel open source, comprenant 70 % à 90 % des piles d’applications contemporaines, fait face à une augmentation des paquets malveillants dans les registres publics – un chiffre stupéfiant de 245,032 XNUMX cas, soit le double des chiffres des années précédentes.
Le paysage des attaques
En 2023, les cyberattaques se sont multipliées, avec Agence européenne pour la cybersécurité enregistrant 2,580 220 incidents de sécurité, dont XNUMX ciblaient spécifiquement plusieurs États membres. Les attaques de ransomware et de déni de service ont dominé, mais des attaques ciblées sur la chaîne d'approvisionnement logicielle ont également été observées. Notamment, les chatbots IA sont entrés dans le paysage des menaces de cybersécurité, suscitant des inquiétudes concernant les « contrefaçons bon marché » et la manipulation des informations par l'IA.
Techniques d'attaque en 2023
Les attaquants ont continué à exploiter des techniques familières telles que le spear phishing et l’ingénierie sociale, le vol d’identifiants et les attaques de dépendance telles que les packages typosquat. Cependant, 2023 a été témoin d’une montée en puissance de méthodes sophistiquées, notamment vishing (Voice Phishing) utilisant des messages imitant la voix générés par l’IA. Les packages malveillants déployés dans les registres publics ont atteint un nombre alarmant de 245,032 XNUMX cas, soulignant la nécessité de mesures préventives robustes.
Acteurs de menaces avancées
La géopolitique a influencé les cyberopérations, les APT soutenues par l’État se livrant à la désinformation, à l’espionnage et au sabotage. La guerre en Ukraine est devenue un point central, mettant en lumière les cyber-opérations menées par des acteurs russes, iraniens et nord-coréens. La Chine a consolidé sa position de cyberpuissance mondiale, tandis que la cybercriminalité a continué d'évoluer, comme en témoigne le ciblage chinois d'Evasive Panda contre une ONG internationale.
En ce qui concerne les conflits récents, la cyber-confrontation entre le Hamas et Israël a impliqué des attaques DDoS réciproques. Certains analystes relient le Hamas aux activités menaçantes iraniennes. L’APT Agrius, liée à l’Iran, également connue sous le nom de « Agonizing Serpens », connue pour ses essuie-glaces destructeurs, cible principalement les organisations israéliennes dans divers secteurs et pays. En 2023, les efforts d'Agius se sont concentrés sur les secteurs de l'éducation et de la technologie en Israël.
Impact des attaques
L’impact numérique des cyberattaques, telles que les systèmes endommagés, la corruption des données et les intrusions, a dépassé les impacts financiers et sociaux. L'enquête de Splunk ont souligné le temps et les ressources considérables consacrés au nettoyage, avec seulement 4 % des personnes interrogées ne signalant aucune conséquence significative.
Résumé des attaques pertinentes en 2023
L'année a été marquée par des attaques paradigmatiques, notamment l'InfoStealer nocturne de PyTorch, l'incident CircleCI, l'attaque en plusieurs étapes 3CX, la violation de données MOVEit Transfer, la suspension temporelle de PyPI, la confusion manifeste NPM, l'attaque JumpCloud et la campagne VMConnect. Chaque incident a souligné la nature diversifiée et évolutive des attaques SSC.
L'évolution de Standards et règlements
Le cadre réglementaire du SSC est en construction. Avec des intensités très différentes selon les régions, il semble que les États-Unis disposent du cadre le plus mature, l'Union européenne étant à la traîne. La publication du Stratégie nationale de cybersécurité et la Feuille de route de sécurité des logiciels open source ont été les événements majeurs aux États-Unis. Dans l’UE, le Cyber Resilience Act a abouti à un accord politique, mais la plupart des organisations ont travaillé sur la directive NIS2 et le Digital Operational Resilience Act (DORA).
L'événement mondial le plus important a peut-être été le guide conjoint Changer l’équilibre des risques liés à la cybersécurité : principes et approches pour des logiciels sécurisés dès la conception dirigé par CISA et rejoint par de nombreuses autorités de cybersécurité à travers le monde.
Aperçu de 2024
Le rapport propose quelques prédictions : d'ici 2025, 45 % des organisations dans le monde seront confrontées à au moins une attaque SSC. Nous verrons des groupes criminels organisés se lancer dans la cybercriminalité, en tirant parti d’offres de cybercriminalité en tant que service plus matures. Les réglementations qui entreront en vigueur au cours de l'année amélioreront la transparence sur les incidents de sécurité, avec davantage de détails sur les attaques et les enseignements tirés. L’assurance cyber-risques montrera des limites et des dépassements. Et les progrès technologiques s'aligneront sur le sécurité dès la conception tendance, avec une charge plus lourde du côté des fabricants de logiciels.
La vague de l’IA a attiré de nombreux fournisseurs de sécurité en 2023 pour ajouter une « touche d’IA » à leurs produits. Néanmoins, l’IA est appelée à jouer un rôle crucial dans l’avenir du software supply chain security. L’IA jouera un rôle accru dans des domaines tels que le renseignement sur les menaces et l’évaluation des risques, la détection des anomalies dans les référentiels de code, l’évaluation et la priorisation des vulnérabilités, et phishing attaque détection, mais principalement dans la remédiation intelligente et l'automatisation de la révision du code.
Mais les mauvais acteurs ont commencé à transformer l’IA en arme, et nous verrons de nouvelles techniques comme la reconnaissance basée sur l’IA, les lances très convaincantes. phishing, des outils d'IA de jailbreak ou des services de résolution de CAPTCHA.
Conclusion
Alors que Xygeni s'apprête à dévoiler son rapport complet sur l'état de software supply chain security en 2023, les défis et les menaces auxquels l’industrie est confrontée sont évidents. La chaîne d’approvisionnement en logiciels, autrefois considérée comme un processus en coulisses, est devenue une cible privilégiée pour les cyber-adversaires. La réponse de l'industrie à ces défis façonnera la trajectoire de la sécurité logicielle dans les années à venir. Restez à l'écoute du rapport complet pendant que nous approfondissons les détails et fournissons des informations qui peuvent vous aider à naviguer dans le paysage complexe de software supply chain security.
