Dans le cadre d’un effort continu visant à vous tenir informé de nos derniers travaux, cet article de blog résume quelques publications récentes du SEI dans les domaines de attaques de la chaîne d’approvisionnement, tests de pénétration, conception basée sur des modèles pour les systèmes cyber-physiques, Rouillerle interface de micrologiciel extensible unifiée (UEFI), DevSecOps, données de flux réseauet intelligence artificielle. Ces publications mettent en valeur les derniers travaux des technologues SEI dans ces domaines. Cet article comprend une liste de chaque publication, des auteurs et des liens vers lesquels ils peuvent être consultés sur le site Web de SEI.
Identifier et prévenir les prochains vents solaires
par Greg Touhill
Dans ce podcast SEI, Gregory J. Touhill, directeur de la division SEI CERT, discute avec la chercheuse principale Suzanne Miller de l’attaque de 2020 contre le logiciel Solar Winds et de la manière d’empêcher la répétition d’une autre attaque majeure contre des systèmes clés largement utilisés. Solar Winds est le nom d’une société qui a fourni des logiciels au gouvernement fédéral américain. Fin 2020, des informations ont fait état d’une cyberattaque déjà en cours depuis plusieurs mois et qui aurait compromis 250 agences gouvernementales, dont le Département du Trésor, le Département d’État et des laboratoires de recherche nucléaire. En plus de compromettre les données, l’attaque a entraîné des pertes financières de plus de 90 millions de dollars et a probablement été l’une des attaques modernes les plus dangereuses contre les logiciels, les entreprises basées sur des logiciels et les agences gouvernementales dans un passé récent. L’incident de SolarWinds a démontré les défis liés à la sécurisation des systèmes lorsqu’ils sont le produit de chaînes d’approvisionnement complexes. Dans ce podcast, Touhill aborde des sujets tels que la nécessité pour les systèmes d’être sécurisés dès la conception et sécurisés par défaut, l’importance de la transparence dans le reporting des vulnérabilités et des comportements anormaux du système, le cadre de sécurité des acquisitions CERT, la nécessité de sécuriser les données dans un large éventail de domaines. gamme d’appareils et de systèmes disparates, ainsi que de tactiques et de stratégies permettant aux individus et aux organisations de protéger leurs données et les systèmes dont ils dépendent quotidiennement.
Voir le podcast.
Un référentiel de résultats de tests d’intrusion
de Marisa Milder et Samantha Chaves
Dans ce podcast, Marisa Midler de la division SEI CERT et Samantha Chaves, respectivement ingénieure en cybersécurité et testeuse d’intrusion, discutent avec la chercheuse principale Suzanne Miller du référentiel open source de résultats de tests d’intrusion qu’elles ont créé. Le référentiel est une source d’informations sur Active Directory, le phishing, la technologie mobile, les systèmes et services, les applications Web, ainsi que les faiblesses de la technologie mobile et de la technologie sans fil qui pourraient être découvertes lors d’un test d’intrusion. Le référentiel est destiné à aider les évaluateurs à fournir des rapports aux organisations en utilisant un langage et des noms standardisés pour les résultats, et à faire gagner du temps aux évaluateurs lors de la génération des rapports en disposant de descriptions, de corrections standard et d’autres ressources disponibles dans le référentiel pour leur utilisation.
Le référentiel est actuellement un document open source hébergé sur le site Web GitHub de la Cybersecurity and Infrastructure Security Agency (CISA) à l’adresse https://github.com/cisagov/pen-testing-findings.
Voir le podcast.
Vous ne pouvez pas attendre que le retour sur investissement justifie la conception et l’analyse basées sur des modèles pour les ressources informatiques embarquées des systèmes cyberphysiques
de Alfred Schenker et Jérôme Hugues
Les avantages pratiques et pragmatiques de la création des premiers modèles architecturaux des ressources informatiques embarquées pour les systèmes cyber-physiques (CPS) ont été documentés et démontrés. Cependant, le taux d’adoption de cette pratique par la communauté des entrepreneurs a été lent. Empiriquement, nous avons observé un scepticisme quant à l’augmentation du coût de construction de ces modèles, car ils sont d’une valeur suffisante pour justifier leur dépense. Cet article explique les raisons pour lesquelles l’utilisation de méthodes traditionnelles, telles que le retour sur investissement (ROI), pour justifier l’augmentation des dépenses (liées à la construction et à la maintenance de ces modèles virtuels) est inadéquate. D’autres moyens de quantifier et de rationaliser les avantages sont discutés, mais en fin de compte, la décision d’adopter peut nécessiter un acte de foi.
Nous commençons par décrire l’espace problématique et les progrès dans la conception et la mise en œuvre des ressources informatiques embarquées pour CPS. Nous discutons du changement de processus proposé que nous recherchons : utiliser des méthodes basées sur des modèles pour réduire les risques d’intégration et de test. Nous discutons des effets potentiels de ce changement sur le CPS, ainsi que de nos réflexions sur le retour sur investissement et des problèmes qui peuvent survenir lors de l’utilisation du retour sur investissement. Enfin, nous recommandons comment les organisations peuvent aller de l’avant avec une approche basée sur un modèle en l’absence de données solides sur le retour sur investissement.
Lire le document de la conférence.
Sécuriser l’UEFI : une technologie de base pour l’informatique
par Vijay S. Sarvepalli
La plupart des ordinateurs modernes disposent d’un micrologiciel basé sur une norme connue sous le nom d’Unified Extensible Firmware Interface (UEFI). Un micrologiciel UEFI typique est composé de composants logiciels provenant de plusieurs fournisseurs, de code provenant de projets open source et de composants provenant d’un fabricant d’équipement d’origine, tel qu’un fabricant d’ordinateurs portables. Les composants logiciels sont principalement écrits dans des langages de programmation de bas niveau comme C qui facilitent l’accès direct au matériel et à la mémoire physique. Ces composants logiciels nécessitent un accès à privilèges élevés à l’unité centrale de traitement. Le modèle Chain of Trust de la norme UEFI est conçu pour permettre une vérification cryptographique sécurisée de ces composants, garantissant ainsi que seuls les logiciels fiables sont exécutés au début du cycle de démarrage. Mais une fois le cycle de démarrage terminé, l’UEFI fournit toujours une interface au système d’exploitation pour permettre les modifications de configuration ou les mises à jour logicielles du micrologiciel. Contrairement au système d’exploitation, le logiciel UEFI reste invisible pour la plupart d’entre nous, malgré son rôle essentiel dans le fonctionnement d’un système moderne. En raison de leur caractère critique et de leur invisibilité, les vulnérabilités des logiciels liés à l’UEFI attirent les attaquants et présentent des risques élevés pour la sécurité du système. Cet article met en lumière les efforts techniques visant à sécuriser le micrologiciel basé sur UEFI qui constitue l’élément fondamental des environnements informatiques modernes.
Lire le livre blanc.
Lisez l’article du blog SEI : UEFI : 5 recommandations pour sécuriser et restaurer la confiance.
Comprendre l’analyse des vulnérabilités dans le langage de programmation Rust
de David Svoboda et Garret Wassermann
Bien que les fonctionnalités de protection de la mémoire et de sécurité du langage de programmation Rust puissent être efficaces dans de nombreuses situations, le compilateur de Rust est très particulier sur ce qui constitue de bonnes pratiques de conception logicielle. Chaque fois que les hypothèses de conception ne correspondent pas aux données et hypothèses du monde réel, il existe un risque de vulnérabilités en matière de sécurité et de logiciels malveillants capables de tirer parti de ces vulnérabilités. Dans ce podcast, David Svoboda et Garret Wassermann, chercheurs de la division CERT du SEI, explorent les outils permettant de comprendre les vulnérabilités de Rust, que le code source d’origine soit disponible ou non. Ces outils sont importants pour comprendre les logiciels malveillants dont le code source est souvent indisponible, ainsi que pour commenter les directions possibles dans lesquelles les outils et l’analyse automatisée du code peuvent être améliorés.
Voir le podcast.
Les 5 principaux défis à relever au cours de votre parcours DevSecOps
par Hasan Yasar et Joseph D. Yankel
Historiquement, de nombreuses discussions en matière de sécurité logicielle se sont concentrées sur le niveau du projet, mettant l’accent sur l’analyse du code, les tests d’intrusion, les approches réactives pour la réponse aux incidents, etc. Aujourd’hui, la discussion s’est déplacée au niveau du programme pour s’aligner sur les objectifs commerciaux. Dans le cas idéal d’un tel changement, les équipes logicielles agiraient en accord avec les objectifs commerciaux, les risques organisationnels et l’architecture de la solution et comprendraient que les pratiques de sécurité font partie intégrante de la réussite de l’entreprise. Cependant, le passage d’une réflexion au niveau du projet à une réflexion au niveau du programme entraîne de nombreux défis. Dans cette webdiffusion, Hasan Yasar et Joe Yankel discutent des 5 principaux défis et obstacles à la mise en œuvre des pratiques DevSecOps et décrivent quelques solutions pour les surmonter.
Visionner la webdiffusion.
Lire l’article du blog SEI 5 défis liés à la mise en œuvre de DevSecOps et comment les surmonter.
Améliorer l’analyse à l’aide de données de flux réseau enrichies
par Timothy J. Shimeall et Katherine Prévost
Les suites d’outils classiques utilisées pour traiter les enregistrements de flux réseau traitent des détails très limités sur les connexions réseau qu’elles résument. Ces outils limitent les détails pour plusieurs raisons : (1) pour conserver des données de base à long terme, (2) pour se concentrer sur les champs de données indicatifs de sécurité et (3) pour prendre en charge la collecte de données sur des infrastructures vastes ou complexes. Cependant, une conséquence de ce niveau de détail limité est que les résultats d’analyse basés sur ces données fournissent des informations sur les indications de comportement plutôt que des informations identifiant avec précision un comportement avec un niveau de confiance élevé. Dans cette webdiffusion, Tim Shimeall et Katherine Prevost expliquent comment utiliser les données au format IPFIX avec des détails dérivés de l’inspection approfondie des paquets (DPI) pour fournir une confiance accrue dans l’identification des comportements.
Ce que les participants apprendront :
- compromis impliqués dans la collecte de différents niveaux de données réseau détaillées
- un exemple d’analyse montrant l’application du DPI dans l’identification des comportements de réseau
- la valeur de travailler dans des environnements d’analyse de données, en tirant parti de la puissance de ces environnements de traitement et de la disponibilité de fonctionnalités de langage et de bibliothèques qui facilitent l’analyse
Au cours de cette webdiffusion, Mike Mattarock, directeur technique de la mission et de l’engagement au sein de la division IA du SEI, discute de certains des principaux attributs de qualité guidant la conception et de la manière dont une architecture de nouvelle génération peut faciliter un état futur intégré.
Alors que l’intelligence artificielle imprègne les capacités critiques, il est primordial de concevoir des solutions modulaires pour garantir une évolution et une interopérabilité rapides. Au cours de cette webdiffusion, nous discutons de certains des principaux attributs de qualité guidant une telle conception et de la manière dont une architecture de nouvelle génération peut faciliter un état futur intégré.
Ce que les participants apprendront :
- défis actuels auxquels est confrontée l’ingénierie de l’IA
- approches pour promouvoir l’interopérabilité entre les solutions d’IA
- considérations pour faciliter la modularité et la réutilisation dans la conception
