World

L’attaque du ransomware Colonial Pipeline et le piratage de SolarWinds étaient presque inévitables – pourquoi la cyberdéfense nationale est un problème “ méchant ”

<img class="caas-img has-preview" alt=" Les unités militaires comme la 780e Brigade de renseignement militaire illustrées ici ne sont qu’un élément de la cyberdéfense nationale américaine. Bureau des affaires publiques de Fort George G. Meade / Flickr ” src=”https://s.yimg.com/ny/api/res/1.2/oTPC9ucY6I52AEHTdGvfJA–/YXBwaWQ9aGlnaGxhbmRlcjt3PTcwNTtoPTQ2OS4wMjA4MzMzMzMzMzMz/https://s.yimg.com/uu/api/res/1.2/z7q1_pSGDGpeSkT969SkYA–~B/aD05NTg7dz0xNDQwO2FwcGlkPXl0YWNoeW9u/https://media.zenfs.com/en/the_conversation_us_articles_815/1a8533ea5265c6492562cbbef83e8ee7″ data-src=”https://s.yimg.com/ny/api/res/1.2/oTPC9ucY6I52AEHTdGvfJA–/YXBwaWQ9aGlnaGxhbmRlcjt3PTcwNTtoPTQ2OS4wMjA4MzMzMzMzMzMz/https://s.yimg.com/uu/api/res/1.2/z7q1_pSGDGpeSkT969SkYA–~B/aD05NTg7dz0xNDQwO2FwcGlkPXl0YWNoeW9u/https://media.zenfs.com/en/the_conversation_us_articles_815/1a8533ea5265c6492562cbbef83e8ee7″/>

À emporter:

· Il n’existe pas de answer easy pour renforcer les cyberdéfenses nationales américaines.

· Les chaînes d’approvisionnement de logiciels et les entreprises d’infrastructure du secteur privé sont vulnérables aux pirates.

· De nombreuses entreprises américaines sous-traitent le développement de logiciels en raison d’une pénurie de skills, et une partie de cette sous-traitance va à des entreprises d’Europe de l’Est qui sont vulnérables aux brokers russes.

· La cyberdéfense nationale américaine est divisée entre le ministère de la Défense et le ministère de la Sécurité intérieure, ce qui laisse des lacunes dans l’autorité.

le attaque de ransomware sur Colonial Pipeline le 7 mai 2021, illustre les énormes défis auxquels les États-Unis sont confrontés pour renforcer leurs cyberdéfenses. La société privée, qui contrôle une composante importante de l’infrastructure énergétique américaine et fournit près de la moitié des carburants liquides de la côte Est, était vulnérable à un sort de cyberattaque bien trop courant. Le FBI a attribué l’attaque à un Gang de cybercriminalité russe. Il serait difficile pour le gouvernement d’imposer une meilleure sécurité aux entreprises privées, et le gouvernement est incapable de fournir cette sécurité au secteur privé.

De même, le Piratage de SolarWinds, l’une des cyber-attaques les plus dévastatrices de l’histoire, qui a été découverte en décembre 2020, a révélé des vulnérabilités dans les chaînes d’approvisionnement mondiales de logiciels qui affectent les systèmes informatiques du gouvernement et du secteur privé. C’était un violation majeure de la sécurité nationale qui a révélé des lacunes dans les cyberdéfenses américaines.

Ces lacunes comprennent la sécurité inadéquate d’un grand producteur de logiciels, une autorité fragmentée pour le soutien du gouvernement au secteur privé, des frontières floues entre le crime organisé et l’espionnage worldwide, et un manque nationwide de compétences en logiciels et en cybersécurité. Aucune de ces lacunes n’est facilement comblée, mais la portée et l’influence de l’attaque SolarWinds montrent à quel level le contrôle de ces lacunes est essentiel pour la sécurité nationale des États-Unis.

Une clôture à mailles de chaîne surmontée de fil de fer barbelé au premier plan, de grands tuyaux et vannes en face d'un grand réservoir de stockage blanc étiqueté Colonial Pipeline Co

Une clôture à mailles de chaîne surmontée de fil de fer barbelé au premier plan, de grands tuyaux et vannes en face d’un grand réservoir de stockage blanc étiqueté Colonial Pipeline Co

le Violation de SolarWinds, probablement réalisée par un groupe affilié au service de sécurité russe FSB, a compromis la chaîne d’approvisionnement de développement logiciel utilisée par SolarWinds pour mettre à jour 18 000 utilisateurs de son produit de gestion de réseau Orion. SolarWinds vend des logiciels que les organisations utilisent pour gérer leurs réseaux informatiques. Le piratage, qui aurait commencé au début de 2020, n’a été découvert qu’en décembre lorsque la société de cybersécurité FireEye révélé qu’il avait été touché par le malware. Plus inquiétant, cela peut avoir été partie d’une attaque plus large sur les objectifs gouvernementaux et commerciaux aux États-Unis

L’administration Biden est préparer un décret qui devrait remédier à ces vulnérabilités de la chaîne logistique logicielle. Cependant, ces changements, aussi importants soient-ils, n’auraient probablement pas empêché l’attaque SolarWinds. Et pour empêcher les attaques de ransomwares telles que l’attaque du Colonial Pipeline, il faudrait que les providers de renseignement et les forces de l’ordre américains infiltrent tous les groupes cybercriminels organisés en Europe de l’Est.

Chaînes d’approvisionnement, sécurité bâclée et pénurie de skills

La vulnérabilité de la chaîne d’approvisionnement des logiciels – les ensembles de composants logiciels et de providers de développement de logiciels que les entreprises utilisent pour créer des produits logiciels – est un problème bien connu dans le domaine de la sécurité. En réponse à un 2017 ordre exécutif, une rapport d’un groupe de travail interinstitutions dirigé par le ministère de la Défense a identifié «un niveau surprenant de dépendance à l’étranger», des défis de main-d’œuvre et des capacités critiques telles que la fabrication de circuits imprimés que les entreprises délocalisent à la recherche de prix compétitifs. Tous ces facteurs sont entrés en jeu dans l’attaque de SolarWinds.

SolarWinds, porté par sa stratégie de croissance et prévoit de spin off son activité de fournisseur de services gérés en 2021, porte une grande partie de la responsabilité pour les dommages, selon les consultants en cybersécurité. Je pense que l’entreprise s’est mise en hazard en externalisation de son développement logiciel en Europe de l’Est, y compris un entreprise en Biélorussie. On sait que les brokers russes utilisent des sociétés d’anciens pays satellites soviétiques pour insérer des logiciels malveillants dans les chaînes d’approvisionnement de logiciels. La Russie a utilisé cette method dans le 2017 Attaque NotPetya qui coûtent aux entreprises mondiales plus de 10 milliards de {dollars} américains.

SolarWinds aussi n’a pas pratiqué l’hygiène de base en matière de cybersécurité, selon un chercheur en cybersécurité.

Vinoth Kumar a rapporté que le le mot de passe automobile le serveur de développement de la société de logiciels était prétendument «solarwinds123», une violation flagrante des normes fondamentales de cybersécurité. La gestion bâclée des mots de passe de SolarWinds est ironique à la lumière de la answer de gestion des mots de passe de l’année prix que l’entreprise a reçu en 2019 pour son produit Passportal.

Dans un article de blog, la société a admis que «les attaquants ont pu contourner les strategies de détection des menaces employées à la fois par SolarWinds, d’autres entreprises privées et le gouvernement fédéral.»

La plus grande query est de savoir pourquoi SolarWinds, une société américaine, a dû se tourner vers des fournisseurs étrangers pour le développement de logiciels. Un ministère de la Défense rapport sur les chaînes d’approvisionnement caractérise le manque d’ingénieurs en logiciel comme une crise, en partie parce que le pipeline de formation ne fournit pas suffisamment d’ingénieurs en logiciel pour répondre à la demande dans les secteurs industrial et de la défense.

Il y a aussi une pénurie de talent en cybersécurité aux États-Unis, les ingénieurs, les développeurs de logiciels et les ingénieurs réseau sont parmi les compétences les plus nécessaires aux États-Unis, et le manque d’ingénieurs en logiciel qui se concentrent sur la sécurité des logiciels en particulier est criant.

Autorité fragmentée

Bien que je dirais que SolarWinds a beaucoup à répondre, il n’aurait pas dû avoir à se défendre seul contre une cyberattaque orchestrée par l’État. le Stratégie cybernétique nationale 2018 décrit remark la sécurité de la chaîne d’approvisionnement devrait fonctionner. Le gouvernement détermine la sécurité des entrepreneurs fédéraux comme SolarWinds en examinant leurs stratégies de gestion des risques, en s’assurant qu’ils sont informés des menaces et des vulnérabilités et en répondant aux incidents sur leurs systèmes.

Cependant, cette stratégie officielle a réparti ces responsabilités entre le Pentagone pour les systèmes de défense et de renseignement et le Département de la sécurité intérieure pour les agences civiles, poursuivant une approche fragmentée de la sécurité de l’info qui a commencé à l’ère Reagan. L’exécution de la stratégie repose sur les DOD Cyber ​​Command américain et DHS Agence de cybersécurité et de sécurité des infrastructures. DOD stratégie est de «défendre en avant»: c’est-à-dire de perturber la cyberactivité malveillante à sa supply, qui s’est avérée efficace dans le avant les élections de mi-mandat de 2018. La Cyber ​​and Infrastructure Safety Company, créée en 2018, est chargée de fournir des informations sur les menaces secteurs des infrastructures critiques.

Aucune des deux agences ne semble avoir émis d’avertissement ou tenté d’atténuer l’attaque sur SolarWinds. La réponse du gouvernement n’est venue qu’après l’attaque. La Cyber ​​and Infrastructure Safety Company a publié alertes et conseils, et un Groupe de coordination cyber unifié a été créé pour faciliter la coordination entre les agences fédérales.

Ces actions tactiques, bien qu’utiles, n’étaient qu’une answer partielle au problème stratégique plus vaste. La fragmentation des autorités pour la cyberdéfense nationale évidente dans le piratage de SolarWinds est une faiblesse stratégique qui complique la cybersécurité pour le gouvernement et le secteur privé et invite à davantage d’attaques sur la chaîne d’approvisionnement des logiciels.

Un mauvais problème

La cyberdéfense nationale est un exemple de «problème méchant», Un problème politique qui n’a pas de answer claire ni de mesure de succès. le Commission du solarium du cyberespace identifié de nombreuses insuffisances des cyberdéfenses nationales américaines. Dans son rapport 2020, la fee a noté qu ‘«il n’y a toujours pas d’unité d’effort claire ou de théorie de la victoire qui information l’approche du gouvernement fédéral en matière de safety et de sécurisation du cyberespace.»

Bon nombre des facteurs qui rendent difficile l’élaboration d’une cyberdéfense nationale centralisée échappent au contrôle direct du gouvernement. Par exemple, les forces économiques poussent les entreprises technologiques à mettre rapidement leurs produits sur le marché, ce qui peut les amener à prendre des raccourcis qui compromettent la sécurité. Une législation dans le sens de la Loi Gramm-Leach-Bliley adopté en 1999 pourrait aider à répondre au besoin de rapidité dans le développement de logiciels. La loi imposait des exigences de sécurité aux establishments financières. Mais les sociétés de développement de logiciels sont susceptibles de s’opposer à une réglementation et à une surveillance supplémentaires.

L’administration Biden semble prendre le défi au sérieux. Le président a nommé un directeur national de la cybersécurité coordonner les efforts gouvernementaux connexes. Il reste à voir si et remark l’administration abordera le problème des autorités fragmentées et clarifiera remark le gouvernement protégera les entreprises qui fournissent des infrastructures numériques essentielles. Il est déraisonnable de s’attendre à ce qu’une entreprise américaine soit succesful de se défendre contre la cyberattaque d’un pays étranger.

Pas en avant

En attendant, les développeurs de logiciels peuvent appliquer le approche de développement logiciel sécurisé préconisé par l’Institut nationwide des normes et de la technologie. Le gouvernement et l’industrie peuvent donner la priorité au développement d’une intelligence artificielle succesful d’identifier les logiciels malveillants dans les systèmes existants. Cependant, tout cela prend du temps et les pirates se déplacent rapidement.

Enfin, les entreprises doivent évaluer de manière agressive leurs vulnérabilités, notamment en s’engageant davantage.équipe rouge»Activités: c’est-à-dire que des employés, des sous-traitants ou les deux jouent le rôle de hackers et attaquent l’entreprise.

Reconnaître que les pirates au service des adversaires étrangers sont dévoués, consciencieux et contraints par toutes les règles est vital pour anticiper leurs prochaines actions et renforcer et améliorer les cyberdéfenses nationales américaines. Sinon, Colonial Pipeline ne sera probablement pas la dernière victime d’une attaque majeure contre l’infrastructure américaine et SolarWinds ne sera probablement pas la dernière victime d’une attaque majeure contre la chaîne d’approvisionnement de logiciels aux États-Unis.

Ceci est une model mise à jour d’un article initialement publié le 9 février 2021.

[Deep knowledge, daily. Sign up for The Conversation’s newsletter.]

Cet article est republié à partir de La conversation, un website d’actualités à however non lucratif dédié au partage d’idées d’consultants universitaires. C’était écrit par: Terry Thompson, Université Johns Hopkins.

Lire la suite:

Terry Thompson ne travaille pas, ne consulte pas, ne détient pas d’actions ou ne reçoit de financement d’aucune entreprise ou organisation qui bénéficierait de cet article, et n’a divulgué aucune affiliation pertinente au-delà de sa nomination universitaire.

Related Articles

Back to top button
Close

Help Journalism! Disable Adblocker!

Please Disable AdBlocker. We're Group of Individuals who are working to provide important information, News, Updates, Tips etc. Please help us by disabling Adblocker on our Website. AS THIS IS ONLY POSSIBLE WAY TO RUNNING THIS WEBSITE.