Le cadre de sécurité de la chaîne d’approvisionnement OSC&R est mis en ligne sur Github

Les bailleurs de fonds du cadre Open Software Supply Chain Attack Reference (OSC&R) pour la sécurité de la chaîne d’approvisionnement ont été mis en ligne sur Github, permettant à quiconque de contribuer au modèle.

Le cadre de type MITRE ATT&CK a été lancé en février dans le but déclaré d’aider les équipes de sécurité à améliorer leur compréhension des menaces de la chaîne d’approvisionnement logicielle, à les évaluer et à les maîtriser.

Dirigé par Ox Security, un spécialiste de la chaîne d’approvisionnement basé en Israël, les bailleurs de fonds du projet incluent David Cross, ancien responsable de la sécurité cloud de Microsoft et Google ; Neatsun Ziv, co-fondateur et PDG d’Ox Security ; Lior Arzi, co-fondateur et CPO chez Ox Security ; Hiroki Suezawa, ingénieur senior en sécurité chez GitLab ; Eyal Paz, responsable de la recherche chez Ox Security ; Chenxi Wang, ancien membre du conseil d’administration mondial de l’OWASP ; Shai Sivan, RSSI chez Kaltura ; Naor Penso, responsable de la sécurité des produits chez FICO ; et Roy Feintuch, ancien directeur technique du cloud chez Check Point.

“Après avoir lancé OSC&R, nous avons été submergés de courriels de personnes travaillant sur des éléments au sein d’OSC&R et souhaitant contribuer”, a déclaré Neatsun Ziv, qui a été vice-président de la cybersécurité de Check Point avant de fonder Ox.

“En passant à Github et en ouvrant le projet aux contributions, nous espérons capturer ces connaissances et cette expérience collectives au profit de l’ensemble de la communauté de la sécurité.”

Dans le même temps, la sécurité des produits Visa Dineshwar Sahni a également rejoint le consortium, tandis que l’ancien directeur de la NSA Mike Rogers, qui a dirigé l’agence de renseignement américaine de 2014 à 2018, a apporté son soutien au projet.

« La cybersécurité est un jeu du chat et de la souris », a déclaré Rogers. “Pour prendre le dessus, il faut construire un bon modèle de menace et OSC&R permet aux organisations d’identifier les exigences de sécurité, d’identifier les menaces de sécurité et les vulnérabilités potentielles, de quantifier la criticité des menaces et des vulnérabilités et de hiérarchiser les méthodes de remédiation.”

Sahni a ajouté : « Dans un épisode de Star Trek, alors qu’il travaillait sur les vulnérabilités de l’Enterprise par rapport à l’acteur menaçant, M. Spock a déclaré : « Des faits insuffisants invitent toujours au danger, capitaine ! ». Il en va certainement de même dans le domaine de la cybersécurité, où le manque d’informations accroît la vulnérabilité. En augmentant les connaissances de la communauté, OSC&R détient un énorme potentiel pour atténuer les dangers pour la chaîne d’approvisionnement logicielle et réduire la surface d’attaque plus largement.

Les bailleurs de fonds du framework pensent que leur projet s’avérera extrêmement précieux pour les entreprises qui cherchent à développer leurs programmes de sécurité de la chaîne d’approvisionnement logicielle. Entre autres choses, il peut aider à évaluer les défenses existantes, à définir des critères de hiérarchisation des menaces et à suivre les comportements des groupes d’attaquants.

La nécessité pour les organisations de donner la priorité à la résilience de leurs chaînes d’approvisionnement en logiciels a été soulignée à plusieurs reprises au cours des dernières années, l’incident le plus percutant étant sans doute l’incident SolarWinds de 2020/1, qui a commencé lorsque des acteurs de la menace russes ont compromis le réseau Orion de l’entreprise. plate-forme de gestion et a injecté des logiciels malveillants de porte dérobée qui ont ensuite été expédiés aux clients sous forme de mise à jour « entachée ».

L’histoire se répète encore aujourd’hui, comme le prouve un incident encore en développement au sein de la société de communication unifiée 3CX, qui a commencé lorsqu’une mise à jour de produit a été livrée avec un problème de sécurité exploité par un acteur menaçant ayant des liens avec le régime nord-coréen.