Palo Alto Networks dévoile sa nouvelle solution Prisma Cloud Supply Chain Security, qui aide les entreprises à faire face aux menaces pesant sur la chaîne d’approvisionnement logicielle

mars 2022 par Patrick LEBRETON

Modélisation et visibilité des menaces, scan de code et analyse de configuration des pipelines sont autant de fonctionnalités permettant la priorisation des vulnérabilités

Face à la multiplication des attaques visant la chaîne d’approvisionnement des logiciels, Palo Alto Networks (NASDAQ : PANW) annonce aujourd’hui Prisma® Cloud Supply Chain Security. Cette nouvelle solution offre une vue complète des vulnérabilités et erreurs de configuration, et de leur emplacement dans la chaîne d’approvisionnement logicielle, permettant ainsi aux entreprises de remonter rapidement à la source pour y remédier. De fait, en l’absence d’un correctif rapide, la plupart des failles de sécurité, lorsqu’elles n’ont pas pu être éliminées dès la phase d’écriture du code, peuvent servir de porte d’entrée aux attaquants afin d’infiltrer les systèmes, semer des charges (payloads) malveillantes dans la chaîne logicielle de l’entreprise et accéder à des données sensibles.

D’après Gartner® : « D’ici 2025, 45 % des entreprises du monde auront été victimes d’une attaque de leur chaîne d’approvisionnement logicielle, soit trois fois plus qu’en 2021* ». Le rapport sur les menaces du cloud de l’unité 42 révélait en outre que les identifiants codés en dur constituaient un vecteur pour les mouvements latéraux et la compromission des chaînes d’intégration et de déploiement continus (CI/CD).

À l’heure actuelle, un grand nombre de solutions ne détectent les vulnérabilités et ne vérifient la configuration qu’au niveau des ressources accédées par le code ou dans le cloud. Prisma Cloud, la plateforme CNAPP (Cloud Native Application Protection Platform) la plus exhaustive du marché, s’impose déjà en leader de la sécurité cloud native. Sa fonctionnalité Supply Chain Security apporte non seulement la visibilité et la protection du cycle de vie complet mais également l’emplacement de la vulnérabilité au sein des couches d’une architecture cloud.

a solution Prisma Cloud Supply Chain Security contribue à une approche verticalement intégrée englobant l’ensemble du cycle de vie afin de sécuriser les composants interconnectés dont dépendent les applications cloud native. À l’intérieur du code, elle permet d’identifier les vulnérabilités et les erreurs de configuration, notamment les bibliothèques de logiciels en source ouverte, les fichiers d’infrastructure en tant que code (IaC) et les chaînes de livraison, tels que les configurations des logiciels de gestion des versions (VCS) et des chaînes d’intégration continue (CI). Elle comprend les fonctionnalités suivantes :

Auto discovery : les morceaux de code sont extraits et modélisés à l’aide des scanners Cloud Code Security existants.

Visualisation de graphes : inventaire simple et exhaustif des dépendances des applications clés et des éléments d’infrastructure afin de cerner les failles sur toute la surface d’attaque.

Correctif de code de la chaîne d’approvisionnement : les dépendances vulnérables ou les ressources IaC mal configurées peuvent être corrigées au moyen d’une seule requête (pull request) consolidée.

Scan du dépôt de code : identifier et corriger les vulnérabilités des bibliothèques de logiciel en source ouverte dans le code de l’application.

Règles de protection des branches : étendre l’approche « policy as code » pour renforcer les configurations des gestions de version (VCS) et CI/CD (via Checkov) afin d’empêcher toute tentative de falsification du code.

Grâce à ces fonctionnalités, les entreprises seront mieux à même d’évaluer la surface d’attaque de leurs chaînes de livraison et de l’ensemble des applications connectées et ressources d’infrastructure, et par là même être mieux préparées face aux attaques visant la chaîne d’approvisionnement logicielle. Mettre en œuvre Prisma Cloud Supply Chain Security dans le cadre d’une architecture Zero Trust est l’un des meilleurs moyens pour une organisation de prévenir les attaques de la chaîne d’approvisionnement logicielle.