Palo Alto Networks a annoncé l'ajout, à sa plateforme de protection des applications natives du cloud (Cloud Native Application Protection Platform, CNAPP) Prisma Cloud, d'un module de sécurité pour l'intégration continue et la livraison continue (CI/CD). Ce module, le onzième ajouté par le fournisseur à la plateforme Prisma Cloud, résulte de l'intégration des technologies de sécurité des applications (AppSec) de l’entreprise Cider Security, acquise en décembre 2022. « Cette intégration vise à sécuriser l'environnement CI/CD et à protéger contre les vulnérabilités open-source grâce à l'analyse de la composition des logiciels, en optimisant la sécurité et la prévention des risques tout au long du pipeline de livraison des logiciels », a déclaré le fournisseur. « Les capacités du module couvrent la visibilité, le contrôle, la gestion des risques et la détection des failles », a ajouté le fournisseur. Ce lancement intervient après de nouvelles directives de l'Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA) et de l'Agence nationale de sécurité (National Security Agency, NSA) sur la sécurisation du pipeline CI/CD. Selon une récente étude d'Aqua Security, plus d'un tiers (36,9 %) des entreprises britanniques estiment qu'une sécurité inadéquate de la chaîne d'approvisionnement des logiciels représente le plus grand risque de sécurité pour leur activité cloud, soit une augmentation de 18,6 % par rapport à une étude similaire réalisée l'année précédente.
Des cibles d'attaque attrayantes pour les acteurs malveillants
Le processus de développement CI/CD utilisé pour construire et tester les changements de code aide les entreprises à maintenir une base de code cohérente pour leurs applications tout en intégrant les changements de code. Du fait du rôle du cloud dans les initiatives de modernisation de l’IT, les pipelines CI/CD sont souvent mis en œuvre dans des environnements cloud commerciaux, et les entreprises utilisent régulièrement des outils et des services axés sur le CI/CD pour rationaliser le développement de logiciels et gérer l'infrastructure programmable des applications/clouds. C’est la raison pour laquelle les environnements CI/CD représentent des cibles attrayantes pour les acteurs malveillants qui cherchent à compromettre les informations en introduisant du code malveillant dans les applications CI/CD, en accédant à la propriété intellectuelle/aux secrets commerciaux, soit en volant du code, soit en provoquant des dénis de service contre les applications.
Meilleure visibilité sur l'écosystème d'ingénierie et informations du projet OWASP
« Le module de sécurité CI/CD de Prisma Cloud introduit un tableau de bord AppSec qui unifie la visibilité à travers l'écosystème d'ingénierie », a écrit Palo Alto dans un blog. Ce dashboard normalise les signaux des scanners de code pour fournir une vue centralisée sur les risques et sur les tendances afin de faciliter la surveillance des performances de sécurité par les équipes de développement. « Les équipes AppSec bénéficient d'une visibilité sur les dépôts de code, les contributeurs, les technologies utilisées et les pipelines connectés avec des risques de code spécifiques », a expliqué le fournisseur. « La nouvelle offre fournit également des conseils sur les vecteurs d'attaque et les meilleures pratiques pour les atténuer sur la base du projet OWASP Top 10 CI/CD Risks, un benchmark officiellement reconnu par l’industrie », a fait valoir Palo Alto. « Les entreprises peuvent bénéficier de ce projet à n'importe quel stade de leur parcours de sécurité CI/CD. Par exemple, les équipes peuvent utiliser les conseils du projet pour identifier les mauvaises configurations des systèmes de contrôle de version (Version Control Systems, VCS) et les pipelines CI/CD. Ces mauvaises configurations facilement peuvent conduire à la falsification du code, au vol d’identifiants et, en fin de compte, à une brèche dans le système d'exécution ».
Des graphiques pour identifier les voies de pénétration et d'attaque
« Le module donne accès à des visualisations graphiques dynamiques de l'écosystème d'ingénierie, facilitant l’identification des voies de pénétration et d'attaque potentielles, ce qui est essentiel pour fournir des alertes d’une grande fidélité aux équipes AppSec », a déclaré Pao Alto. « C'est capital pour protéger les pipelines de livraison contre les attaques sophistiquées actuelles. Par exemple, les mauvaises configurations multiplateformes dans les attaques dites Poisoned Pipeline Execution (PPE) ne peuvent être découvertes qu'avec une analyse basée sur le graphe, or, la sécurité CI/CD de Prisma Cloud est la première du genre à reposer sur un graphe d'application », a ajouté le fournisseur. « La seule façon d'empêcher un code non sécurisé d'atteindre la production est d'analyser chaque artefact de code, chaque dépendance, et de s'assurer que le pipeline de livraison est efficacement protégé », a déclaré pour sa part Daniel Krivelevich, directeur technique de la sécurité des applications de la plateforme Prisma Cloud chez Palo Alto Networks. « L'intégration de la technologie de Cider à Prisma Cloud renforce la capacité de la plateforme à sécuriser l'ensemble de l'écosystème d'ingénierie des entreprises, en s'assurant que seul le code souhaité est mis en production ».