Sécurité de la supply chain logicielle: après le SBOM voici le PBOM
OX Security a publié un framework ouvert pour l’analyse des tactiques, techniques et procédures utilisées lors des attaques contre la supply chain logicielle. Il s’agit concrètement d’une matrice qui se fonde sur le concept de PBOM (pipeline bill of materials).
La firme israélienne OX Security a dévoilé ce qu’elle qualifie de «premier et unique framework ouvert permettant de comprendre et d'évaluer les menaces qui pèsent sur la sécurité de l'ensemble de la chaîne d'approvisionnement en logiciels». Baptisé OSC&R (Open Software Supply Chain Attack Reference), ce cadre a été pensé pour fournir une terminologie et une structure communes afin de comprendre et d'analyser les tactiques, techniques et procédures (TTP) utilisées par les cyberpirates qui opèrent ce type d’attaques, est-il expliqué dans l'annonce d’OX Security.
«Sans une définition commune de la chaîne d'approvisionnement en logiciels, les stratégies de sécurité sont souvent cloisonnées», fait remarquer Neatsun Ziv, qui a été vice-président de la cybersécurité chez Check Point avant de fonder OX. Outre des anciens collaborateurs de Check Point, le consortium à l’origine du framework OSC&R se compose d’experts qui sont ou ont été responsables dans le domaine de la cybersécurité chez Microsoft, Google, GitLab ou encore Fortinet.
Le framework OSC&R se présente sous la forme d’une matrice divisée en neuf sections qui définissent la nomenclature du pipeline. Un concept résumé par l'acronyme PBOM (pipeline bill of materials), lit-on sur le site officiel dédié au framework. Un PBOM est similaire à un Software Bill of Materials (SBOM), mais la nomenclature se concentre sur le pipeline et les procédures plutôt que sur les éléments eux-mêmes.
Les neuf sections framework OSC&R se réfèrent par exemple à la sécurité des containers, des projets open source ou du cloud, de même qu’à la posture CI/CD. Ces sections s'articule avec l’autre axe, constitué de 12 tactiques, techniques et procédures (par exemple, la reconnaissance, l’accès initial, l’accès aux identifiants ou encore les mouvements latéraux. La matrice complète peut être consultée sur le site pbom.dev.
On le sait: la sécurisation de la supply chain logicielle est un enjeu crucial pour la cybersécurité des entreprises. De multiples initiatives sont nées dans ce domaine, dont l’Alpha-Omega Project, soutenu par Google et Microsoft.
