Ataki na łańcuchy dostaw: Dlaczego firmy muszą zabezpieczać nie tylko siebie, ale i swoich partnerów?

Atak na łańcuch dostaw odnosi się do sytuacji, gdy ktoś korzysta z usług zewnętrznego dostawcy lub partnera, który ma dostęp do Twoich danych i systemów, aby zinfiltrować Twoją infrastrukturę cyfrową. Ponieważ strona zewnętrzna uzyskała prawa do korzystania z obszarów Twojej sieci, Twoich aplikacji lub poufnych danych i manipulowania nimi, atakujący musi jedynie minąć zabezpieczenia strony trzeciej lub zaprogramować lukę w rozwiązaniu oferowanym przez dostawcę, aby zinfiltrować Twój system.

Ataki na łańcuchy dostaw są zróżnicowane, dotykają dużych firm, jak w przypadku naruszenia bezpieczeństwa Target, i zazwyczaj niezawodnych systemów, jak w przypadku, gdy złośliwe oprogramowanie bankomatów jest używane do kradzieży gotówki. Ataki tego typu były również wykorzystywane przeciwko rządom, jak w przypadku robaka komputerowego Stuxnet, który został zaprojektowany w celu infiltracji irańskich obiektów nuklearnych.

Źródła ataków na łańcuch dostaw

Do najczęstszych źródeł ataków na łańcuchy dostaw zalicza się oprogramowanie komercyjne, łańcuchy dostaw o otwartym kodzie źródłowym i produkty zagraniczne.

Produkty oprogramowania komercyjnego

Ponieważ setki, a nawet tysiące firm mogą korzystać z tego samego dostawcy oprogramowania i rozwiązań, jeśli atakujący z łańcucha dostaw zdoła włamać się do systemu firmy zajmującej się oprogramowaniem lub naruszyć integralność jej produktu, może uzyskać dostęp do ogromnej liczby celów.

Jeśli hakerzy są w stanie zainstalować złośliwy kod w oprogramowaniu, które firmy kupują, na przykład, nie muszą przechodzić przez trud włamywania się do systemu firmy. Hakerzy mogą również próbować uzyskać dostęp do narzędzi penetracyjnych, które dostawcy zabezpieczeń oprogramowania udostępniają swoim klientom, i używać ich do uzyskania przyczółka w ich sieci.

Jednym ze sposobów, w jaki atakujący byli w stanie naruszyć oprogramowanie, jest użycie ataków kompilatora. Kompilator tłumaczy kod napisany w jednym języku na inny język programowania. W ataku kompilatora kompilator jest używany do wstawiania złośliwego kodu do tłumaczenia, które generuje.

Łańcuchy dostaw typu open source

Dzięki rozwiązaniom oprogramowania typu open source każdy może przyczynić się do rozwoju programu. Korzystając z tego bezpłatnego dostępu, hakerzy zaprogramowali luki w zabezpieczeniach rozwiązań typu open source, umożliwiając im tworzenie luk w zabezpieczeniach lub umieszczanie złośliwego kodu dla firm korzystających z wyprodukowanego oprogramowania.

Mimo że inni członkowie społeczności programistycznej mogą zobaczyć i ocenić rozwiązania opracowane przez przestępców, mogą nie wiedzieć, czego szukać, co umożliwia hakerom wprowadzenie szeregu luk w zabezpieczeniach.

Zagrożenia pochodzące z zagranicy

W krajach takich jak Chiny, gdzie rząd może sprawować szczegółową kontrolę nad tym, co produkują prywatne firmy, produkty programistyczne mogą zawierać złośliwy kod, którego dołączenia przez producenta zażądał rząd.

Włączenie tych zagrożeń nie musi być sankcjonowane przez rząd. Złośliwi aktorzy mogą infiltrować firmy i przemycać swój kod do legalnych produktów. Gdy są one kupowane przez inne kraje, hakerzy po drugiej stronie granicy mogą mieć mogą uzyskać dostęp do wrażliwych danych i systemów informatycznych.

Jak działają ataki na łańcuchy dostaw?

Aby atak na łańcuch dostaw był skuteczny, hakerzy muszą wstawić złośliwy kod do oprogramowania lub znaleźć sposoby na naruszenie protokołów sieciowych lub komponentów. Gdy odkryją okazję do włamania, wykorzystują ją, uzyskując dostęp do kluczowych zasobów cyfrowych.

Fakt, że wiele produktów, które są zagrożone, pochodzi od zaufanych dostawców, ułatwia atakującym łańcuch dostaw penetrację systemów ich celów. Mogą to zrobić za pomocą aplikacji lub jednej z jej aktualizacji, które, ironicznie rzecz biorąc, są często zaprojektowane w celu zamykania luk w zabezpieczeniach.

Rodzaje ataków na łańcuch dostaw

Istnieje kilka rodzajów ataków na łańcuch dostaw, z których wszystkie obejmują tworzenie lub wykorzystywanie luk w zabezpieczeniach rozwiązań, którym ufają firmy. Obejmują one:

• Skradzione certyfikaty. Jeśli haker ukradnie certyfikat służący do poręczenia legalności lub bezpieczeństwa produktu firmy, może rozpowszechniać złośliwy kod pod przykrywką certyfikatu tej firmy.
• Zagrożone narzędzia lub infrastruktura do tworzenia oprogramowania. Hakerzy wykorzystują narzędzia do tworzenia aplikacji oprogramowania, aby wprowadzać luki w zabezpieczeniach w procesie tworzenia — jeszcze zanim proces zostanie użyty do utworzenia aplikacji.
• Malware preinstalowane na urządzeniach. Hakerzy umieszczają malware na telefonach, dyskach USB (Universal Serial Bus), aparatach i innych urządzeniach mobilnych, a gdy cel podłączy je do swojego systemu lub sieci, wprowadzany jest złośliwy kod.
• Kod zawarty w oprogramowaniu sprzętowym komponentów. Sprzęt cyfrowy jest kontrolowany przez oprogramowanie sprzętowe, które pomaga mu działać płynnie i łączyć się z użytkownikami i innymi systemami. Hakerzy mogą umieszczać złośliwy kod w oprogramowaniu sprzętowym, aby uzyskać dostęp do systemu lub sieci.

Przykłady ataków na łańcuch dostaw

Ataki hakerów na łańcuchy dostaw ostatnio doprowadziły do kilku głośnych incydentów. W każdym z poniższych przykładów ataków na łańcuchy dostaw systemy lub oprogramowanie zaufanych dostawców zostały naruszone.

Zamieszanie związane z zależnościami, 2021 rok

Badacz ds. bezpieczeństwa był w stanie złamać zabezpieczenia Microsoft, Uber, Apple i Tesli. Badacz, Alex Birsan, wykorzystał zależności, których aplikacje używają do świadczenia usług użytkownikom końcowym. Dzięki tym zależnościom Birsan był w stanie przesyłać fałszywe, ale nieszkodliwe pakiety danych do użytkowników o wysokiej renomie.

Podcast Mimecast, 2021 rok

W ataku Mimecast hakerzy byli w stanie naruszyć certyfikat bezpieczeństwa, który uwierzytelnia usługi Mimecast w Microsoft 365 Exchange Web Services. Podczas gdy tylko stosunkowo niewielu zostało dotkniętych, około 10% klientów Mimecast korzysta z aplikacji, które opierają się na certyfikacie, który został naruszony.

SolarWinds, 2020 rok

Atak SolarWinds został zorganizowany poprzez wstrzyknięcie backdoora, znanego jako SUNBURST, do narzędzia aktualizacji Orion IT. Backdoor został pobrany przez 18 000 klientów.

ASUS, 2018 rok

Atak na ASUS, według badaczy Symantec, wykorzystał funkcję aktualizacji i wpłynął na 500 000 systemów. W ataku automatyczna aktualizacja została wykorzystana do wprowadzenia złośliwego oprogramowania do systemów użytkowników.

Atak na bibliotekę event-stream, 2018 rok

W ataku typu event-stream repozytorium w systemie GitHub zostało zainfekowane złośliwym oprogramowaniem. Nieznana liczba aplikacji uzyskała dostęp do zależności w repozytorium zawierającym złośliwe oprogramowanie. Chociaż GitHub nie jest sam w sobie rozwiązaniem open source, hostuje wiele projektów tego typu.

Najlepsze praktyki w walce z atakami łańcuchowymi

Aby walczyć z atakami na łańcuch dostaw, przedsiębiorstwa mogą stosować szereg technik – od rozwiązywania problemów z ogólną infrastrukturą cyberbezpieczeństwa po zabezpieczanie punktów końcowych przed infiltracją.

1. Przeprowadź audyt niezatwierdzonej infrastruktury informatycznej typu shadow

W przypadku shadow IT usługi wykorzystywane przez pracowników nie są nadzorowane przez dział IT. Mogą one obejmować oprogramowanie zabezpieczające, narzędzia komunikacyjne i wiele innych. Audyt tych usług może ujawnić luki, które hakerzy łańcucha dostaw mogą wykorzystać.

2. Wprowadź aktualny i skuteczny spis zasobów oprogramowania

Każdy zasób oprogramowania, niezależnie od tego, jak bardzo jest przydatny, wprowadza potencjalną lukę. Dzięki zaktualizowanemu spisowi całego oprogramowania używanego przez Twoją firmę możesz lepiej śledzić, które aplikacje, aktualizacje i uaktualnienia mogą stwarzać problemy z bezpieczeństwem. Możesz również zawęzić liczbę potencjalnych wektorów ataku, kategoryzując swoje rozwiązania według tego, jak są bezpieczne.

3. Oceń postawę bezpieczeństwa dostawcy

Jeśli upewnisz się, że każdy dostawca dostarcza pełny opis swoich środków bezpieczeństwa, możesz uzyskać pojęcie o tym, jak bezpieczne są ich produkty. Możesz również zlecić specjaliście ds. cyberbezpieczeństwa zbadanie informacji dostarczanych przez dostawców, aby sprawdzić, czy to, co mają, jest wystarczające.

4. Traktuj weryfikację ryzyka dostawcy jako proces ciągły

Dostawca może być bezpieczny w Q1, ale źródłem ataku w Q2. Oceniaj ryzyko, jakie przedstawia każdy dostawca, stale, okresowo weryfikując bezpieczeństwo każdego z nich.

5. Używaj narzędzi ochrony po stronie klienta

W modelu klient-serwer użytkownicy pobierają dane dostarczone przez serwer. Dzięki narzędziom ochrony po stronie klienta, takich jak skuteczne antywirusy możesz filtrować pobrane treści, wyszukując i zatrzymując złośliwy kod, zanim zostanie zainstalowany na komputerze w Twojej sieci.

6. Używaj narzędzi do wykrywania i reagowania na punkty końcowe

Cyberataki na łańcuchy dostaw często wykorzystują niewystarczająco zabezpieczone punkty końcowe. Dzięki systemowi wykrywania i reagowania na punkty końcowe (EDR) wiele typów ataków na łańcuchy dostaw można zatrzymać, ponieważ sam punkt końcowy jest chroniony przed infekcją. W rezultacie punkt końcowy nie może być używany do rozprzestrzeniania ataku na inne obszary sieci.

7. Wdróż silne zasady integralności kodu, aby zezwolić na uruchamianie wyłącznie autoryzowanych aplikacji

Zasady zależności kodu składają się z reguł, które określają, czy aplikacja może zostać uruchomiona. Jeśli kod aplikacji podniesie czerwoną flagę, system ją zablokuje. Utrzymywanie ścisłego zestawu zasad zależności kodu może ograniczyć liczbę ataków na łańcuch dostaw, na które natknie się Twoja firma.

W niektórych przypadkach ustawienie ścisłych reguł może spowodować oznaczenie legalnych aplikacji, ale zawsze lepiej dmuchać na zimne. Poświęć trochę więcej czasu na zbadanie oznaczonych aplikacji.

8. Utrzymuj wysoce bezpieczną infrastrukturę kompilacji i aktualizacji

Aby zapewnić bezpieczeństwo kompilacji i aktualizacji systemu, należy wdrożyć system regularnej instalacji poprawek bezpieczeństwa dla systemów operacyjnych i oprogramowania, z którego korzystasz. Należy również upewnić się, że w systemie można uruchamiać tylko zaufane narzędzia. Wymagaj uwierzytelniania wieloskładnikowego (MFA) dla administratorów.

9. Twórz bezpieczne aktualizacje oprogramowania jako część cyklu życia oprogramowania

Aby mieć pewność, że bezpieczne narzędzia do aktualizacji staną się kluczowym elementem cyklu życia Twojej firmy, możesz:

• Wprowadzić obowiązek szyfrowania SSL (Secure Sockets Layer).
• Wymagać, aby wszystko było podpisane podpisem cyfrowym, w tym skrypty, pliki, pakiety i pliki XML (Extensible Markup Language).
• Nie pozwalać oprogramowaniu na akceptowanie ogólnych, niepodpisanych danych wejściowych lub poleceń.

10. Opracuj proces reagowania na incydenty

Proces reagowania na incydenty powinien być systematyczny i obejmować uczciwe i przejrzyste rozpowszechnianie informacji. Obejmuje to informowanie wewnętrznych interesariuszy i klientów — w odpowiednim czasie — o tym, kiedy coś się wydarzyło, a także o przyczynie i krokach podjętych w celu złagodzenia problemu.

Pamiętaj także o tym, aby zadbać o bezpieczeństwo swojej organizacji za pomocą skutecznego systemu antywirusowego. Jeśli chcesz poznać możliwości produktów z linii Bitdefender GravityZone, to sprawdź tę stronę.