Кількість атак на ланцюг постачання зростає: хто під прицілом та як протистояти

Ланцюг постачання складається з багатьох процесів — від доставки сировини до виробництва, розподілу та виходу готового продукту для споживачів. Однак налагодженість цих взаємопов’язаних дій можна порушити не лише фізичним пошкодженням продукту, але й втручанням у кібербезпеку ланцюга постачання, наприклад, через інфікування роутера або програмного забезпечення.

Нещодавно компанія FireEye стала жертвою кібератаки, під час якої зловмисники встановили оновлення зі шкідливим кодом у продукт для управління мережею під назвою Orion від SolarWinds. Бекдор SUNBURST був впроваджений в Orion до того, як код був наданий FireEye. Таким чином споживачі отримали пошкоджений кінцевий продукт.

У цьому випадку шкідливе оновлення через механізм Orion встановили близько 18 000 комерційних та державних організацій. Принаймні на 100 з них були спрямовані наступні атаки, під час яких кіберзлочинці додавали додаткові компоненти та глибше проникали в мережі компаній.

Додавання бекдора в програмне забезпечення компаній для атак на ланцюг постачання. ESET.

Саме тому атаки на ланцюг постачання несуть величезні збитки, оскільки зламавши тільки одного постачальника, зловмисники можуть в кінцевому підсумку отримати безперешкодний доступ до великих клієнтських баз, який складно виявити.

Найгучніші атаки на ланцюг постачання

Інцидент з SolarWinds нагадав і про інші атаки такого типу, зокрема злам CCleaner у 2017 та 2018 роках, а також кібератаки з використанням NotPetya (також відомого як Diskcoder.C). А ще у 2013 році Target стала жертвою зламу, пов'язаного з викраденням облікових даних стороннього постачальника HVAC. Цей інцидент вперше привернув увагу до атак на ланцюг постачання.

Тільки за останні місяці дослідники ESET виявили декілька прикладів подібних атак — від групи Lazarus, яка використовує додаткову програму з безпеки для поширення шкідливого коду, до операцій SignSight для зламу центру сертифікації та NightScout з метою інфікування емулятора Android.

Атаки на ланцюг постачання загрожують роботі компаній

Поступово рамки між апаратним та програмним забезпеченням стають більш розмитими. Велика частина складного механізму в готовому коді вже зроблена та знаходиться у відкритому або принаймні широкому доступі. Інженери лише завантажують його, пишуть код, який пов'язує все воєдино, та відправляють готовий продукт. Все працює за умови відсутності пошкодження коду десь в процесі.

Не можна бути впевненим, що кожна ланка у будь-якому ланцюгу постачання захищена від несанкціонованого доступу. В свою чергу зловмисники можуть скористатися цим та додати в програмне забезпечення бекдори для використання у подальших атаках.

Це перетворилося на глобальну гонитву, яка супроводжується зростанням ринку кіберзлочинності. У разі виявлення серйозної помилки у програмному забезпеченні постає питання продати інформацію зловмисникам за чималу суму чи повідомити виробнику та отримати символічну подяку. У таких умовах вибір здається очевидним, що становить ще більшу загрозу ланцюгам постачання.

Для будь-якої компанії повністю контролювати ланцюг постачання та гарантувати його безпеку неможливо. Однак спеціалісти ESET підготували рекомендації, дотримання яких допоможе мінімізувати ризики стати жертвою атак на ланцюг постачання.

Продукти ESET допоможуть контролювати ланцюг постачання відсікаючи атаки кіберзлочинців.
  1. Знайте особливості свого програмного забезпечення — ведіть інвентаризацію усіх готових інструментів з відкритим вихідним кодом, які використовуються у вашій організації.
  2. Слідкуйте за відомими уразливостями та своєчасно застосовуйте виправлення — атаки з використанням шкідливих оновлень не є приводом відмовлятися від оновлення програмного забезпечення.
  3. Відмовтеся від непотрібних або застарілих систем, сервісів та протоколів.
  4. Оцініть ризики своїх постачальників, вивчивши їх власні процеси безпеки.
  5. Встановіть вимоги безпеки для постачальників програмного забезпечення.
  6. Пропонуйте здійснювати регулярні аудити коду та цікавтеся перевірками безпеки та змінами компонентів коду.
  7. Застосовуйте інструменти для управління доступом та двофакторну аутентифікацію для захисту процесів розробки програмного забезпечення.
  8. Використовуйте рішення з безпеки з кількома рівнями захисту.

Опублікував: ESET 0 коментар(ів)

Додайте коментар

(Для зворотнього зв’язку)