Когда дело доходит до кибербезопасности, мы говорим об атаках на цепочку поставок программного обеспечения, когда мы видим внедрение вредоносного кода от стороннего поставщика кода для причинения вреда объекту за пределами сети цифровой цепочки поставок. Это прекрасно иллюстрируется атаками Magecart на British Airways и Ticketmaster в прошлом году. Если копнуть глубже, то атаку на цепочку поставок можно охарактеризовать как преднамеренное злоумышленное действие (например, вставку, замену или модификацию), предпринимаемое для создания и использования уязвимости в информационных и коммуникационных технологиях (аппаратное обеспечение, программное обеспечение и т. д.). встроенное программное обеспечение) в любой точке цепочки поставок с основной целью нарушения или мониторинга миссии с использованием киберресурсов. При разработке программного обеспечения атака на цепочку поставок обычно включает внедрение вредоносного кода в зависимость от стороннего кода или интеграции службы. Интеграция внешних скриптов и использование зависимостей кода теперь являются обычной практикой в разработке программного обеспечения. Среди наиболее часто используемых элементов кода некоторые исходят от известных сторонних поставщиков, таких как Google, компаний, которых не следует ожидать от злоумышленников. Однако такие крупные компании часто используют сторонние скрипты от небольших компаний или отдельных разработчиков, системы безопасности которых оставляют желать лучшего. Большинство сторонних поставщиков кода не имеют систем безопасности корпоративного уровня, однако этот внешний код имеет те же разрешения, что и код, разрабатываемый компаниями внутри компании. Хакеры четко определили это самое слабое звено в цепочке поставок: возможность взламывать известные компании, даже не приближаясь к их серверам или их коду. Станьте свидетелем крупных атак, имевших место в прошлом году, в том числе атак Magecart на British Airways и Ticketmaster. Святой Грааль кибератак теперь включает в себя нацеливание на зависимости или сценарии, разработанные третьими сторонами и используемые тысячами компаний, что мы теперь называем атаками цепочки поставок. Общие цели атак Итак, каковы наиболее распространенные цели атак хакеров в цепочке поставок? Рассматривая недавние атаки на цепочки поставок, мы видим, что хакеры, безусловно, хотят получить несанкционированный доступ к информации: данным кредитной карты и учетным данным. Они также могут попытаться снизить целостность системы в целом (сделать ее неисправной), чтобы пользователи не доверяли информации или информационной системе; Конечный пользователь также может делать неожиданные вещи. Злоумышленники также могут попытаться снизить доступность системы или информации/ресурсов, т. е. сделать их недоступными по запросу пользователя. Они также, несомненно, попытаются использовать ресурсы в незаконных целях или по потенциально опасным причинам. Таким образом они могут нарушить конфиденциальность или доступность других ресурсов, которые полагаются на атакуемую информацию. По сравнению с традиционными кибератаками атаки на цепочки поставок предлагают злоумышленникам два основных преимущества. Во-первых, одна атака на цепочку поставок может быть нацелена на несколько предприятий. одновременно (поскольку многие компании используют одни и те же зависимости кода и внешние скрипты); как таковая, потенциальная отдача от инвестиций в атаку выше. Во-вторых, в отличие от обычных кибератак, атаки на цепочку поставок могут оставаться незамеченными для защиты периметра, потому что они часто внедряются через встроенное изменение системного компонента, который одобрен по умолчанию. затем утвержденный механизм передачи (например, обновление программного обеспечения) осуществляет атаку на цепочку поставок без обнаружения средствами защиты сети. (Изображение: © Изображение предоставлено Геральтом / Pixabay) Смягчение атак на цепочку поставок Существует несколько высокоуровневых методов киберустойчивости для смягчения последствий кибератак. Это включает в себя: Адаптивное реагирование — оптимизация способности организации быстро и надлежащим образом реагировать на неблагоприятные условия, стресс или атаку, тем самым максимизируя способность поддерживать операции миссии, смягчать последствия и избегать дестабилизации. Аналитический мониторинг: непрерывный и скоординированный сбор, объединение и анализ данных для выявления потенциальных уязвимостей, неблагоприятных условий, стресса, атак и повреждений. Скоординированная защита. Убедитесь, что отказ одного защитного барьера не подвергает опасности критически важные активы. Требовать, чтобы угрожающие события превышали несколько мер защиты (…). Обман: Обманывать, сбивать с толку или скрывать важные ресурсы от противника. Разнообразие: используйте неоднородность, чтобы свести к минимуму сбои общего режима, особенно атаки, использующие общие уязвимости. Избыточность: предоставьте несколько защищенных экземпляров критически важных ресурсов. Подтвержденная целостность — Обнаружение попыток злоумышленника предоставить скомпрометированные данные, программное или аппаратное обеспечение, а также успешные модификации или подделки — Непредсказуемость — Произвольное или непредсказуемое внесение изменений — Очень важно, чтобы специалисты по безопасности и ИТ-администраторы понимали, что ограничение атак на цепочку поставок требует глубокого подхода к безопасности. Необходимо понимать, что инвестирование ресурсов в периферийную защиту не является подходящим подходом. Статическое тестирование безопасности приложений (SAST) часто ошибочно считают подходящим подходом для предотвращения атак на цепочку поставок. Однако эти атаки используют слабые места и внедряют вредоносную логику в существующий код. Поскольку уязвимости нет, SAST ее не обнаруживает. Поскольку атаки на цепочку поставок часто осуществляются через очевидные изменения на стороне клиента, инвестиции в безопасность на стороне клиента становятся ключевым шагом в этом процессе. В современных условиях безопасности приложений нет надежного способа гарантировать, что разметка или вредоносный код не будут внедрены в корпоративные приложения. Лучшее, что вы можете сделать, — это получить представление об этих инъекциях и иметь возможность реагировать в режиме реального времени. Как мы видели в предыдущих атаках на цепочки поставок, масштаб атаки напрямую связан со временем, которое требуется компаниям для ее обнаружения и принятия мер. – А некоторые предыдущие атаки на цепочки поставок месяцами оставались незамеченными. Все дело в видимости и времени.
