Атака на цепочку поставок — это тип кибератаки, нацеленной на доверенного стороннего поставщика, который предлагает услуги или программное обеспечение, жизненно важные для цепочки поставок.
Атаки на цепочку поставок программного обеспечения внедряют вредоносный код в приложение, чтобы заразить всех пользователей приложения, в то время как атаки на цепочку поставок оборудования компрометируют физические компоненты с той же целью.
Исторически атаки на цепочку поставок относились к атакам на доверительные отношения, когда ненадежный поставщик в цепочке подвергается атаке с целью получить доступ к более крупным торговым партнерам. Именно это произошло во время атаки на Target в 2013 году, когда злоумышленник получил доступ к подрядчику HVAC, чтобы проникнуть в системы Target.
Однако сегодня большую озабоченность вызывает атака на цепочку поставок программного обеспечения. Цепочки поставок программного обеспечения особенно уязвимы, поскольку современное программное обеспечение не создается с нуля: оно включает в себя множество готовых компонентов, таких как сторонние API, открытый исходный код и проприетарный код от поставщиков программного обеспечения.
Сегодня средний программный проект имеет 203 зависимости. Если популярное приложение включает в себя одну скомпрометированную зависимость, КАЖДЫЙ БИЗНЕС, который загружает от поставщика, также скомпрометирован, поэтому число жертв может расти в геометрической прогрессии.
Кроме того, программное обеспечение используется повторно, поэтому уязвимость в одном приложении может существовать после жизненного цикла исходного программного обеспечения. Программное обеспечение, в котором отсутствует большое сообщество пользователей, особенно уязвимо, потому что большое сообщество с большей вероятностью обнаружит уязвимость быстрее, чем проект с небольшим количеством последователей.
Статистика атак на цепочку поставок
Ниже приведены некоторые статистические данные из исследования экспертов:
- 84% считают, что атаки на цепочки поставок программного обеспечения могут стать одной из самых серьезных киберугроз для организаций в течение следующих трех лет.
- Только 36% проверяли всех новых и существующих поставщиков в целях безопасности за последние 12 месяцев.
- 45% опрошенных организаций подверглись как минимум одной атаке на цепочку поставок программного обеспечения за последние 12 месяцев по сравнению с 32% в предыдущем году.
- 59% организаций, подвергшихся первой атаке на цепочку поставок программного обеспечения, не имели стратегии реагирования.
Типы атак на цепочку поставок
Атаки на цепочку поставок растут на 430%, потому что по мере того, как предприятия стали лучше защищать свою среду, злоумышленники обратились к более слабым целям, а также нашли более творческие способы сделать свои действия труднообнаружимыми и с большей вероятностью достичь желаемых целей.
Ниже приведены типы атак на цепочку поставок:
- Атаки вышестоящего сервера являются наиболее распространенными, при которых злоумышленник заражает систему, которая находится «вверх по течению» от пользователей, например, через вредоносное обновление, которое затем заражает всех пользователей «вниз по течению», которые загружают его. Именно это произошло с атакой на цепочку поставок SolarWinds.
- Атаки Midstream нацелены на промежуточные элементы, такие как инструменты разработки программного обеспечения.
- Атаки с путаницей зависимостей используют частные внутренние программные зависимости, регистрируя зависимость с тем же именем, но с более высоким номером версии в общедоступном репозитории. В этом случае ложная зависимость, скорее всего, будет включена в сборку программного обеспечения вместо правильной зависимости.
- Атаки с использованием украденных SSL-сертификатов и сертификатов с подписью кода ставят под угрозу закрытые ключи, используемые для аутентификации пользователей защищенных веб-сайтов и облачных сервисов. Stuxnet попадает в эту категорию.
- Атаки на инфраструктуру CI/CD внедряют вредоносное ПО в инфраструктуру автоматизации разработки, например, путем клонирования законных репозиториев GitHub.
- Атаки с открытым исходным кодом вводят код в сборки, которые распространяются вниз по течению к тем, кто использует сборку.
Примеры атак на цепочку поставок
Атака SolarWinds — это атака цепочки поставок, с которой все лучше всего знакомы. Это была сложная атака, в результате которой вредоносный код был внедрен в цикл сборки программного обеспечения и первоначально было заражено около 18000 клиентов, включая крупные фирмы и государственные учреждения, которые были защищены самыми надежными инструментами и услугами кибербезопасности, доступными на сегодняшний день.
Еще одна изощренная атака на цепочку поставок была нацелена на ASUS Live Utility, программную утилиту, которая предварительно устанавливается в системах ASUS и автоматически обновляет BIOS, UEFI, драйверы, приложения и другие компоненты компьютера. Известно, что более 57000 пользователей загрузили и установили скомпрометированную утилиту, хотя реальное число, вероятно, намного больше. Это была целенаправленная атака, нацеленная на группу пользователей с определенными MAC-адресами.
Популярный инструмент JavaScript с открытым исходным кодом стал целью атаки, направленной на операционные системы Linux и macOS. В атаке использовался метод под названием «брендджекинг», который обманом заставляет пользователей загружать вредоносный код.
Целевое программное обеспечение Browserify загружают более 1,3 миллиона пользователей каждую неделю, поэтому последствия его взлома могут быть огромными. В данном случае атака была выявлена и остановлена в течение суток с момента ее запуска. Однако есть много других атак этого типа, которые пропускаются. В 2020 году не менее 26 проектов с открытым исходным кодом подверглись атакам на цепочки поставок.
Сами компании, занимающиеся кибербезопасностью, становятся объектами атак на цепочки поставок. Например, популярный бесплатный инструмент очистки CC Cleaner был скомпрометирован с помощью бэкдора, который предоставил злоумышленникам доступ к миллионам компьютеров, на которых было установлено это программное обеспечение.
Хотя CC Cleaner был продуктом Avast, компании по обеспечению безопасности, на самом деле он был скомпрометирован до того, как Avast купила компанию, которая изначально его создала. Злоумышленники установили свои бэкдоры, а затем дождались завершения захвата, прежде чем он начал заражать загрузки. Исследователи считают, что это целевая атака, потому что хотя было выполнено 2,27 миллиона вредоносных загрузок, только 40 скомпрометированных систем подверглись атаке второго этапа.
Как предотвратить и обнаружить атаку на цепочку поставок?
Атаки на цепочку поставок все чаще становятся критической проблемой для бизнеса, влияющей на важные отношения с партнерами и поставщиками. Атаки на цепочку поставок трудно обнаружить. И только то, что программный продукт был проверен в прошлом, не означает, что сегодня программное обеспечение является безопасным.
Наряду с тщательной оценкой поставщиков, которых они используют, организациям необходимо снижать риски цепочки поставок, которые делают их уязвимыми для атак. Это требует использования эффективных технологий предотвращения, обнаружения и реагирования.
Ниже приведены некоторые рекомендации о том, как организации могут повысить безопасность своей цепочки поставок и не стать жертвой:
- Используйте решения, включающие обнаружение атак на основе поведения. Изощренный характер атак на цепочки поставок требует от организаций использования возможностей поведенческого анализа, например индикаторов атаки (IOA). Для снижения рисков, связанных с тем, что «хорошие программы становятся плохими», требуются такие технологии, как машинное обучение (МО), которые могут обнаруживать закономерности в сотнях, тысячах или даже миллионах атак в день — подвиг, который не может быть достигнут только человеческим пониманием.
- Опередите будущие атаки на цепочку поставок с помощью аналитики угроз: аналитика угроз сообщит вам, когда появятся новые атаки на цепочку поставок, и предоставит вам всю информацию, необходимую для понимания атаки и активной защиты от нее. Современный автоматизированный интегрированный инструмент для анализа угроз сочетает в себе анализ вредоносных программ, поиск вредоносных программ и аналитику угроз для предоставления контекстной информации, обеспечивающей прогнозируемую безопасность.
- Повысьте свою готовность с помощью упреждающих услуг: команда Mainton включает анализ цепочки поставок в свою оценку зрелости кибербезопасности, а также проводит учения с клиентами, где имитируют атаку на цепочку поставок. Это дает клиентам представление об их текущей уязвимости и дорожную карту для усиления защиты от атак на цепочку поставок и готовности к ним.
Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.