Log4Shell または Solarwinds は、ソフトウェア サプライ チェーンを介した企業への攻撃の典型的な例です。 サイバー犯罪者が標的の企業に直接アクセスするのではなく、バックドア経由で攻撃するのが特徴です。 トレンドマイクロからのコメント。
最近のいくつかの攻撃 (特に Solarwinds や Log4Shell) を振り返ると、彼らがますます「オーバー ギャング」を行っていることに気付くでしょう。 これは、攻撃者が標的の企業を直接攻撃するのではなく、(ソフトウェア) サプライ チェーンを介して攻撃することを意味します。 侵害された Solarwinds の更新または Log4Shell のギャップを介して被害者が攻撃されるかどうか - どちらの場合も、ソフトウェア サプライ チェーンは感染の連鎖でもあります。
サプライチェーンの感染
これは、サプライチェーンの完全性の問題がますます爆発的になっていることを意味します。 これは主に次のことを意味します: サプライ チェーン内のすべてのサプライヤー/サービス プロバイダーを知っていますか? そして、直接的な依存関係だけでなく、一時的な依存関係も! 使用されているライブラリにギャップが生じた場合に、自社のソフトウェアが影響を受けるかどうかを直接判断できるように、サプライ チェーン全体が文書化されていますか? ライブラリを直接自分で使用するか、一時的な依存関係のいずれかを使用するためです。
「サプライ チェーンの整合性」は、特にセキュリティ インシデントの発生時に、急速に注目を集めます。 そのような場合、可能な限り迅速に被害を抑える努力がなされます。 環境によっては、(仮想) パッチ、ソフトウェア依存関係の更新、サービス プロバイダーとの SLA など、さまざまな技術的ソリューションもあります。 残念ながら、急性の痛みがなくなるとよくあることですが、最悪の事態が終わると、痛みへの関心はすぐに薄れます.
サプライチェーンを効率的に管理
サプライ チェーンの整合性は、技術的な「一時しのぎ」で常に迅速に対処する必要があるものではないことは誰にとっても明らかです。 むしろ、自社のサプライ チェーンの整合性を効率的に管理するのに役立つ適切なプロセス (および技術手順) を確立することが重要です。 これにより、通常、攻撃対象領域が小さくなり、少なくともデータベースが改善され、セキュリティ インシデントが発生した場合に手動で調査することが少なくなります。
残念ながら、ソフトウェア サプライ チェーンの整合性を維持するためのプロセスを確立することは、多くの場合面倒です。 特に、技術的な保護の側面だけでなく、人的および管理的な要素もあるからです。 また、技術的なITセキュリティに比べ、知識や専門スタッフが不足しています。
米国商務省からのヒント
の新しいバージョン NIST Special Publication SP800-161r1 (「システムと組織のためのサイバーセキュリティ サプライ チェーン リスク管理の実践」)。 これには、安全なソフトウェア サプライ チェーンの背景、貢献者、および実装に関する包括的な紹介が含まれています。 そこに記載されている手順とシナリオの例は、実装に関する優れた洞察を提供するだけでなく、安全なソフトウェア サプライ チェーンの利点についても説明します。
これにより、NIST の出版物は、ソフトウェア サプライ チェーンの完全性を改善しようとしている人にとって非常に価値のあるリソースになります。 そして、それは誰にとっても重要なはずです! 経験上、攻撃者は機能する攻撃モデルに注目しています。 そしてその証拠は、サプライ チェーンへの攻撃について確実に存在します。 したがって、サプライチェーンの保護と文書化に対処する必要があります-次回は手遅れだからです。 言い換えれば、防御で忙しすぎて、プロセスが役割を果たしていないということです。 そして、ジレンマが再び始まります。
詳しくは TrendMicro.com をご覧ください
トレンドマイクロについて トレンド マイクロは、IT セキュリティの世界有数のプロバイダーとして、デジタル データ交換のための安全な世界の構築を支援しています。 30 年以上にわたるセキュリティの専門知識、グローバルな脅威研究、および絶え間ない革新により、トレンドマイクロは企業、政府機関、および消費者に保護を提供します。 当社の XGen™ セキュリティ戦略のおかげで、当社のソリューションは、最先端の環境向けに最適化された防御技術の世代を超えた組み合わせの恩恵を受けています。 ネットワーク化された脅威情報により、より優れた迅速な保護が可能になります。 クラウド ワークロード、エンドポイント、電子メール、IIoT、およびネットワーク向けに最適化された当社のコネクテッド ソリューションは、企業全体にわたって一元化された可視性を提供し、より迅速な脅威の検出と対応を実現します。