Нападники завжди шукали найслабшу ланку в ланцюзі, щоб прорвати оборону. Це не змінилося в сучасному високоцифрованому діловому світі, а також включає в себе ланцюг постачання галузі постачальників. Постачальники часто мають доступ до внутрішніх систем своїх клієнтів, і злом, здавалося б, незначних постачальників може означати для хакерських груп проникнення в мережу глобальної корпорації.
Атаки через ланцюг постачання програмного забезпечення ще більш поширені та мають ще драматичніші наслідки. Тож замість того, щоб атакувати напряму цільову компанію, кіберзлочинці націлюються на розповсюджувачів програмного забезпечення. Вони виявляють операторів з неадекватною практикою безпеки, щоб впровадити шкідливий код у надійний програмний компонент. З наступним оновленням вони досягли своєї мети: в мережі великої компанії.
Вибухові атаки на ланцюги поставок у 2023 році
Нещодавні інциденти ясно показали: у ході глобального прогресу в цифровізації атаки на ланцюги поставок набули нових вимірів і створили абсолютно нову відправну точку в кібербезпеці. Вони означають неприємне усвідомлення для компаній: найслабша ланка в ланцюжку часто знаходиться за межами їхніх структур безпеки, а отже, поза їхнім контролем. Компрометуючи одного постачальника, зловмисники можуть перетворити кожну продану програму чи оновлення програмного забезпечення на троянських коней. Великий постачальник послуг може несвідомо заразити тисячі компаній одним оновленням. Цей високий рівень ефективності зробив атаки на ланцюги поставок надзвичайно популярними серед кіберзлочинців. Загроза атак на ланцюги поставок становить значний ризик для сучасних компаній сьогодні, і фінансові збитки можуть бути величезними – від втрати виробництва до зусиль, необхідних для розслідування інциденту безпеки, втрат через репутаційні збитки до регуляторних штрафів.
Привабливі цілі
Одним із найжахливіших прикладів є атака на ланцюжок поставок у 2020 році на програмну компанію SolarWinds, яка вплинула на низку організацій, включаючи уряд США. Оскільки пропонована ІТ-система моніторингу широко використовується і, крім того, має привілейований доступ до ІТ-систем для отримання журналів і даних про продуктивність системи, це зробило SolarWinds привабливою мішенню для зловмисників.
Іншим серйозним випадком стала атака на ланцюжок поставок на постачальника ІТ-послуг Kaseya в липні 2021 року, під час якої програмне забезпечення-вимагач було нарешті розгорнуто через маніпульоване оновлення програмного забезпечення та вплинуло на близько 1.500 компаній у всьому світі. Однією з найвідоміших жертв у Європі стала мережа супермаркетів Coop-Sweden, якій довелося тимчасово закрити 800 своїх магазинів через збій постачальника платіжних послуг для їхніх касових систем.
Нещодавня кібератака на ланцюжок поставок Toyota у березні 2022 року, яка паралізувала третину світового виробництва компанії, продемонструвала, наскільки вразливим є ланцюжок поставок сучасних промислових компаній. Наприклад, японському автовиробнику довелося зупинити всі 28 виробничих ліній на своїх 14 вітчизняних заводах після того, як ключовий постачальник постраждав від збою ІТ-системи, спричиненого кібератакою.
Нульова довіра
Хоча атаки на ланцюжок постачання програмного забезпечення стають все більш витонченими, їх можна стримувати. Відмовлятися від оновлень не можна, але організації повинні усвідомлювати, що навіть найнадійніші постачальники не захищені від вторгнень і злому. Як наслідок, керівникам безпеки необхідно вийти за рамки традиційної оцінки ризиків постачальників. Принцип «нульової довіри» поширюється навіть на стандартне програмне забезпечення великих виробників. Кожна програма на кожному пристрої повинна постійно контролюватися як на рівні кінцевої точки, так і на рівні мережі. Це стає очевидним лише тоді, коли програма змінює свою звичну поведінку і, наприклад, шукає доступ до інших програм, надсилає дані через кордон мережі або перезавантажує файли з раніше невідомих джерел.
Щоб застосувати модель нульової довіри, компанії повинні забезпечити належне призначення та керування правами доступу. У багатьох організаціях співробітники, партнери та програмні додатки мають невиправдано високі привілеї, що полегшує здійснення атак на ланцюги поставок. Тому тут слід дотримуватися принципу найменших привілеїв, згідно з яким працівники та програмне забезпечення отримують лише ті повноваження, які їм дійсно необхідні для виконання своїх завдань. Більше немає карт-бланшу: кожен доступ до подальших ресурсів перевіряється.
Перевірені заходи
Перевірені засоби контролю доступу включають багатофакторну автентифікацію (MFA) і сегментацію мережі. Це перешкоджає сторонньому програмному забезпеченню мати безперешкодний доступ до кожного куточка мережі, будує стіни захисту від атак і, таким чином, обмежує успіх атак. Якщо атака на ланцюг постачань впливає на одну частину мережі, решта залишається захищеною.
Щоб оцінити відповідність і процеси постачальників програмного забезпечення, які вони використовують, компаніям також слід регулярно розсилати анкети безпеки. Йдеться про те, щоб вони дотримувалися найкращих практик, щоб запобігти будь-якому втручанню в код.
Компанії мають лише обмежені засоби для захисту від маніпуляційного оновлення законного програмного забезпечення. Завдяки підходу нульової довіри та ретельному контролю з боку аналітиків безпеки у формі служб Cyber Defense Center (CDC-as-a-Service) або технологічних рішень CDC, таких як Radar Solutions, атака швидко помічається, а наслідки напад стає локальним обмеженим. Майте на увазі: кіберзлочинність настільки ж прибуткова й успішна, доки ви це дозволяєте.
Більше на RadarCyberSecurity.com
Про Radar Cyber Security Radar Cyber Security керує одним із найбільших центрів кіберзахисту в Європі в центрі Відня на основі власної технології Cyber Detection Platform. Керуючись сильним поєднанням людських знань і досвіду в поєднанні з останніми технологічними розробками десятирічної науково-дослідної роботи, компанія поєднує комплексні рішення для завдань, пов’язаних із безпекою ІТ та ОТ, у своїх продуктах RADAR Services і RADAR Solutions.