Log4Shell або Solarwinds є типовими прикладами атак на компанії через ланцюг постачання програмного забезпечення. Характерно, що кіберзлочинці не отримують прямого доступу до цільової компанії, а атакують через чорний хід. Коментар від Trend Micro.
Якщо ви озирнетеся на деякі нещодавні атаки (зокрема, Solarwinds або Log4Shell), ви помітите, що вони грають все більше і більше "за банди". Це означає, що зловмисники більше не атакують цільові компанії безпосередньо, а через їхній (програмний) ланцюг постачання. Незалежно від того, чи атакують жертви через скомпрометовані оновлення Solarwinds чи прогалини в Log4Shell, в обох випадках ланцюг постачання програмного забезпечення також є ланцюгом зараження.
Інфекції ланцюга поставок
Це означає, що питання цілісності ланцюга постачання стає все більш вибухонебезпечним. Це насамперед означає: чи знаю я всіх постачальників/постачальників послуг у моєму ланцюжку поставок? І не тільки прямі, а й тимчасові залежності! Чи весь ланцюжок постачання задокументовано таким чином, щоб у разі прогалини у використовуваних бібліотеках ви могли прямо сказати, чи це стосується вашого програмного забезпечення? Будь то через те, що ви безпосередньо використовуєте бібліотеку, або одну з тимчасових залежностей.
«Цілісність ланцюга постачання» швидко стає у центрі уваги, особливо під час інцидентів безпеки. У таких випадках докладають зусиль, щоб якомога швидше обмежити шкоду. Залежно від середовища для цього також існують різні технічні рішення: (віртуальні) патчі, оновлення програмних залежностей, SLA з постачальниками послуг і багато іншого. На жаль, як це часто буває, коли гострий біль зникає, інтерес до нього швидко зникає, коли найгірше минає.
Ефективно керуйте ланцюгом поставок
Усім має бути зрозуміло, що цілісність ланцюга постачання – це не те, що потрібно швидко вирішувати за допомогою технічного «пластиру». Радше мова йде про встановлення відповідних процесів (а також технічних процедур), які допоможуть вам ефективно керувати цілісністю власного ланцюжка поставок. Це зазвичай призводить до меншої поверхні атаки та принаймні кращої бази даних, яка зменшує ручне розслідування у випадку інциденту безпеки.
На жаль, налагодження процесів для підтримки цілісності ланцюжка поставок програмного забезпечення часто буває виснажливим. Тим паче, що йдеться не лише про технічні аспекти захисту, а й про людську та адміністративну складові. Крім того, у порівнянні з технічною безпекою ІТ, знань і спеціалістів бракує.
Поради Міністерства торгівлі США
Нова версія Спеціальна публікація NIST SP800-161r1 («Практика управління ризиками ланцюга постачання кібербезпеки для систем і організацій»). Це містить вичерпну інформацію про історію, учасників і реалізацію безпечних ланцюжків постачання програмного забезпечення. Процедури та приклади сценаріїв, задокументовані в ньому, дають чудове уявлення про впровадження, а також про переваги безпечних ланцюжків постачання програмного забезпечення.
Це робить публікацію NIST дуже цінним ресурсом для тих, хто хоче покращити цілісність свого ланцюга постачання програмного забезпечення. І це має бути важливо для кожного! Досвід показує, що зловмисники зосереджуються на моделях атак, які працюють. І ці докази точно є для атак на ланцюги поставок. Тому зараз варто зайнятися захистом та документацією ланцюжка поставок – бо наступного разу для цього вже пізно. Іншими словами, людина настільки зайнята захистом, що процеси все одно не відіграють ролі. І тому дилема починається спочатку.
Більше на TrendMicro.com
Про Trend Micro Як один із провідних світових постачальників ІТ-безпеки, Trend Micro допомагає створити безпечний світ для обміну цифровими даними. Завдяки більш ніж 30-річному досвіду в галузі безпеки, глобальним дослідженням загроз і постійним інноваціям Trend Micro пропонує захист для компаній, державних установ і споживачів. Завдяки нашій стратегії безпеки XGen™ наші рішення отримують переваги від поєднання методів захисту між поколіннями, оптимізованих для передових середовищ. Інформація про мережеві загрози забезпечує кращий і швидший захист. Оптимізовані для хмарних робочих навантажень, кінцевих точок, електронної пошти, Інтернету речей і мереж, наші підключені рішення забезпечують централізовану видимість у всьому підприємстві для швидшого виявлення загроз і реагування.