Атаки на ланцюг поставок - ланцюг поставок - для програмного забезпечення (і апаратного забезпечення) з боку ІТ також загрожують малим і середнім компаніям. Оновлення служб і програмного забезпечення становлять дедалі небезпечнішу вразливість, особливо тому, що кіберзлочинці сподіваються, що викрадення оновлення поширить атаки на численні жертви.
Крім модернізації свого кіберзахисту, малий і середній бізнес також повинен переглянути свої ланцюги поставок для пошуку програмного забезпечення, апаратного забезпечення та оновлень.
На жаль, атаки на ланцюг поставок часто ефективні
Атака на ланцюжок постачання ІТ має на меті маніпулювати процесом виробництва стороннього програмного забезпечення від розробки до оновлення, щоб замість оновлення відтворювався шкідливий код. Цей ланцюжок поставок ІТ є вразливим, і кіберзлочинці все частіше атакують його. Тому що такі атаки ефективні для них: якщо вони атакують програмні пакети та платформи від постачальників програмного забезпечення та інформаційних систем, вони охоплюють декілька жертв одночасно. Для хакера немає сенсу атакувати одну компанію за іншою за допомогою комплексної атаки, коли, можливо, десятки тисяч компаній і організацій використовують широко поширену програму чи послугу і, таким чином, знаходяться в межах досяжності компаній. Атака на мережу поставок Solarwinds у грудні 2020 року торкнулася близько 18.000 300.000 із XNUMX XNUMX клієнтів Solarwinds у всьому світі. Окрім масової атаки, також можливі дуже цілеспрямовані атаки через ланцюг поставок.
Сцени нападу на ланцюг поставок
Порушеним клієнтам важко виявити зламаний ланцюг поставок. Таким чином, кіберзлочинці мають достатньо часу, щоб завдати шкоди - наприклад, викрадання даних, атак на системи або переривання процесів.
Ці атаки відрізняються від попередніх атак, спрямованих на окремих клієнтів, і становлять виклик навіть для експертів.Не дарма Агентство Європейського Союзу з кібербезпеки ENISA оцінює небезпеку навіть для компаній, чий ІТ-захист є правильним. позиціонується.
Атака може початися на кількох етапах ланцюга постачання для розробки, розгортання або оновлення програмного забезпечення. Компрометація ІТ постачальника не є атакою на ланцюг постачання. Це включає зміну джерел коду та написання сценаріїв.
Залежно від того, з якої ланки в ланцюжку постачання починає хакер, будуть відрізнятися навички, необхідні від нього, або варіанти захисту від маніпуляцій. Наступні фази в ланцюжку постачання можна виділити як початкові точки для атаки:
- Перший етап – програмування: Ці атаки порівняно легко виявити. Вони починають із цільових електронних листів, експлойтів і шкідливих веб-сайтів, щоб отримати доступ до програмного коду. На цьому етапі хакеру відносно легко змінити код. Але те, що вони змінили, видно в логах.
- Друга фаза – визначення версій: Зловмисники можуть здійснити атаку за допомогою протоколу віддаленого робочого столу (RDP) без зусиль. Їм допомагають слабкі паролі та експлойти програми. Вони також можуть відтворювати модифіковані версії у скороченій або відкладеній структурі, оскільки вони мають прямий доступ до вихідного коду та журналів і залишають мало слідів. Але змінений код свідчить про маніпуляції.
- Третій етап – впровадження (збірка): Саме тут він стає більш вимогливим до хакерів, але, на жаль, також і до захисту. Засоби старі, а зловмисники використовують RDP-атаки, слабкі паролі та експлойти в програмі. Але вам потрібно добре розуміти сценарії. Тому що необхідні модифікації окремих конструкцій вимагають багато часу і є складними. Змінений код можна приховати. Захист також мав би окремо перевірити послідовні версії сценарію, щоб виявити маніпуляції.
- Четвертий етап – підписання компонентів: Якщо зловмисник втрутиться зараз, йому не доведеться маніпулювати кодом. Він просто замінює справжній код шкідливим кодом. Але валідація в концепції ланцюга постачання відхилить це помилкове оновлення. Тому хакери повинні відповідати деяким мінімальним критеріям для легальних оновлень у своїх фейкових програмах.
- П'ятий етап - Доставка: Тут також зловмиснику залишається лише замінити компоненти. Але тоді шкідливі компоненти не мають підпису, і їх можна розпізнати за ним.
Як захистити себе малі та середні компанії?
Хоча атаки відбуваються в ланцюжку постачання постачальника оновлень, атаки також стосуються малих і середніх компаній. Щоб озброїтися проти шкоди нібито легального оновлення, вам слід вжити таких заходів:
1. Впроваджуйте комплексну кібербезпеку, яка включає виявлення та реагування кінцевих точок (EDR), але водночас бачить підозрілі підключення до даних і повідомляє про них завдяки аналізу загроз. Загальним симптомом успішної атаки на ланцюжок поставок є зв’язок зі зловмисним сервером керування. Компанії з обмеженими ІТ-ресурсами, зокрема, також повинні використовувати службу керованого виявлення та реагування (MDR), а отже, досвід і час аналітиків ІТ-безпеки. Лише завдяки комбінації EDR та MDR відповідальні бачать будь-які аномалії.
2. Не менш важливим є навчання співробітників щодо фішингу, щоб запобігти викраденню особистих даних у процесі ланцюга постачання.
3. Важливо знати процеси ланцюга поставок компанії та постійно їх перевіряти. Чи знає ІТ-менеджер, які оновлення програмного забезпечення чи служби він отримує від кого і коли? Яке апаратне забезпечення він отримує і як захистити себе від проникнення зловмисного програмного забезпечення через нього? Кожен офіцер служби безпеки повинен поставити своєму ІТ-постачальнику такі запитання:
- Чи процес розробки програмного/апаратного забезпечення постачальника задокументований, чи піддається відстеженню та перевірці?
- Чи усуває він відомі вразливості в дизайні та архітектурі продукту, захист під час виконання та перевірку коду?
- Як постачальник інформує клієнта про нові вразливості?
- Які можливості має постачальник для усунення вразливостей «нульового дня», тобто вразливостей, які присутні в програмному забезпеченні з самого початку і виявляються лише пізніше?
- Як постачальник керує та контролює процеси виробництва програмного забезпечення та оновлення?
- Що робить постачальник, щоб захистити свої оновлення від маніпуляцій і зловмисного програмного забезпечення?
- Який тип перевірки репутації проводиться щодо працівників постачальника та як часто?
- Наскільки безпечним є розгортання оновлень?
Якщо ви отримуєте оновлення програмного забезпечення, ви повинні бути впевнені, що ви не отримаєте зловмисне програмне забезпечення: зрештою, ви повинні самі заплатити за наслідки успішної атаки на ланцюг поставок. Обережність і продуманий вибір постачальників у зв'язку з комплексною ІТ-безпекою є найкращими помічниками проти типу атак, потенціал ризику яких далеко не вичерпаний.
Більше на Bitdefender.de
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de