Атаки на цепочку поставок: когда доверие рушится, попытайтесь надеяться?

Кибербезопасность зависит от самого слабого звена, и в цепочке поставок это может быть практически где угодно. Могут возникнуть большие вопросы: «Что именно и где самое слабое звено?» и «Это то, что вы контролируете и действительно можете решить»?

Цепочка поставок состоит из всего, что находится между сырьем и конечным продуктом, включая поставщика сырья, производственные процессы, распространение и, наконец, потребителя. Если вы рассмотрите бутылку минеральной воды, любое вредоносное загрязнение, попадающее на пути к потребителю, ставит под угрозу всю цепочку поставок.

 

Хорошо отравленный

Кибербезопасность ничем не отличается — зараженный набор микросхем, помещенный в такое устройство, как маршрутизатор, потенциально заражает конечный продукт, создавая проблему для потребителя. В программном обеспечении вы также можете получить «сценарий зараженного компонента», как тот, в котором поставщик средств безопасности FireEye оказался после недавнего взлома. Когда компания обнаружила, что она стала жертвой кибератаки, более глубокое расследование показало, что злоумышленник вставил обновление с вредоносным ПО в продукт управления сетью под названием Orion, созданный одним из поставщиков программного обеспечения компании, SolarWinds.

Бэкдор, который FireEye назвал SUNBURST и который ESET определяет как MSIL/SunBurst.A, был имплантирован в Orion до того, как код был предоставлен FireEye, таким образом создав зараженный конечный продукт для потребителя. В данном случае «потребителем» были около 18 000 коммерческих и государственных организаций, которые установили испорченное обновление через механизм обновлений Orion, тем самым став конечными жертвами атаки. По крайней мере 100 из них были целями для последующих взломов, когда злоумышленники добавляли дополнительные полезные данные и глубже проникали в сети компаний.

И в этом кроется огромный потенциал ущерба от атак на цепочку поставок — взломав только одного поставщика, злоумышленники могут в конечном итоге получить беспрепятственный и трудно обнаруживаемый доступ к широким слоям их клиентской базы.

 

Предупреждение получено

Это своего рода переломный момент для кибербезопасности — инцидент с SolarWinds вызвал отголоски более ранних атак подобного рода, включая взлом CCleaner в 2017 и 2018 годах и атаки с использованием NotPetya (также известного как Diskcoder.C), замаскированного под программы-вымогатели, которые распространялись через обновление законного пакета налогового учета под названием MEDoc. А еще в 2013 году Target стала жертвой взлома, связанного с кражей учетных данных стороннего поставщика HVAC; действительно, именно эта атака привлекла внимание к атакам на цепочки поставок.

Перенесемся в недавнее прошлое, исследователи ESET обнаружили несколько примеров подобных атак только за последние пару месяцев — от группы Lazarus, использующей взломанные надстройки безопасности, до Operation Stealthy Trident, атакующей сильно регионализированное программное обеспечение чата для предприятий, до Operation SignSight, используемой для взлома центра сертификации, до Operation NightScout, взломанному эмулятору Android.

Хотя нападения различались по методологии и шаблонам атак, они были очень специфичны для целевой аудитории. Атаки были индивидуализированы для южнокорейской, монгольской или вьетнамской аудитории. В этом есть определенный смысл, представляющий собой своего рода рифф о целевых маркетинговых усилиях, которые, как правило, более эффективны, чем широкие, но очень дорогостоящий подход «spray and pray». Целевые атаки зависят от мотивов, которые движут той или иной кампанией.

 

Проблемы с цепочкой поставок могут разрушить вашу жизнь

Цепочки поставок — это цифровая «клейкая лента», которая связывает воедино нашу электронную жизнь. Они содержат роботов, которые собирают и программируют миллиарды устройств, на которые мы сейчас полагаемся.

Автоматизация имеет смысл: роботы справляются с этим лучше, чем вы или я. Но что происходит, когда роботы становятся мошенниками?

Раньше между аппаратным и программным обеспечением существовала жесткая грань,  теперь это размытое пятно. От микрочипов и ядер системы на кристалле (SoC) до кода Xylinx FPGA, производители и интеграторы как бы «смешивают» кучу базовой логики и вставляют ее в микросхему, которая припаивается к плате. Большая часть тяжелой работы в готовом коде уже сделана и имеет открытый исходный код или, по крайней мере, широко доступна. Инженеры просто загружают его и пишут код «клея», который связывает все воедино, и отправляют готовый продукт. Отлично работает. Если только код не поврежден где-то по ходу дела. С рудиментарными инструментальными цепочками, которые все еще используют варианты древних последовательных протоколов для доступа (это на самом деле так) и других полностью незащищенных протоколов, цифровые махинации созрели для выбора.

И в последнее время кто-то выбирал их все чаще — и яростно.

Трудно быть уверенным, что каждое звено в любой цепочке поставок защищено от несанкционированного доступа. От поддельных чипов, встроенных в сеть для отслеживания сетевого трафика, до испорченного кода SoC, все это гораздо менее вероятно, чем буйные роботы. Внедрение доступных через интернет бэкдоров для будущего использования — одна из приоритетных задач потенциальных злоумышленников, и они готовы пойти на все, чтобы это осуществить.

Это превратилось в глобальную гонку, сопровождающуюся разрастанием рынка. Включите серьезную программную ошибку, и вы получите футболку и награду; продайте его субъекту угрозы национального государства, и вы можете внести первоначальный взнос на свой остров. В таких условиях трудно представить, что цепочка поставок находится вне подозрений. На самом деле мы наблюдаем прямо противоположное.

 

Содержание колодца в чистоте

Возможность для любой компании полностью контролировать свою цепочку поставок и гарантировать, что никакие сырые компоненты, которые включены в ее собственные продукты или услуги, не были загрязнены или эксплуатировались на пути к конечному потребителю, вероятно, близка к нулю. Минимизация риска атаки на цепочку поставок включает в себя бесконечный цикл управления рисками и соблюдение требований; во взломе SolarWinds тщательная проверка продукта стороннего поставщика после атаки выявила уязвимость, скрытую глубоко в коде.

 

Вот 10 общих рекомендаций по снижению рисков, связанных с уязвимыми цепочками поставок программного обеспечения:

  1. Знайте свое программное обеспечение — ведите инвентаризацию всех готовых инструментов с открытым исходным кодом и проприетарных инструментов, используемых в вашей организации.
  2. Следите за известными уязвимостями и применяйте исправления; действительно, атаки с использованием испорченных обновлений ни в коем случае не должны препятствовать обновлению программного обеспечения.
  3. Будьте внимательны к нарушениям, затрагивающим сторонних поставщиков программного обеспечения.
  4. Откажитесь от избыточных или устаревших систем, сервисов и протоколов.
  5. Оцените риски своих поставщиков, изучив их собственные процессы безопасности.
  6. Установите требования безопасности для поставщиков программного обеспечения.
  7. Запрашивайте регулярные аудиты кода и узнавайте о проверках безопасности и процедурах контроля изменений для компонентов кода.
  8. Узнайте о тестах на проникновение для выявления потенциальных опасностей.
  9. Запрашивайте средства управления доступом и двухфакторную аутентификацию (2FA) для защиты процессов разработки программного обеспечения и построения конвейеров.
  10. Запускайте программное обеспечение безопасности с несколькими уровнями защиты.

Организации необходимо иметь представление обо всех своих поставщиках и поставляемых ими компонентах, в том числе о политиках и процедурах, применяемых в компании. Недостаточно иметь юридические контракты, которые распределяют вину или возлагают ответственность на поставщика, когда на карту поставлена репутация вашей собственной компании; в конце концов, ответственность лежит на компании, у которой потребитель приобрел товар или услугу.

 

Оригинал материала 

2 мая, 2021