Атаки на ланцюги постачання (Supply Chain Attacks) програмного забезпечення швидко перетворилися на одну з найпідступніших загроз кібербезпеці. Оскільки постачальники ПЗ, хмарних технологій, підрядники та інші треті сторони стають все більш взаємопов’язаними, вразливості, виявлені будь-де в цифровому ланцюзі постачання, можуть вплинути одразу на всіх суб’єктів.
Резонансні атаки на ланцюги постачання, як-от SolarWinds і Log4j, різко привернули увагу до цих ризиків. Стало зрозуміло, що традиційних практик кібербезпеки вже недостатньо для захисту організацій у сучасній складній взаємопов’язаній бізнес-екосистемі. Щоб іти на крок попереду ризиків і не допустити масштабної кризи в цьому питанні, потрібні нові проактивні стратегії та технології.
Суть атак на ланцюги постачання ПЗ
Ланцюг постачання ПЗ охоплює всіх зовнішніх вендорів, бібліотеки з відкритим кодом, SaaS, провайдерів інфраструктури та інших третіх сторін, які створюють і постачають технологію, якою користується організація, що дозволяє їй отримувати найкращі рішення без зайвих зусиль.
Однак цей взаємозв’язок також створює ризики для безпеки. Вразливості будь-де в ланцюзі постачання: чи то у вихідному коді вендора, чи в ІТ-інфраструктурі – потенційно можуть бути використані для компрометації клієнтів, що користуються цим рішенням. Зловмисники все частіше націлюються на ланцюг постачання для початку проникнення в добре захищені організації.
Види атак на ланцюги постачання
Атаки на інфраструктуру
Вони націлені на IT-інфраструктуру, що лежить в основі постачання ПЗ, наприклад системи постачальника хмарних технологій або програмного забезпечення. Чутливі дані, конфігурації, ключі або облікові дані, що зберігаються в цій скомпрометованій інфраструктурі, можуть бути перехоплені та використані для проникнення в середовища клієнтів.
Яскравими прикладами є атаки SolarWinds і Codecov. Тоді зловмисний код було таємно впроваджено в оновлення ПЗ, що поширювалися з середовищ розробки вендорів. Microsoft приписує кампанію SolarWinds російським зловмисним хакерам, які зламали ІТ-інфраструктуру ключового федерального постачальника інформаційних технологій для отримання доступу до даних клієнтів.
Атаки на залежності
Додатки та служби покладаються на бібліотеки коду та модулі від комерційних постачальників і загальнодоступних репозиторіїв, як-от GitHub. Цей вид атак спрямований на спільні бази коду, заражаючи їх шкідливим ПЗ, яке потім інтегрують в готові програмні продукти та надають користувачам.
Вразливості відкритого коду, як-от Log4Shell, пов’язана з дуже популярною бібліотекою журналювання Log4j, потенційно можуть мати катастрофічні наслідки через масштаб інтегрованості в різні програми. Залежності Log4j існують у продуктах практично всіх великих постачальників ПЗ, наражаючи мільйони користувачів на небезпеку.
Крадіжка облікових даних
Багато атак на ланцюги постачання спрямовані на викрадення облікових даних вендора, ключів і сертифікатів, що дозволяє зловмисникам обійти інструменти безпеки та маскуватися під легітимних користувачів. Завдяки їм злочинні хакери можуть проникати та розгалужувати атаку в пов’язані системи та середовища, таким чином отримуючи доступ до чутливих даних.
Нещодавня атака на постачальника хмарних послуг Okta через стороннього агента підтримки включала крадіжку облікових даних адміністратора. З їх допомогою зловмисник зміг обійти інструменти безпеки компанії та отримати доступ до сотень пов’язаних мереж клієнтів.
Приклади атак
SolarWinds
Наприкінці 2020 року російські злочинні хакери здійснили одну з найбільш масштабних і складних кібератак на ланцюги постачання в історії. За даними агентств кібербезпеки в США та Великобританії, зловмисники спочатку зламали ІТ-інфраструктуру SolarWinds – постачальника ПЗ для моніторингу корпоративної мережі.
Потім зловмисники включили «троян» в оновлення програмного забезпечення для продукту Orion від SolarWinds. Шкідливий код створював прихований бекдор до систем клієнтів. Представники США повідомили, що понад 18 000 організацій приватного та державного сектору встановили ці скомпрометовані оновлення.
Атака на ланцюг постачання дала зловмисникам можливість викрасти дані та отримати доступ до цінних цілей, як-от Міністерство фінансів США, Міністерство юстиції, Державний департамент, Міністерство енергетики та відділів Міністерства оборони. Білий дім назвав атаку «скоріш за все російською за походженням» і заявив, що знадобляться роки, щоб повністю оцінити та відновитися від завданої шкоди.
Вразливість Log4j
У грудні 2021 року було виявлено серйозну вразливість, відому як Log4Shell, у Log4j, надзвичайно популярній open-source бібліотеці журналювання Javа, що інтегрована в мільйони корпоративних додатків від постачальників, зокрема Apple, Amazon, IBM, Cisco, HP, Tesla та багатьох інших.
Вразливість Log4j дала змогу неавтентифікованим зловмисникам віддалено завантажити на вразливі сервери шкідливий код Java, логіни тощо. Потрібно було терміново застосувати патчі практично у всій індустрії. Коли організації намагалися ідентифікувати та оновити Log4j у своїх розгалужених додатках і ланцюгах постачання, виникали серйозні затримки в роботі.
Кіберзлочинці швидко використали Log4j для схем викрадення криптовалюти, створення мережі ботів і кампаній програм-вимагачів. Ця вразливість продовжує широко експлуатуватися у всьому світі. Компанія ForgeRock, яка займається ідентифікаційними даними, повідомила, що 46% її корпоративних клієнтів були цілями спроб експлуатації Log4j протягом перших п’яти днів.
Codecov
У квітні 2021 року Codecov, сервіс для перевірки відсотка протестованого коду додатка під час розробки ПЗ, був зламаний зловмисниками, які отримали доступ до його утиліти Bash Uploader. Його широко використовують понад 29 тисяч клієнтів сервісу для відправки коду для аналізу на платформі SaaS Codecov.
Зловмисники змогли змінити скрипт Bash Uploader і впровадити шкідливий код у збірки ПЗ, що обробляються Codecov. Потім вони були передані клієнтам, що інтегрували скомпрометовані бази коду у свої програми та запустили їх у продакшн.
Атака вплинула на сотні організацій у сферах технологій, фінансів, страхування, охорони здоров’я та державного сектору. Це демонструє системні ризики взаємопов’язаних пайплайнів розробки в усьому ланцюзі постачання ПЗ.
Вплив успішних атак на бізнес
Атаки на ланцюги постачання програмного забезпечення дозволяють зловмисникам обійти традиційні інструменти захисту периметра мережі. Їх вплив на бізнес може бути катастрофічним на кількох рівнях:
- Компрометація чутливих даних: отримання доступу до внутрішніх систем за допомогою бекдора, створеного на основі атаки на ланцюг постачання, може призвести до вилучення інтелектуальної власності, інформації про клієнтів, фінансових записів, стратегічних планів тощо.
- Вимкнення систем і збої у функціонуванні бізнесу: доступ до операційних систем через скомпрометовані канали постачальників може дозволити зловмисникам порушити критично важливі бізнес-процеси, вимикаючи додатки виробництва, видаляючи дані, перериваючи роботу служб тощо.
- Втрата довіри клієнтів: резонансні інциденти завдають шкоди репутації компанії, викликаючи сумніви в безпеці її продуктів і послуг.
- Фінансові витрати: вимкнення системи, відновлення або виправлення даних, юридичні наслідки, сповіщення, регулювання шкоди PR-відділом можуть коштувати мільйони. Середня загальна вартість інциденту з ланцюгом постачання становить понад 6 мільйонів доларів.
- Штрафи та санкції за невідповідність нормативним стандартам: неспроможність захистити чутливі дані клієнтів або систем, що підтримують критичну інфраструктуру, може призвести до штрафів, обов’язкових коригувальних дій і втрати ліцензій на діяльність.
Практики для захисту ланцюга постачання ПЗ
Керівникам відділів кібербезпеки варто ставити в пріоритет управління ризиками ланцюга постачання ПЗ. Ці чотири практики можуть значно посилити захист організації:
1 ) Інвентаризація зовнішніх зв’язків
Для розуміння потенційних шляхів компрометації слід мати повну видимість всіх постачальників, підрядників і програмних компонентів, що входять в технологічну екосистему організації. Для цього необхідно вести перелік всіх зовнішніх зв’язків підприємства.
Треба враховувати не тільки своїх вендорів, а і їхніх партнерів та постачальників. Потрібно окреслити ці зв’язки для визначення суб’єктів високого ризику, які можуть поставити під загрозу всю мережу.
2 ) Оцінка ризиків
Далі слід оцінити ризики кожного зовнішнього партнера. Це включає такі фактори, як вразливість їх доступу, дотримання заходів безпеки, випадки витоку даних у минулому, залежність від ризикованих технологій, таких як Log4j тощо.
Суб’єкти з вищим ризиком потребують додаткової перевірки та суворіших вимог щодо безпеки. Також варто час від часу переоцінювати профілі ризиків у міру розвитку партнерства та ділових відносин.
3 ) Перевірка заходів безпеки
Слід переконатися, що відповідні заходи наявні. Можна запропонувати третім сторонам виконати стандартизовану оцінку безпеки та надати докази, як-от звіт про відповідність, конфігурація інфраструктури та результати сканування на вразливості.
4 ) Моніторинг нових загроз
Одноразова оцінка надає лише обмежений огляд ризикованості постачальника. Треба постійно слідкувати за своїм ланцюгом постачання ПЗ, аби виявляти загрози та зміни в профілях ризиків партнерів.
Можна послуговуватися інструментами, що шукають вкрадені облікові дані в дарквебі та шкідливе ПЗ в залежностях і сповіщають про появу вразливостей у середовищах постачальників. Треба одразу займатися виправленням недоліків разом із партнерами.
Усунення прогалин у безпеці ланцюга постачання ПЗ
Оскільки частота та вплив цих атак зростає, тільки реагувати на такі інциденти недостатньо. Критично важливі бізнес-функції більше ніж будь-коли покладаються на сторонніх розробників, тому поверхня атаки виходить далеко за межі традиційного периметра мережі.
Застосовуючи підхід на основі даних і розвідки, керівники відділів кібербезпеки ідуть на крок попереду ризиків у ланцюзі постачання. Вони можуть проактивно визначати вразливі точки, проводити аудит безпеки підрядників, виявляти нові загрози та сприяти вчасним коригувальним діям на зовнішній поверхні атаки.
Завдяки цим підходам можна посилити захист організації від атак на ланцюги постачання ПЗ, убезпечивши репутацію компанії.
