Атаки на цепи поставок (Supply Chain Attacks) программного обеспечения быстро превратились в одну из самых коварных угроз кибербезопасности. Поскольку поставщики ПО, облачных технологий, подрядчики и другие третьи стороны становятся все более взаимосвязанными, уязвимости, обнаруженные где-либо в цифровой цепи поставок, могут повлиять сразу на всех субъектов.
Недавние резонансные атаки на цепи поставок, такие как SolarWinds и Log4j, резко привлекли внимание к этим рискам. Стало понятно, что традиционных практик кибербезопасности уже недостаточно для защиты организаций в современной сложной взаимосвязанной бизнес-экосистеме. Чтобы идти на шаг впереди рисков и не допустить масштабного кризиса в этом вопросе, нужны новые проактивные стратегии и технологии.
Суть атак на цепи поставки ПО
Цепь поставки ПО охватывает всех внешних вендоров, библиотеки с открытым кодом, SaaS, провайдеров инфраструктуры и других третьих сторон, которые создают и поставляют технологию, которой пользуется организация, что позволяет ей получать лучшие решения без лишних усилий.
Однако эта взаимосвязь также создает риски для безопасности. Уязвимости где-либо в цепи поставок: будь то в исходном коде вендора или в ИТ-инфраструктуре – потенциально могут быть использованы для компрометации клиентов, пользующихся этим решением. Злоумышленники все чаще нацеливаются на цепь поставок для начала проникновения в хорошо защищенные организации.
Виды атак на цепи поставок
Атаки на инфраструктуру
Они нацелены на IT-инфраструктуру, лежащую в основе поставки ПО, например системы поставщика облачных технологий или программного обеспечения. Чувствительные данные, конфигурации, ключи или учетные данные, хранящиеся в этой скомпрометированной инфраструктуре, могут быть перехвачены и использованы для проникновения в среды клиентов.
Яркими примерами являются атаки SolarWinds и Codecov. Тогда вредоносный код был тайно внедрен в обновления ПО, распространявшиеся из сред разработки вендоров. Microsoft приписывает кампанию SolarWinds российским злонамеренным хакерам, которые взломали ИТ-инфраструктуру ключевого федерального поставщика информационных технологий для получения доступа к данным клиентов.
Атаки на зависимости
Приложения и службы полагаются на библиотеки кода и модули от коммерческих поставщиков и общедоступных репозиториев, таких как GitHub. Этот вид атак направлен на общие базы кода, заражая их вредоносным ПО, которое затем интегрируют в готовые программные продукты и предоставляют пользователям.
Уязвимости открытого кода, например Log4Shell, связанная с очень популярной библиотекой журналирования Log4j, потенциально могут иметь катастрофические последствия из-за масштаба интегрированности в различные программы. Зависимости Log4j существуют в продуктах практически всех крупных поставщиков ПО, подвергая миллионы пользователей опасности.
Кража учетных данных
Многие атаки на цепочки поставок направлены на похищение учетных данных вендора, ключей и сертификатов, что позволяет злоумышленникам обойти инструменты безопасности и маскироваться под легитимных пользователей. Благодаря им преступные хакеры могут проникать и разветвлять атаку в связанные системы и среды, таким образом получая доступ к чувствительным данным.
Недавняя атака на поставщика облачных услуг Okta через стороннего агента поддержки включала кражу учетных данных администратора. С их помощью злоумышленник смог обойти инструменты безопасности компании и получить доступ к сотням связанных сетей клиентов.
Примеры атак
SolarWinds
В конце 2020 года российские преступные хакеры совершили одну из самых масштабных и сложных кибератак на цепи поставок в истории. По данным агентств кибербезопасности в США и Великобритании, злоумышленники сначала взломали ИТ-инфраструктуру SolarWinds – поставщика ПО для мониторинга корпоративной сети.
Затем злоумышленники включили «троян» в обновление программного обеспечения для продукта Orion от SolarWinds. Вредоносный код создавал скрытый бэкдор к системам клиентов. Представители США сообщили, что более 18 000 организаций частного и государственного сектора установили эти скомпрометированные обновления.
Атака на цепь поставок дала злоумышленникам возможность похитить данные и получить доступ к ценным целям, таким как Министерство финансов США, Министерство юстиции, Государственный департамент, Министерство энергетики и отделы Министерства обороны. Белый дом назвал атаку «скорее всего российской по происхождению» и заявил, что понадобятся годы, чтобы полностью оценить и восстановиться от нанесенного ущерба.
Уязвимость Log4j
В декабре 2021 года была обнаружена серьезная уязвимость, известная как Log4Shell, в Log4j, чрезвычайно популярной open-source библиотеке журналирования Javа, интегрированной в миллионы корпоративных приложений от поставщиков, включая Apple, Amazon, IBM, Cisco, HP, Tesla и многих других.
Уязвимость Log4j позволила неаутентифицированным злоумышленникам удаленно загрузить на уязвимые серверы вредоносный код Java, логины и тому подобное. Нужно было срочно применить патчи практически во всей индустрии. Когда организации пытались идентифицировать и обновить Log4j в своих разветвленных приложениях и цепочках поставок, возникали серьезные задержки в работе.
Киберпреступники быстро использовали Log4j для схем похищения криптовалюты, создания сети ботов и кампаний программ-вымогателей. Эта уязвимость продолжает широко эксплуатироваться во всем мире. Компания ForgeRock, которая занимается идентификационными данными, сообщила, что 46% ее корпоративных клиентов были целями попыток эксплуатации Log4j в течение первых пяти дней.
Codecov
В апреле 2021 года Codecov, сервис для проверки процента протестированного кода приложения при разработке ПО, был взломан злоумышленниками, которые получили доступ к его утилите Bash Uploader. Его широко используют более 29 тысяч клиентов сервиса для отправки кода для анализа на платформе SaaS Codecov.
Злоумышленники смогли изменить скрипт Bash Uploader и внедрить вредоносный код в сборки ПО, обрабатываемые Codecov. Затем они были переданы клиентам, которые интегрировали скомпрометированные базы кода в свои программы и запустили их в продакшн.
Атака повлияла на сотни организаций в сферах технологий, финансов, страхования, здравоохранения и государственного сектора. Это демонстрирует системные риски взаимосвязанных пайплайнов разработки во всей цепи поставки ПО.
Влияние успешных атак на бизнес
Атаки на цепи поставок программного обеспечения позволяют злоумышленникам обойти традиционные инструменты защиты периметра сети. Их влияние на бизнес может быть катастрофическим на нескольких уровнях:
- Компрометация чувствительных данных: получение доступа к внутренним системам с помощью бэкдора, созданного на основе атаки на цепь поставок, может привести к изъятию интеллектуальной собственности, информации о клиентах, финансовых записей, стратегических планов и т. д.
- Отключение систем и сбои в функционировании бизнеса: доступ к операционным системам через скомпрометированные каналы поставщиков может позволить злоумышленникам нарушить критически важные бизнес-процессы, выключая приложения производства, удаляя данные, прерывая работу служб и т.д.
- Потеря доверия клиентов: резонансные инциденты наносят ущерб репутации компании, вызывая сомнения в безопасности ее продуктов и услуг.
- Финансовые затраты: отключение системы, восстановление или исправление данных, юридические последствия, оповещения, регулирование ущерба PR-отделом могут стоить миллионы. Средняя общая стоимость инцидента с цепочкой поставок составляет более 6 миллионов долларов.
- Штрафы и санкции за несоответствие нормативным стандартам: неспособность защитить чувствительные данные клиентов или систем, поддерживающих критическую инфраструктуру, может привести к штрафам, обязательным корректирующим действиям и потере лицензий на деятельность.
Практики для защиты цепи поставки ПО
Руководителям отделов кибербезопасности стоит ставить в приоритет управление рисками цепи поставки ПО. Эти четыре практики могут значительно усилить защиту организации:
1 ) Инвентаризация внешних связей
Для понимания потенциальных путей компрометации следует иметь полную видимость всех поставщиков, подрядчиков и программных компонентов, входящих в технологическую экосистему организации. Для этого необходимо вести перечень всех внешних связей предприятия.
Надо учитывать не только своих вендоров, а и их партнеров и поставщиков. Нужно очертить эти связи для определения субъектов высокого риска, которые могут поставить под угрозу всю сеть.
2 ) Оценка рисков
Далее следует оценить риски каждого внешнего партнера. Это включает такие факторы, как уязвимость их доступа, соблюдение мер безопасности, случаи утечки данных в прошлом, зависимость от рискованных технологий, таких как Log4j и тому подобное.
Субъекты с высоким риском требуют дополнительной проверки и более строгих требований по безопасности. Также стоит время от времени переоценивать профили рисков по мере развития партнерства и деловых отношений.
3 ) Проверка мер безопасности
Следует убедиться, что соответствующие меры имеются. Можно предложить третьим сторонам выполнить стандартизированную оценку безопасности и предоставить доказательства, такие как отчет о соответствии, конфигурация инфраструктуры и результаты сканирования на уязвимости.
4 ) Мониторинг новых угроз
Одноразовая оценка предоставляет лишь ограниченный обзор рискованности поставщика. Надо постоянно следить за своей цепочкой поставки ПО, чтобы выявлять угрозы и изменения в профилях рисков партнеров.
Можно пользоваться инструментами, которые ищут украденные учетные данные в дарквебе и вредоносное ПО в зависимостях и сообщают о появлении уязвимостей в средах поставщиков. Надо сразу заниматься исправлением недостатков вместе с партнерами.
Устранение пробелов в безопасности цепи поставки ПО
Поскольку частота и влияние этих атак растет, только реагировать на такие инциденты недостаточно. Критически важные бизнес-функции больше чем когда-либо полагаются на сторонних разработчиков, поэтому поверхность атаки выходит далеко за пределы традиционного периметра сети.
Применяя подход на основе данных и разведки, руководители отделов кибербезопасности идут на шаг впереди рисков в цепи поставок. Они могут проактивно определять уязвимые точки, проводить аудит безопасности подрядчиков, выявлять новые угрозы и способствовать своевременным корректирующим действиям на внешней поверхности атаки.
Благодаря этим подходам можно усилить защиту организации от атак на цепи поставок ПО, обезопасив репутацию компании.
