Зростаюча загроза атак на ланцюг постачання програмного забезпечення

Атаки на ланцюг постачання програмного забезпечення стрімко стали однією з найпідступніших загроз кібербезпеки, з якими сьогодні стикаються організації. Оскільки постачальники ПЗ, хмарні провайдери, підрядники та інші треті сторони дедалі більше взаємопов’язані, вразливості, привнесені будь-де вздовж цифрового ланцюга постачання організації, можуть мати каскадні наслідки за течією.
Нещодавні гучні атаки на ланцюг постачання, як-от SolarWinds і Log4j, різко висвітлили ці ризики. Очевидно, що традиційних практик кібербезпеки вже недостатньо для захисту організацій у сучасній складній, гіперзв’язаній бізнес-екосистемі. Потрібні нові проактивні стратегії й технології, щоб випередити ризики ланцюга постачання ПЗ, доки вони не переросли в повномасштабні кризи.
Ця стаття надає керівникам із кібербезпеки та особам, які ухвалюють технологічні рішення, всебічний огляд ландшафту атак на ланцюг постачання ПЗ. Вона визначає, що таке атаки на ланцюг постачання, наводить реальні приклади, досліджує вплив на бізнес і пропонує практичні рекомендації для виявлення й пом’якшення вразливостей ланцюга постачання в масштабі.
- Що саме таке атаки на ланцюг постачання програмного забезпечення?
- Реальні атаки на ланцюг постачання програмного забезпечення
- Вплив успішних атак на ланцюг постачання на бізнес
- Чотири ключі до захисту вашого ланцюга постачання програмного забезпечення
- Закриваємо прогалину в безпеці ланцюга постачання програмного забезпечення
Що саме таке атаки на ланцюг постачання програмного забезпечення?
Перш ніж досліджувати захисні стратегії, важливо чітко визначити, що саме становить атаку на ланцюг постачання програмного забезпечення.
Ланцюг постачання програмного забезпечення охоплює всіх зовнішніх вендорів, бібліотеки з відкритим кодом, застосунки «програмне забезпечення як послуга» (SaaS), постачальників інфраструктури та інші треті сторони, що створюють і постачають технології, на які покладається організація. Ланцюг постачання дає організаціям змогу ефективно збирати найкращі у своєму класі рішення, не будуючи все власними силами.
Однак ця взаємопов’язаність також привносить ризики безпеки. Вразливості будь-де вздовж ланцюга постачання – чи то у вихідному коді вендора, чи в його ІТ-інфраструктурі – потенційно можуть бути експлуатовані для компрометації клієнтів за течією. Зловмисники дедалі частіше націлюються на ланцюг постачання як початкову точку входу, щоб проникнути в добре захищені в інший спосіб організації.
Атаки на ланцюг постачання зазвичай поділяються на три категорії:
Атаки на інфраструктуру
Ці атаки націлені на ІТ-інфраструктуру, що лежить в основі постачання ПЗ, — наприклад, системи хмарного провайдера чи постачальника ПЗ. Чутливі дані, конфігурації, ключі чи облікові дані, що зберігаються на цій скомпрометованій інфраструктурі, можуть бути перехоплені та використані для проникнення в середовища клієнтів.
Атаки на SolarWinds і Codecov — яскраві приклади, коли шкідливий код таємно впроваджували в оновлення ПЗ, що розповсюджувалися із середовищ розробки вендорів. Microsoft приписує кампанію SolarWinds державним акторам, які скомпрометували ІТ-інфраструктуру ключового федерального ІТ-постачальника, щоб отримати доступ до даних клієнтів.
Атаки на залежності
Застосунки та сервіси незмінно покладаються на бібліотеки коду та модулі з публічних репозиторіїв на кшталт GitHub, а також від комерційних постачальників. Атаки на залежності націлені на ці спільні кодові бази, впроваджуючи шкідливе ПЗ, яке потім інтегрується в багато готових програмних продуктів і передається користувачам.
Вразливості з відкритим кодом, як-от Log4Shell, пов’язана з надзвичайно популярною бібліотекою журналювання Log4j, можуть бути потенційно катастрофічними з огляду на те, наскільки повсюдно ця бібліотека інтегрована в застосунки. Залежності від Log4j існують у продуктах практично кожного великого постачальника ПЗ, наражаючи мільйони користувачів на експлуатацію.
Викрадення облікових даних
Багато атак на ланцюг постачання мають на меті викрасти облікові дані, ключі та сертифікати вендорів, що дає зловмисникам змогу обходити засоби контролю безпеки й видавати себе за легітимних акторів. Маючи ці «ключі від королівства», зловмисники можуть проникати в системи за течією, отримувати доступ до чутливих даних і рухатися латерально між пов’язаними середовищами.
Нещодавня атака на постачальника хмарних послуг Okta через стороннього агента підтримки передбачала саме таке викрадення облікових даних. Маючи облікові дані адміністратора Okta, зловмисник зміг обійти власні засоби контролю безпеки компанії й отримати доступ до сотень клієнтських мереж за течією.
Реальні атаки на ланцюг постачання програмного забезпечення
Окрім абстрактного визначення того, що передбачають атаки на ланцюг постачання, повчально дослідити реальні приклади, які ілюструють різноманітність і складність цих загроз у дії.
SolarWinds
Наприкінці 2020 року державні актори загроз, пов’язані з Росією, здійснили одну з наймасштабніших і найвитонченіших в історії кібератак на ланцюг постачання. За даними агентств кібербезпеки США та Великої Британії, зловмисники спершу зламали ІТ-інфраструктуру SolarWinds — постачальника ПЗ для моніторингу корпоративних мереж.
Потім зловмисники троянізували оновлення ПЗ для продукту SolarWinds Orion, впровадивши шкідливий код. Коли державні та комерційні клієнти SolarWinds завантажували цей код, він створював прихований бекдор до систем клієнтів. Посадовці США повідомили, що понад 18 000 організацій приватного та державного секторів встановили пошкоджені оновлення Orion.
Ця початкова атака на ланцюг постачання ПЗ відкрила акторам загроз шлях до викрадення даних та отримання постійного доступу до цінних цілей, як-от Міністерство фінансів США, Міністерство юстиції, Держдепартамент, Міністерство енергетики та підрозділи Міністерства оборони. Білий дім назвав її «ймовірно, російського походження» й заявив, що на повну оцінку та відновлення після завданої шкоди підуть роки.
Вразливість Log4j
У грудні 2021 року в Log4j — надзвичайно популярному фреймворку журналювання Java з відкритим кодом — виявили серйозну вразливість, відому як Log4Shell. Log4j інтегровано в мільйони корпоративних застосунків від вендорів, зокрема Apple, Amazon, IBM, Cisco, HP, Tesla та безлічі інших.
Вразливість Log4j дає неавтентифікованим віддаленим зловмисникам змогу завантажувати шкідливий код Java, дані для входу тощо на вразливі сервери. Вона зумовила потребу в терміновому встановленні виправлень практично в усій галузі. Сталися серйозні збої, оскільки організації квапливо намагалися виявити й оновити екземпляри Log4j у своїх розлогих застосунках і ланцюгах постачання.
Кіберзлочинці швидко озброїлися Log4j для схем криптоджекінгу, створення ботнетів і кампаній програм-вимагачів. Ця вразливість досі широко експлуатується у всьому світі. Компанія ForgeRock, що працює з даними ідентичності, повідомила, що 46% її корпоративних клієнтів зазнали спроб експлуатації Log4j лише за перші п’ять днів.
Атака на Codecov
У квітні 2021 року Codecov — сервіс для тестування покриття коду застосунків під час розробки ПЗ — зазнав зламу від зловмисників, які отримали доступ до його утиліти Bash Uploader. Цю утиліту завантаження активно використовують понад 29 000 клієнтів Codecov, щоб надсилати код на аналіз на SaaS-платформі Codecov.
Зловмисники змогли модифікувати скрипт Bash Uploader і впровадити шкідливий код у збірки ПЗ, які обробляв Codecov і які потім поверталися клієнтам. Ці клієнти, зі свого боку, інтегрували скомпрометовані кодові бази у власні застосунки та розповсюджували їх у продакшн.
Атака вплинула на сотні організацій у технологічному, фінансовому, страховому, медичному та державному секторах. Її широке охоплення ілюструє системні ризики взаємопов’язаних конвеєрів розробки в межах ланцюга постачання ПЗ.
Вплив успішних атак на ланцюг постачання на бізнес
Атаки на ланцюг постачання ПЗ дають противникам змогу обійти традиційний захист периметра мережі. Коли ці атаки вдаються, вплив на бізнес може бути катастрофічним на кількох рівнях:
- Компрометація чутливих даних — бекдор-доступ до внутрішніх систем, який надають атаки на ланцюг постачання, може призвести до масштабної компрометації чутливих даних, як-от інтелектуальна власність, інформація про клієнтів, фінансові записи, стратегічні плани тощо.
- Збої систем і порушення діяльності — доступ до операційних систем через скомпрометовані канали вендорів може дати зловмисникам змогу безпосередньо порушувати критично важливі бізнес-процеси, вимикаючи робочі застосунки, видаляючи дані, перериваючи послуги тощо.
- Втрата довіри клієнтів — гучні інциденти в ланцюзі постачання шкодять корпоративній репутації й можуть спричинити втрату довіри клієнтів до безпеки та цілісності постраждалих продуктів і послуг.
- Фінансові витрати — такі наслідки, як простій систем, відновлення/усунення даних, юридична відповідальність, витрати на сповіщення та PR-контроль збитків, можуть коштувати мільйони. Середня загальна вартість витоку в ланцюзі постачання перевищує $6 мільйонів.
- Штрафи за недотримання вимог і санкції — нездатність захистити чутливі дані клієнтів чи системи, що підтримують критичну інфраструктуру, може порушувати нормативні зобов’язання, призводячи до штрафів, обов’язкових коригувальних дій і втрати ліцензій на діяльність.
Чотири ключі до захисту вашого ланцюга постачання програмного забезпечення
З огляду на потенційно масштабні наслідки, керівники з кібербезпеки мають зробити управління ризиками ланцюга постачання ПЗ нагальним пріоритетом. Впровадження цих чотирьох найкращих практик може суттєво підвищити стійкість:
1. Інвентаризуйте всі зовнішні з’єднання
Не можна захистити те, чого не розумієш. Перший крок — отримати повну видимість численних вендорів, підрядників і програмних компонентів, які утворюють ваші технологічні екосистеми. Каталогізуйте всі зовнішні з’єднання на рівні всього підприємства, щоб зрозуміти потенційні шляхи компрометації за течією вгору.
Дивіться далі, ніж на своїх безпосередніх вендорів першого рівня, — також на їхніх партнерів і постачальників. Складіть карту цих взаємопов’язаних відносин, щоб виявити вузли високого ризику, які могли б наразити ширшу мережу.
2. Оцініть притаманний ризик
Встановивши видимість, розробіть профіль ризику для кожного зовнішнього партнера. Оцініть такі фактори, як чутливість їхнього доступу, дотримання засобів контролю безпеки, минулі інциденти витоків, залежність від ризикованих технологій на кшталт Log4j тощо.
Суб’єкти з вищим ризиком потребують додаткової перевірки та суворіших вимог безпеки. Періодично переоцінюйте профілі ризику в міру розвитку партнерств і ділових відносин.
3. Перевіряйте засоби контролю безпеки
Не вірте вендорам на слово, коли йдеться про їхні власні практики безпеки. Перевіряйте, що належні засоби контролю справді впроваджені, вимагаючи від третіх сторін проходити стандартизовані оцінки безпеки та надавати докази, як-от звіт про відповідність, конфігурацію інфраструктури та результати сканування вразливостей.
4. Відстежуйте нові загрози
Разові оцінки дають лише миттєвий знімок ризику постачальника. Безперервно відстежуйте свій ланцюг постачання ПЗ на предмет нових загроз і змін у профілях ризику партнерів.
Застосовуйте інструменти, що прочісують даркнет у пошуку викрадених облікових даних, сканують залежності ПЗ на предмет шкідливого коду та сповіщають, коли у середовищах вендорів з’являються вразливості. Негайно опрацьовуйте будь-які критичні знахідки разом із партнерами.
Закриваємо прогалину в безпеці ланцюга постачання програмного забезпечення
Оскільки атаки на ланцюг постачання ПЗ зростають за частотою та впливом, організації більше не можуть чіплятися за реактивні практики безпеки. Оскільки критичні бізнес-функції як ніколи покладаються на треті сторони, поверхня атаки розширилася далеко за межі традиційного периметра мережі.
Застосовуючи підхід, керований даними та кіберрозвідкою, керівники з кібербезпеки можуть випередити ризик ланцюга постачання. Вони можуть проактивно виявляти точки вразливості, перевіряти безпеку вендорів, виявляти нові загрози та спонукати до коригувальних дій на всій зовнішній поверхні атаки достатньо рано, щоб узагалі запобігти компрометаціям.
Ті, хто ухвалить ці підходи нового покоління, матимуть добрі позиції для захисту своїх організацій від зростаючої загрози атак на ланцюг постачання ПЗ у нашому дедалі більш взаємопов’язаному світі. Альтернатива — безпорадно чекати на неминуче повідомлення про витік від скомпрометованого постачальника, яке виведе вашу компанію на перші шпальти завтрашніх новин. Вибір очевидний.




