Útoky na dodavatelský řetězec softwaru: rizika a obrana

L ataques a la cadena de Suministro de software Staly se jedním z nejvážnějších problémů firem všech velikostí. Ochrana vlastního perimetru už nestačí: pokud selže jeden z vašich poskytovatelů softwaru, hardwaru nebo cloudových služeb, můžete selhat s ním i vy, i když jste nebyli primárním cílem.

Problém je v tom, že tyto incidenty jsou obvykle komplexní, tichý a s masivním dosahemJediná zranitelnost u široce používaného dodavatele může otevřít dveře tisícům organizací současně. Proto je pochopení toho, jak tyto útoky fungují, jaké příklady z reálného světa jsme viděli a jaká praktická opatření můžete podniknout, klíčem ke snížení vaší expozice.

Co je to dodavatelský řetězec softwaru a proč je tak zranitelný?

V kybernetické bezpečnosti dodavatelský řetězec Zahrnuje všechny poskytovatele a třetí strany zapojené do poskytování digitálních služeb společnosti: od výrobců hardwaru a vývojářů softwaru, přes poskytovatele internetu, cloudové služby, monitorovací nástroje až po e-mailové a kolaborativní platformy.

Vývoj a provoz produktů společnosti software a hardware Zabezpečení se zřídka spoléhá na jednoho aktéra. Je běžné, že je zapojeno více výrobců, integrátorů, prodejců a poskytovatelů spravovaných služeb. Koncový zákazník téměř nikdy nevidí všechny tyto účastníky, ale jeho zabezpečení závisí na nich stejně jako na jeho vlastních systémech.

Kyberzločinci zneužívají této reality k najít nejslabší článekDodavatel s laxními bezpečnostními postupy, špatně zabezpečený systém sestavení nebo softwarová komponenta se zranitelným kódem. Pokud se jim podaří do tohoto řetězce vložit škodlivý fragment, mohou s relativně malým úsilím infiltrovat vysoce citlivá prostředí.

Proto útoky na dodavatelský řetězec prudce vzrostly: Jediný závazek může poskytnout přístup k tisícům obětí, což usnadňuje krádež důvěrných dat, dlouhodobou špionáž nebo dokonce dálkové ovládání kritické infrastruktury.

Typy útoků na dodavatelský řetězec softwaru

Útoky v dodavatelském řetězci nejsou ojedinělým typem incidentu, ale rodina taktik, které sdílejí stejný cílZneužívání zranitelností v řešeních nebo procesech, které jsou následně znovu použity v mnoha organizacích.

Mezi nejběžnějšími modalitami najdeme několik kategorií, které se často kombinují v sofistikovaných kampaních:

Napadený software

V tomto případě se pozornost soustředí na kód aplikace, knihovny nebo vývojové nástrojeÚtočník může přímo upravit komponentu, manipulovat s kompilačními skripty nebo otrávit repozitáře tak, aby distribuované produkty obsahovaly škodlivé funkce, aniž by to poskytovatel odhalil.

Preferovaný vektor je obvykle aktualizace softwaruKyberzločinec zavádí zadní vrátka do procesu sestavení nebo serveru pro distribuci záplat, takže každý zákazník, který aktualizuje svůj produkt, nainstaluje také malware. Aby se malware zdál legitimní, často se k podepsání kódu používají ukradené certifikáty.

Změny hardwaru a firmwaru

Ve fyzické sféře útočníci cílí zařízení, která jsou hromadně distribuovánaTo se týká všeho od síťového vybavení přes pracovní stanice až po vestavěné komponenty. Cílem je zavést modifikace firmwaru nebo dokonce hardwarového designu, jako jsou špionážní čipy nebo moduly se zadními vrátky.

Protože k těmto změnám dochází ve velmi nízkých vrstvách, je detekce složitá a potenciální rozsah je obrovský: zařízení napadené z výroby může poskytují přímý přístup k interním sítím nebo umožnit trvalé zachycování citlivých informací.

předinstalovaný malware a ukradené certifikáty

Další varianta zahrnuje obrazy zařízení nebo systému. zahrnout malware ze zdrojeK tomu může docházet na samotné výrobní lince, v procesech přizpůsobení pro konkrétního klienta nebo při přípravě obrazů virtuálních strojů či kontejnerů.

Jsou také velmi nebezpeční ukradené digitální certifikáty výrobcům nebo vývojářům. S jejich pomocí mohou útočníci podepisovat pozměněné binární soubory tak, aby vypadaly jako legitimní, obejít kontroly integrity a drasticky snížit pravděpodobnost odhalení během aktualizace nebo instalace.

Specifická rizika open source a „tajemství“

Intenzivní využívání software s otevřeným zdrojovým kódem (OSS) Přináší to rychlost a flexibilitu vývoje, ale také znásobuje plochu pro útok. Mnoho projektů závisí na altruistické podpoře dobrovolných vývojářů, kteří nemusí mít zdroje na to, aby zkontrolovali každý příspěvek nebo rychle reagovali na nové vektory útoku.

Na druhou stranu se počet repozitářů kódu zvyšuje. špatně spravovaná „tajemství“Klíče API, tokeny, hesla nebo certifikáty neúmyslně vložené do zdrojového kódu. Skupiny ransomwaru a další sofistikovaní aktéři masivně prohledávají tato úložiště a hledají odhalené přihlašovací údaje, které jim umožňují přechod na jiné systémy.

Skutečné útoky na dodavatelský řetězec: nejrelevantnější případy

Posledních několik let přineslo řadu příkladů útoky na dodavatelský řetězec s globálními důsledkyMnohé z nich jsou propojeny s velkými poskytovateli softwaru nebo služeb. Toto jsou některé z nejvýraznějších případů.

SolarWinds a kampaň Solorigate

Jeden z nejznámějších incidentů se odehrál koncem roku 2020, kdy se vysoce sofistikovaným útočníkům podařilo ohrozit prostředí sestavení SolarWinds, poskytovatel softwaru pro monitorování sítí používaného společnostmi a veřejnými orgány po celém světě.

Útočníci vložili škodlivou komponentu do aktualizací pro Orion, svou platformu pro správu infrastruktury. Každý zákazník, který si aktualizaci nevědomky nainstaloval, obdržel trojského koně, který mu otevřel dveře k… tajný vzdálený přístupOdhaduje se, že mohlo být postiženo více než 18 000 organizací, včetně velkých technologických společností, vládních agentur a klíčových subjektů.

Kaseya a masivní ransomware

Dalším silným příkladem byl útok na KaseyaRansomwarový gang REvil zneužil zranitelnost typu zero-day v produktu VSA, poskytovateli softwaru pro vzdálenou správu (RMM) pro poskytovatele spravovaných služeb (MSP), a nasadil škodlivý kód zákazníkům MSP používajícím platformu.

Během několika hodin bylo šifrováním systémů postiženo 800 až 1 500 společností. Útočníci požádali o záchrana v hodnotě několika milionů dolarů (70 milionů dolarů) výměnou za hlavní dešifrovací klíč, což demonstruje obrovskou páku, kterou tyto typy útoků na poskytovatele mají.

Mimecast, Codecov, Atlassian a další incidenty

V případě MimecastIncident se točil kolem kompromitovaného digitálního certifikátu, který někteří zákazníci používali k bezpečnému připojení svých služeb Microsoft 365 Exchange. Ovládnutím tohoto certifikátu získali útočníci možnost zachycovat a manipulovat s komunikací.

Útok na CodecovSpolečnost Codecov, která se zabývá analýzou pokrytí kódu, založila svůj útok na upraveném skriptu pro načítání kódu v Bashu. Tato úprava umožnila kyberzločincům přesměrovat citlivé informace (jako je zdrojový kód a obchodní tajemství) z klientských prostředí Codecovu na servery, které ovládali.

V roce 2020 objevili výzkumníci společnosti Check Point Research řetězec zranitelností v Atlassian což dohromady umožnilo útočníkům převzít kontrolu nad účty a aplikacemi propojenými prostřednictvím SSO. Ačkoli se jednalo o zodpovědné odhalení a včasné opravení, ilustrovalo to, jak se může chyba v hlavním poskytovateli eskalovat. vektor dodavatelského řetězce s vysokým dopadem.

NotPetya a případ British Airways

Malware známý jako NotPetya Začalo to jako pseudo-ransomware distribuovaný prostřednictvím škodlivá aktualizace z účetního softwaru používaného na Ukrajině. Ve skutečnosti neukládal žádný dešifrovací klíč, fungoval jako „stěrač“, který nenávratně ničil data a rychle se šířil s vážnými ekonomickými důsledky.

V oblasti elektronického obchodování utrpěla British Airways v roce 2018 útok ze strany této skupiny. Magecartkterý vložil škodlivý kód do systémů dodavatele leteckých služeb. Tento kód nakonec ovlivnil jeho webové stránky a aplikaci a zachytil platební údaje z více než 380 000 zákaznických transakcí.

Pokus o backdoor v Linuxu XZ

V roce 2024 byl odhalen sofistikovaný pokus Vložení zadních vrátek do XZ Utils, kompresní nástroj široce používaný v systémech Linux. Útok byl vyvíjen v průběhu let, získal si důvěru komunity open source, než postupně zavedl do kódu škodlivé změny.

Skrytá funkce umožňovala útočníkům s konkrétním klíčem vzdálené spuštění kódu. Ačkoli kompromitovaná verze nebyla široce nasazena v produkčním prostředí, byla přítomna ve vývojových verzích a odborníci varovali, že pokud by zůstala neodhalena, Miliony linuxových systémů by byly odhaleny.

Jak tyto útoky fungují a proč jsou tak nebezpečné

Útoky na dodavatelský řetězec zneužívají implicitní vztahy důvěry mezi organizacemi. Když instalujete software od dodavatele, integrujete knihovnu třetí strany nebo propojujete svůj e-mail s externí službou, předpokládáte, že daná společnost řádně chrání svou vlastní bezpečnost.

Kyberzločinci cílí na poskytovatele s nejslabší obranou, protože vědí, že pokud ho dokážou ohrozit, mohou... pak se přesunout k lépe chráněným klientům Díky této důvěře jsou poskytovatelé spravovaných služeb obzvláště atraktivními cíli, protože mají hluboký přístup k mnoha zákaznickým sítím.

V scénářích, jako je SolarWinds, je útok zorganizován přístupem k vybudovat nebo aktualizovat serveryTam se do kódu, který bude distribuován tisícům organizací, vloží zadní vrátka. V jiných případech se vektor nachází ve skriptech, řetězcích CI/CD, kompromitovaných repozitářích nebo manipulovaných závislostech open source.

Nebezpečí těchto útoků spočívá v tom, že se nepokoušejí zbořit nejvyšší zeď, ale násilím otevřít méně střeženou boční bránuI když máte velmi propracovaný bezpečnostní program, pokud nekontrolujete riziko od třetích stran, stále můžete být vystaveni riziku.

Dopady a trendy útoků v dodavatelském řetězci

Nedávná data ukazují na explozivní nárůst: mezi lety 2021 a 2023 útoky tohoto typu zvýšil se o více než 400 %a následné studie naznačují, že dodavatelské řetězce hardwaru a softwaru zaznamenaly v roce 2024 jeden z největších nárůstů incidentů.

Mezi nejvíce postižené sektory patří technologie, finanční služby, právnické firmy, poradenské společnosti a luxusní značky, přičemž všechny mají silné dodavatelské ekosystémy a vysokou hodnotu informací, které zpracovávají.

Motivace sahají od finančního zisku (ransomware, krádež dat za účelem prodeje) až po špionáž a narušování klíčových služebGlobální poptávka po hardwaru a vzestup umělé inteligence učinily z tohoto technologického řetězce prioritní cíl pro hrozbné skupiny.

Navíc mnoho incidentů není ani klasifikováno jako útoky na dodavatelský řetězec, protože vyšetřování reakce na incidenty upřednostňuje obnovení provozu přímé oběti spíše než sledování přesného zdroje narušení. To ponechává problém... podhodnoceno v oficiálních statistikách.

Klíčové osvědčené postupy proti útokům v dodavatelském řetězci

Zmírnění těchto rizik vyžaduje kombinaci správa třetích stran, technické kontroly a kulturní změny jak v IT, tak ve vývoji. Nejde o jeden nástroj, ale o kontinuální a strukturovaný přístup.

1. Inventarizace a kontrola aktiv a stínové IT

Prvním krokem je vědět, co máte a kdo vám to poskytuje. Udržování aktualizovaný inventář softwaruslužby a dodavatelé Toto je zásadní pro pochopení vaší oblasti expozice. Patří sem SaaS aplikace, nástroje pro produktivitu, bezpečnostní řešení a vývojové komponenty.

Klíčové je odhalit a snížit Stín ITAplikace, služby nebo integrace, které si zaměstnanci osvojují sami, aniž by museli procházet oficiálními procesy. Každý neautorizovaný nástroj je novým článkem v dodavatelském řetězci, který možná nikdo nemonitoruje.

2. Vyhodnoťte a klasifikujte riziko dodavatelů

Ne všechny třetí strany představují stejnou úroveň rizika. Je vhodné zavést formální proces pro posouzení bezpečnostní situace každého dodavatele, přičemž se posuzují aspekty, jako jsou jejich certifikace, zásady bezpečného vývoje, správa zranitelností nebo používání šifrování.

Ty pak lze seskupit podle jejich potenciálního dopadu na vaši firmu (přístup k citlivým datům, kritická důležitost služeb, pozice ve vaší architektuře). Poskytovatelé s vysokým rizikem by měli podléhat... přísnější kontroly a monitorovánívčetně pravidelných kontrol a jasných smluvních požadavků.

3. Neustálé ověřování rizik a „kybernetický altruismus“

Správa třetí strany nemůže být jednorázovým přezkoumáním na začátku vztahu. Je třeba k ní přistupovat jako k... proces průběžného monitorování, pravidelně kontroluje veřejné incidenty, změny v infrastruktuře poskytovatele a vznik nových zranitelností.

Některé velké organizace zavádějí strategii „kybernetický altruismus“sdílením nástrojů, školení a bezpečnostních funkcí s menšími poskytovateli. Logika je jednoduchá: celý ekosystém sdílí stejnou úroveň expozice a vy jste jen tak silní, jako váš nejslabší článek.

4. Princip nejnižších privilegií a segmentace sítě

Omezení oprávnění je jednou z nejúčinnějších obranných opatření. Použití princip nejmenších privilegií To zahrnuje udělení zaměstnancům, aplikacím a externím partnerům pouze přístupu nezbytně nutného pro jejich funkci.

Tento přístup je doplněn segmentace sítěRozdělte infrastrukturu do logických zón s dobře definovanými kontrolami přístupu. Tímto způsobem, pokud je napaden software jednoho dodavatele nebo třetí strany, bude pro útočníka obtížnější se pohybovat laterálně a šířit škody na další systémy.

5. DevSecOps a zabezpečení životního cyklu softwaru

Integrace bezpečnosti do životního cyklu vývoje (DevSecOps) je zásadní pro detekci manipulace s kódem, sestavení a CI/CD pipelines než se dostanou do produkčního prostředí. To zahrnuje statickou analýzu (SAST), kontroly závislostí (SCA), skenování kontejnerů a ověřování integrity artefaktů.

Přijetí standardů, jako je SLSA (Supply-chain Levels for Software Artifacts), pomáhá zpevnit proces kompilacezajištění toho, aby interním nebo externím zákazníkům mohly být distribuovány pouze podepsané, reprodukovatelné a ověřené sestavení.

6. Pokročilá detekce a reakce na koncové body

Na úrovni pracovních stanic a serverů je důležité mít Nástroje pro detekci a reakci na koncové body (EDR/XDR) schopné identifikovat anomální chování spojené s útoky v dodavatelském řetězci: neobvyklé načítání kódu, podezřelou odchozí komunikaci nebo spouštění podepsaných, ale škodlivých binárních souborů.

Moderní řešení zahrnují automatizaci pro blokovat hrozby v reálném čase, izolovat napadené týmy a pomáhat analytikům z Centra bezpečnostních operací (SOC) vyšetřovat incidenty, které se překrývají s různými vektory (síť, cloud, e-mail, mobilní zařízení).

7. Nástroje na straně klienta a ovládací prvky prohlížeče

V scénářích, jako jsou útoky typu Magecart, se problém projevuje v prohlížeči koncového uživatele. V těchto případech je důležité následující: nástroje na ochranu zákazníka které monitorují kód běžící na stránce, detekují vkládání kódů (injections) a ověřují integritu skriptů a prvků iframe.

Tyto kontroly umožňují identifikaci pokusů o krádež dat v platebních nebo přihlašovacích formulářích i když je zdrojem externí poskytovatel obsahu nebo kompromitovaná integrace třetí strany.

8. Přísné zásady pro integritu kódu a povolené aplikace

Další obranná vrstva spočívá v použití seznamy povolených aplikací (seznam povolených položek) a zásady integrity kódu, které povolují spouštění pouze podepsaných a ověřených binárních souborů. To snižuje pravděpodobnost, že podvodně zavedené komponenty budou běžet nekontrolovaně.

V kombinaci s ověřováním podpisu, ověřováním hash a kontrolou certifikátu je dosaženo toho, že Na systémech může běžet pouze autorizovaný softwareminimalizace dopadu potenciálních kompromisů v upgradovacím řetězci.

9. Zabezpečené infrastruktury pro kompilaci a aktualizaci

Servery a kanály sestavení a aktualizace by měly být považovány za aktiva s vysokou strategickou hodnotouJe nezbytné posílit jeho zabezpečení pomocí přísných kontrol přístupu, oddělení povinností, nepřetržitého monitorování a robustního ověřování.

Dále je vhodné implementovat kryptografické podpisy bez odhaleného klíče (například prostřednictvím zabezpečeného hardwaru nebo centralizovaných podpisových služeb), aby útočník, který naruší server sestavení, nemohl volně podepisovat artefakty bez zanechání stopy.

10. Procesy reakce na incidenty přizpůsobené dodavatelskému řetězci

Každý moderní plán reakce na incidenty musí zohledňovat scénáře mezera v dodavatelích nebo komponentách třetích stranTo zahrnuje definování způsobu izolace postižených systémů, komunikace s dotčenými dodavateli, zrušení certifikátů a nasazení nouzových záplat.

Je také užitečné procvičovat si specifická simulační cvičení pro útoky na dodavatelský řetězecprotože kontext, načasování a koordinace s třetími stranami se obvykle liší od čistě interního incidentu.

Platformy a technologie, které pomáhají chránit dodavatelský řetězec

V posledních letech se objevila specializovaná řešení, která se snaží nabídnout komplexní pokrytí životního cyklu aplikace tváří v tvář těmto typům útoků, což snižuje potřebu správy více odpojených nástrojů.

Ochrana zdrojového kódu a obchodního tajemství

Moderní platformy AppSec zahrnují analýzu úložišť v reálném čase s možnostmi detekce zranitelností kódu (SAST) a odhalené tajné informace (klíče, tokeny, přihlašovací údaje). Mohou blokovat commity s nebezpečným obsahem pomocí ochranných prvků v CI/CD, čímž zabraňují chybám nebo škodlivým injekcím opustit repozitář.

Kromě toho mnoho z nich obsahuje funkce pro automaticky ověřovat a rušit uniklé tajné informaceintegrací se správci pověření a systémy identity, čímž se zkrátí doba, po kterou jsou odhalené pověření pro útočníka užitečné.

Zabezpečení fáze sestavení, balení a závislostí

Během fáze kompilace tyto platformy aplikují kontroly v souladu s frameworky, jako je SLSA, ověřují integritu artefaktů a monitorování úloh CI/CD z hlediska anomálního chováníPokud zjistí něco podezřelého, označí a zablokují sestavení před jejich vydáním.

Během fáze balení se uplatňují kontroly detekce malwaru a analýza licencí pro každý artefakt, čímž se zajistí, aby použité knihovny splňovaly právní a bezpečnostní požadavky. Souběžně s tím analýza složení softwaru (SCA) jde nad rámec pouhého vyjmenování zranitelností CVE a posuzuje, zda jsou zranitelnosti v daném kontextu skutečně zneužitelné.

Mnoho výrobců zahrnuje sanační motory, které naznačují zabezpečené cesty aktualizací a specifické záplatyupřednostňování verzí, které snižují riziko bez zavádění známých regresí. To urychluje opravy chyb bez zpomalení vývoje.

Sjednocený přehled a inteligentní reakce

Přidanou hodnotou těchto řešení je nabídka jednotný pohled na rizika v rámci SDLCOd kódu po produkci. Místo správy více izolovaných nástrojů mají vývojové a bezpečnostní týmy přístup k jedinému zdroji pravdivých informací s konsolidovanými daty.

Některé pokročilé motory generují automatické záplaty, žádosti o změny nebo podrobné návody Pro vyřešení každého problému se stanoví priority na základě dopadu a snadnosti zneužití. To odlehčí pracovní zátěž týmů a pomůže jim rychleji reagovat na nově vznikající zranitelnosti a hrozby.

Snížení dopadu mezer v dodavatelském řetězci

I přes všechna zavedená preventivní opatření je třeba předpokládat, že dodavatel nebo komponenta třetí strany může být jednoho dne ohrožena. Proto je nezbytné navrhnout architekturu tak, aby dopad této mezery by měl být co nejmenší.

Modely nulové důvěry se spoléhají na přístup s minimálními oprávněními a průběžné ověřování identitu, a to jak uživatelů, tak aplikací. I když je tedy jeden systém napaden, bude pro útočníka velmi obtížné přesunout se k dalším, důležitějším prostředkům.

Techniky Zero Trust Network Access (ZTNA) v kombinaci se segmentací, sandboxováním nového kódu a behaviorální analýzou přispívají k zabránit tomu, aby se z jednorázového porušení stala katastrofická událost což ovlivňuje celou organizaci.

Kromě toho je vhodné mít jasné plány pro zajištění kontinuity a obnovy a také dohody s klíčovými dodavateli, které specifikují jak budou spravována oznámení, opravy a spolupráce v případě incidentů ovlivňujících dodavatelský řetězec.

Útoky na dodavatelský řetězec softwaru se z technické kuriozity staly ústřední hrozbou pro jakoukoli propojenou firmu a kombinace neustále se rozšiřujících digitálních ekosystémů, masivního využívání open source, závislosti na třetích stranách a nástrojů umělé inteligence vytvořila ideální živnou půdu pro jejich další růst. Pouze s globálním pohledem na vaše dodavatele, kontrolou s minimálními oprávněními, robustními postupy DevSecOps a bezpečnostními platformami schopnými monitorovat celý životní cyklus vašich aplikací můžete skutečně zmenšit plochu útoku a udržet na uzdě protivníky, kteří se nyní více než kdy jindy snaží vniknout dveřmi vašich partnerů, spíše než aby přímo útočili na vaši pevnost.